On ne compte plus les articles dans la presse spécialisée relatant des attaques, fuites ou vols de données. Aucune entreprise n‘est réellement à l’abri.

On se souvient du groupe hôtelier Marriott qui a subi le vol de données personnelles affectant ses 339 millions de clients. Ce vol réalisé en 2014 n’a été détecté qu’en 2018.

Selon Cybersecurity Ventures, fin 2021, le monde devra faire face à une cyberattaque toutes les onze secondes. Même les grands acteurs du numérique sont confrontés à des attaques.

D’après une étude de 2020 d’IDC pour Thales, 50% de toutes les données d’entreprise seraient stockées dans le cloud. Un chiffre qui ne cesse de croître.

De ce fait, les données qui sont stockées dans le cloud deviennent une cible privilégiée pour les pirates informatiques. Il est donc important de s’assurer que les données qui y résident bénéficient de la plus haute protection.

Qu’il s’agisse du cloud privé (déployé par le client avec les solutions de son choix) ou du cloud public (services fournis et hébergés par un fournisseur cloud tel que AWS, Microsoft Azure, Google Cloud ou d’autres), les principales techniques de protections sont généralement identiques :

Néanmoins l’éventail de solutions déployées, les multiples administrateurs impliqués, les failles logicielles, sont autant d’éléments qu’un attaquant (externe ou interne) peut exploiter afin de franchir tous les remparts.

C’est pourquoi le recours au chiffrement se révèle indispensable ! Chiffrer les données, c’est les rendre inintelligibles au moyen d’un algorithme et d’une clé connue seulement par son propriétaire. Il est alors impossible d’exploiter les données volées sans posséder la clé.

De plus en plus d’entreprises recourent à cette méthode. Elle bâtissent une ultime barrière garante que les données, même volées, ne puissent pas être utilisées à des fins délictueuses.

Une fois identifiées les données à chiffrer avec leur emplacement, plusieurs choix s’offrent à vous.

Dans le cas d’un cloud privé, de nombreux systèmes de stockage, bases de données et applications intègrent un chiffrement natif. Vous avez alors le choix de l’activer ou de vous diriger vers une solution tierce d’un éditeur spécialisé.  Vous pouvez aussi vous tourner vers des solutions open-source gratuites, l’effort de mise en œuvre étant à votre charge.

Les fournisseurs de cloud public quant à eux proposent souvent en option leur propre solution de chiffrement intégrée à leurs offres. Cela suppose une totale confiance en son partenaire cloud. Bien que ce dernier n’exploite pas les données de ses clients, il peut être amené à devoir les fournir à une entité juridique à la suite de réquisitions judiciaires (ex. : la loi américaine extraterritoriale « Cloud Act »).

Rien ne garantit par ailleurs que le fournisseur de cloud ne doive pas à l’avenir fournir également les clés de chiffrement.

D’autre part, on constate que le cloud prend la forme de cloud hybride et de multicloud.

De manière générale, il est préférable de ne pas laisser un fournisseur ou un intervenant extérieur posséder les clés. L’entreprise doit rester souveraine de ses données et être par conséquent la seule à conserver les moyens de les déchiffrer.

Pour garantir une parfaite autonomie, il est donc conseillé de mettre en place une seule et même solution de chiffrement, indépendante des fournisseurs de cloud. Elle pourra être facilement déployée dans un cloud privé, mais garantissant aussi une homogénéité des solutions dans le cadre d’un cloud hybride (cloud privé et cloud public interconnectés).

Le chiffrement n’est pas à lui seul « la » solution de sécurité, mais il constitue l’ultime barrière quand toutes les digues ont cédé en garantissant que les données seront inintelligibles lors de pertes, de vols ou de fuites. On parle alors de défense en profondeur (DEP) ou de sécurité multicouche.