Le chiffrement, la clé de la souveraineté ?
La souveraineté des données ne se limite pas à leur localisation géographique. Il existe une multitude d’autres axes, mais concentrons-nous sur le « qui » peut techniquement accéder aux données stockées par un Cloud Service Provider (CSP).
Trop souvent, les données sont déposées en clair, et tout CSP peut techniquement y accéder ; mais lorsque le CSP a un pied aux Etats-Unis, alors des juridictions étrangères peuvent aussi lire les données – sans aucune forme de notification de l’intéressé. Scénario extrême : il est même envisageable que des attaquants puissent remonter au niveau hyperviseur pour y accéder.
À présent, chiffrons le disque d’une machine virtuelle (VM) avec le vTPM (virtual Trusted Platform Module) fourni par le CSP. Le disque contenant les données est bien chiffré, mais le niveau de souveraineté a-t-il vraiment évolué ? La réalité est qu’il suffit que l’hyperviseur, contrôlé par le CSP, observe les échanges entre le vTPM et la VM, de la même manière qu’il était possible de lire le bus SPI (Serial Peripheral Interface) sur la carte mère des PC portables (15€ de matériel pour rendre ce type de chiffrement inutile).
Alors à partir de quel niveau de sécurité peut-on relativiser la nécessité de faire confiance à son CSP ? Les infrastructures Bring Your Own Key (BYOK) ont le vent en poupe. Si cette démarche est réellement sérieuse, elle n’est pas la solution ultime ; en effet, cela impose de faire confiance au CSP, responsable de l’implémentation du Hardware Security Module (HSM). Améliorer cette posture consisterait à y héberger son propre HSM (physique ou virtuel), cependant de nombreux vecteurs d’attaque demeureraient bien réels.
Plus aboutie, l’approche Hold Your Own Key (HYOK) apporte de meilleurs gages de confiance : instaurer une démarcation claire de la frontière entre CSP et client-utilisateur, par l’hébergement de la Key Management Infrastructure (KMI) à un endroit différent de la production qui la consomme. Typiquement, la KMI est alors hébergée on-premise (chez le client-utilisateur) ou par un CSP souverain.
Dès lors que la KMI est dissociée de la production, le niveau de souveraineté des données est respectable.
En conclusion, les solutions les plus simples ne sont pas les plus sûres. Chiffrer un disque avec un mot de passe entré par l’utilisateur est bien plus sûr que de faire confiance à une technologie embarquée. Il en va de même pour les infrastructures informatiques.
Pour garantir avec certitude la souveraineté des données, l’approche HYOK démontre sa pertinence.