La quantité totale de données créées, capturées, copiées et consommées dans le monde devrait atteindre les 180 zettaoctets en 2025 (contre 64,2 en 2020), selon Statista. Et si l’on ne prend en compte que les données d’entreprise, 60 % d’entre elles sont stockées dans le Cloud, ce qui suscite une tentation très forte pour les cybercriminels. 

On ne compte plus les articles dans la presse spécialisée relatant des attaques, fuites ou vols de données. Aucune entreprise ou organisation n‘est réellement à l’abri : La violation de données ayant affecté les opérateurs de tiers payant Viamedis et Almerys en janvier 2024 est là pour nous le rappeler. Plus de 33 millions de personnes ont en effet été concernées par cette cyberattaque.

Le coût annuel de la cybercriminalité prend des proportions gigantesques. Rien que pour la France, il est estimé aujourd’hui à 119 milliards d’euros, alors qu’il était de 87 milliards d’euros un an plus tôt et de 4,7 milliards d’euros seulement en 2016, selon les chiffres des Technology Market Insights de Statista.

Il est donc plus que jamais stratégique que les données stockées dans le Cloud, qui deviennent une cible privilégiée des pirates informatiques, bénéficient d’une protection maximale.

Qu’il s’agisse du Cloud privé (déployé par le client avec les solutions de son choix) ou du Cloud public (services fournis et hébergés par un fournisseur Cloud tel que AWS, Microsoft Azure, Google Cloud ou d’autres), les principales techniques de protections sont généralement identiques :

Néanmoins, l’éventail de solutions déployées, les multiples administrateurs impliqués, les failles logicielles, sont autant d’éléments qu’un attaquant (externe ou interne) peut exploiter afin de franchir tous les remparts.

Le recours au chiffrement se révèle indispensable ! Chiffrer les données, c’est les rendre inintelligibles au moyen d’un algorithme et d’une clé connue seulement par son propriétaire. Il est alors impossible d’exploiter les données volées sans posséder la clé.

De plus en plus d’entreprises recourent à cette méthode. Elles bâtissent une ultime barrière garante que les données, même volées, ne puissent pas être utilisées à des fins délictueuses.

Une fois que les données à chiffrer ont été identifiées, plusieurs choix s’offrent aux entreprises. Dans le cas d’un Cloud privé, de nombreux systèmes de stockage, bases de données et applications intègrent un chiffrement natif. Les DSI ou RSSI ont alors le choix de l’activer ou de se diriger vers une solution tierce d’un éditeur spécialisé. Ils peuvent aussi se tourner vers des solutions open source gratuites, l’effort de mise en œuvre étant à leur charge.

Les fournisseurs de Cloud public proposent quant à eux souvent en option leur propre solution de chiffrement intégrée à leurs offres. Cela suppose une totale confiance en son partenaire Cloud. Bien que ce dernier n’exploite pas les données de ses clients, il peut être amené à devoir les fournir à une entité juridique tierce à la suite de réquisitions judiciaires, par exemple, dans le cadre de la loi américaine extraterritoriale « Cloud Act ». 

Rien ne garantit par ailleurs que le fournisseur Cloud ne doive pas, à l’avenir, fournir également les clés de chiffrement.

D’une manière générale, il est préférable de ne pas laisser un fournisseur ou un intervenant extérieur posséder les clés. L’entreprise doit rester souveraine de ses données et être par conséquent la seule à conserver les moyens de les déchiffrer.

Pour garantir une parfaite autonomie, il est donc conseillé de mettre en place une seule et même solution de chiffrement, indépendante des fournisseurs de Cloud. Elle pourra être facilement déployée dans un Cloud privé, mais aussi dans le cadre d’un Cloud hybride (Cloud privé et Cloud public interconnectés).

Le chiffrement n’est pas à lui seul « la » solution de sécurité, mais il constitue l’ultime barrière quand toutes les digues ont cédé en garantissant que les données seront inintelligibles en cas de perte, de vol ou de fuite. On parle alors de défense en profondeur (DEP) ou de sécurité multicouche.