Comment chiffrer ses données dans le cloud

cloudencryptioniconLe cloud computing est une tendance forte dans le monde de l’IT. Ses nombreux avantages, comme la flexibilité d’utilisation ou la réduction des coûts, ont convaincu beaucoup d’entreprises qui utilisent désormais des services et applications cloud comme Dropbox, Gmail ou Salesforce au quotidien.

La sécurité doit faire l’objet d’une attention particulière lors du choix d’une solution de type cloud. En effet, mettre ses données dans le cloud implique a priori que l’on perd le contrôle sur ces données et que l’on fait confiance au fournisseur de services cloud pour protéger ces données. L’un des aspects de cette protection est la confidentialité : que fait mon fournisseur des données confidentielles (les miennes ou celles de mes utilisateurs) ? Même si le fournisseur a pris les mesures suffisantes pour correctement protéger les données par rapport à des attaquants externes, le fournisseur lui-même a accès à ces données et un gouvernement pourrait exiger qu’il les lui transmette (voir l’exemple du Patriot Act aux États-Unis).

Certains produits récents et innovants offrent des solutions de chiffrement pour les organisations qui souhaitent utiliser des services cloud tout en gardant l’assurance de la confidentialité de leurs données. On peut classer ces produits dans deux catégories : d’une part, des solutions de stockage dans le cloud orientés utilisateur avec chiffrement. D’autre part, les « Cloud Security Gateways », conçues pour utiliser des applications cloud spécifiques comme Gmail ou Salesforce. Dans ces deux catégories, un point important est l’approche utilisée pour chiffrer les données : elles sont chiffrées avant d’être envoyées dans le cloud et avec des clés dont l’utilisateur ou l’entreprise garde toujours le contrôle. Ainsi, le fournisseur cloud n’a jamais accès aux clés et ne peut donc pas déchiffrer les données.

Chiffrement pour stockage cloud orienté utilisateur

Il existe de très nombreux services de stockage cloud orientés utilisateurs. Quelques-un des plus connus sont Dropbox, Google Drive, et Microsoft SkyDrive. Ces services permettent à un utilisateur de stocker ses documents dans le cloud, afin d’y accéder depuis plusieurs appareils, de les partager avec d’autres utilisateurs, ou de disposer d’une forme de backup online. Dans ce domaine, pour protéger la confidentialité des données par rapport au fournisseur cloud, trois approches sont possibles, et le choix d’une approche doit être fait en prenant en compte la simplicité d’utilisation et le niveau de sécurité voulu.

  • Utiliser un service cloud comme SpiderOak qui offre de bonnes garanties de sécurité et permet le chiffrement des données localement.
  • Utiliser un outil dédié comme BoxCryptor ou CloudFogger qui chiffre les données localement en combinaison avec un service cloud qui synchronise les données.
  • Utiliser un outil de chiffrement plus généraliste comme TrueCrypt et synchroniser le container avec le service cloud.  Cette solution offre un excellent niveau de sécurité, mais est plus complexe d’utilisation, et elle limite les possibilités de partage.

Dans tous les cas, c’est l’utilisation via mobile qui est à l’heure actuelle limitée : les applications mobiles permettent seulement de lire les données depuis le mobile mais pas de synchroniser un répertoire présent sur le mobile. Cette situation évoluera certainement très vite.

Chiffrement pour autres applications SaaS

Les Cloud Security Gateways sont des produits conçus pour permettre aux employés d’une organisation d’utiliser des applications SaaS tout en chiffrant tout ou partie des données de l’application. Le principe est d’utiliser un gateway qui est localisé soit dans l’organisation soit chez un tiers. Voici un schéma qui montre le cas où le gateway est dans l’organisation :

Principe de fonctionnement d'un Cloud Security Gateway interne.

Principe de fonctionnement d’un Cloud Security Gateway interne. Le Gateway contient des clés qui servent à chiffrer et déchiffrer en temps réel les données de l’application.

Ce marché est en plein essor et de nombreuses solutions sont en train d’apparaître. Certes Networks, CipherCloud, Concealium, Intel, PerspecSys, Symantec sont parmi les principaux acteurs. Chaque produit vise une application SaaS spécifique ; parmi les plus souvent rencontrées, on peut citer Salesforce, Office 365 ou Gmail.

Le choix d’un tel produit permet un gain de sécurité. Les données les plus sensibles sont chiffrées avant d’être envoyées vers le fournisseur SaaS et les clés sont gardées au sein de l’entreprise. La confidentialité de ces données vis-à-vis du fournisseur SaaS est donc assurée.  Par ailleurs, certaines des fonctionnalités de l’application ne sont pas affectées : citons par exemple CipherCloud pour Gmail qui permet de faire une recherche dans ses emails (alors qu’ils sont stockés de manière chiffrée sur les serveurs de Google).

L’expérience montre toutefois que l’utilisation d’un Cloud Security Gateway présente certains inconvénients :

  • Impact sur les performances : l’utilisation entraîne une latence qui dépend notamment de la connexion avec le gateway.
  • Impact sur la disponibilité : on devient dépendant de la disponibilité du gateway, en plus de celle du fournisseur SaaS.
  • Impact sur les fonctionnalités : certaines sont préservées, mais d’autres ne marchent plus.
  • Coût du gateway (licence) qui vient s’ajouter au coût de l’application elle-même et nécessité d’administrer le gateway.
  • Limites en termes de sécurité : tout n’est pas caché aux yeux du fournisseur Saas.

Ces produits demandent donc de renoncer à certains des avantages du SaaS ; en contrepartie, ils offrent un réel gain de sécurité. C’est donc un domaine qui a du potentiel et dont il faudra suivre les évolutions.

Leave a Reply

Your email address will not be published.