Chiffrement et Cloud : des notions irréconciliables ? L'utilisation de stockage dans le cloud est de plus en plus fréquente, voire inévitable. Cela permet aux collaborateurs de travailler sur un même espace de stockage centralisé, que ce soit avec des collègues ou des clients, facilement et sans friction.

Cependant, ces services sont souvent utilisés pour partager, sauvegarder et/ou stocker des données métier confidentielles, telles que des :

  • fichiers contenant de la propriété intellectuelle ;
  • documents de réponses commerciales ;
  • fiches RH.

A cela s’ajoute la tendance à la multiplication des services cloud. Le risque de sécurité est ainsi multiplié, et c’est tout l’enjeu de l’utilisation des services cloud que de sécuriser les emails et données qui y transitent ou y sont stockées.

Généralement, dans les versions de base de ces services, très peu de mesures sont mises en œuvre pour assurer la confidentialité de ces données. Pour y répondre, les hébergeurs proposent souvent des options complémentaires, fréquemment facturées en sus, incluant du chiffrement de données.

Le chiffrement cloud proposé par les hébergeurs

Les hébergeurs de services cloud proposent certains services de chiffrement en cloud, généralement en option. On peut par exemple nommer OneDrive Entreprise, dont la documentation référence les deux méthodes de sécurisation suivantes :

  • le chiffrement du transport (via HTTPS/TLS) ;
  • le chiffrement des données (via AES).

Des propositions similaires sont faites pour DropBox (documentation) et Google Drive (documentation).

Le chiffrement du transport est un faux indicateur de confiance. Aujourd'hui, un service doit proposer (voire imposer) l'accès à ses services via HTTPS. C'est d'ailleurs pour cela que les navigateurs affichent désormais une alerte pour tout service n'ayant pas cette protection.

Le chiffrement des données via AES est cependant un indicateur plus compliqué à interpréter. Il s'agit généralement d'un chiffrement uniquement côté serveur, donnant un faux sentiment de confiance pouvant tromper l'utilisateur. C'est ce que nous allons tenter d'expliquer.

Le chiffrement du cloud : seulement côté serveur

Quand un hébergeur annonce un chiffrement de fichier dans son cloud, il s'agit, dans la quasi-totalité des cas, uniquement d'un chiffrement côté serveur.

En effet, lors de l'utilisation d'un service cloud, les fichiers sont d'abord transférés dans leur version en clair sur le serveur de l'hébergeur. Ils sont ensuite protégés avec du chiffrement par le serveur. L’idée est donc que la donnée est protégée une fois sur le serveur sécurisé du service, mais l'hébergeur a accès à une version en clair des fichiers.

Ce mécanisme est illustré dans le schéma suivant :

Cela protège au mieux d'un vol d'un disque dur dans le data-center. Est-ce vraiment utile ?

Au contraire, cela ne protège pas des risques pour lequel le chiffrement a un réel intérêt tels que :

  • un vol de mot de passe d'un utilisateur, puisque le mot de passe suffit à récupérer les fichiers ;
  • un piratage de la boîte email d'un utilisateur, puisqu'un accès à la boîte email suffit à renouveler la plupart des mots de passe ;
  • une fuite de données des serveurs de l'hébergeur qui détiennent à la fois les clés et les documents chiffrés, permettant à un attaquant d’accéder à la donnée en clair très simplement.

Pour résumer les choses en peu de mots, le chiffrement côté serveur de l'hébergeur ne suffit pas, il faut une autre solution.

La proposition de Seald pour le chiffrement du cloud

Seald n'est pas, et ne souhaite pas être, un hébergeur cloud. Au contraire, Seald peut s'appuyer sur n'importe quel stockage, que ce soit en cloud, sur un disque dur ou même des clés USB.

En utilisant Seald, conjointement à un hébergeur cloud, les fichiers sont sécurisés de façon asymétrique. Ainsi, uniquement les personnes détenant une clé de chiffrement privée autorisée à lire un document peuvent le déchiffrer.

De cette façon, ni Seald, ni l'hébergeur cloud n'ont la possibilité de déchiffrer les fichiers protégés, même en cas de compromission de serveurs.

Enfin, la maîtrise et la souveraineté sur vos données sont maintenues en contrôlant les droits d’accès à chaque fichier de manière centralisée et en journalisant leurs accès. À la différence de beaucoup de solutions de chiffrement, notamment s’appuyant sur PGP par exemple, il est possible de révoquer les droits d’accès à un fichier même après que celui-ci ait été envoyé.

A noter que Seald se distingue également des services CASB qui visent justement à traiter cette question de la sécurité du cloud. En un mot, Seald repose sur une infrastructure beaucoup plus simple à mettre en place et permet notamment de protéger un fichier même s’il sort du périmètre de l’entreprise.

Vous souhaitez en savoir plus sur Seald ? Contactez-nous !

Better Seald than sorry.

Essayez Seald avec votre équipe.