Chiffrer le Cloud : pourquoi le BYOK va s’imposer
Le chiffrement systématique des données est devenu la meilleure pratique numéro 1 pour les entreprises qui stockent des données dans le Cloud public. Encore faut- il savoir qui a vraiment accès aux clés de chiffrement. Face au risque de fuite de données, l’heure est désormais au “Bring Your Own Key ” !
L’image de Werner Vogels, CTO D’AWS, portant un T- shirt Encrypt Everything lors de L’AWS Summit 2019, est devenue iconique. Le seul véritable moyen de protéger la confidentialité des données que l’on place dans le Cloud est de les chiffrer. Les révélations d’edward Snowden en 2013 sur le programme d’écoute PRISM l’ont démontré, par l’exemple, il n’est raisonnablement pas possible de faire confiance à un fournisseur cloud si l’on souhaite protéger la confidentialité des données vis- à- vis d’un gouvernement ou même du personnel interne du fournisseur cloud. Le chiffrement systématique de toutes les données devient la norme, mais encore faut- il se soucier du stockage des clés. À quoi bon chiffrer si l’administrateur système du fournisseur cloud peut accéder aux clés de chiffrement ! Alors que le modèle de sécurité Zero Trust est en train de s’imposer, le CSP ( Cloud Service Provider) ne doit pas être considéré comme un acteur de confiance à qui on peut laisser les clés. « L’impulsion initiale du mouvement BYOK était clairement de se protéger de son fournisseur cloud, dans une démarche où l’entreprise se méfie du fournisseur cloud chez qui elle place ses ressources » , explique Bertrand Carlier, Senior Manager chez Wavestone. Il existe plusieurs façon de chiffrer les contenus déposés chez un fournisseur de service cloud : depuis la simple case à cocher dans la configuration d’un espace de stockage, jusqu’à la mise en place d’un équipement inviolable de type HSM ( Hardware Security Module), en passant par des services de type KMAAS ( Key Management as a Service). Dans le premier cas, l’entreprise n’a pas à gérer ou même connaître les clés de chiffrement utilisées par son CSP À l’autre extrémité, avec un HSM, l’entreprise va assumer elle- même
tout le cycle de vie de ses clés. « Historiquement, nous avions l’habitude d’installer des HSM on- premise » , ajoute Bertrand Carlier. « Depuis, des acteurs tels que Amazon Web Service ou Azure proposent des offres HSM dans le Cloud qui s’appuient exactement sur les mêmes matériels, des équipements qui sont installés dans leurs datacenters et qui sont dédiés à chacun de leurs clients. » Les solutions proposées sont certifiées FIPS 140- 2, critères communs EAL4+ et, dans certains cas, le HSM Cloud va pouvoir assurer le chiffrement SSL et ainsi décharger les serveurs HTTP de cette tâche.
Du hardware dédié pour protéger les clés de chiffrement
Les entreprises disposent donc aujourd’hui de toute une gamme de solutions plus ou moins managées pour gérer leurs clés de chiffrement. Dans une architecture de sécurité telle qu’en déploient les acteurs de la défense, ou certaines grandes entreprises, les clés sont stockées dans un module de sécurité matériel, le HSM. L’objectif est de fournir un bastion matériel dans lequel les clés seront protégées des accès par un équipement inviolable disposant de capacités anti- intrusion. Atos, Thales/ Gemalto, IBM ( s’appuie sur Gemalto), ncipher, Utimaco, Yubico proposent soit des appliances, soit des cartes PCI. Ces solutions ont néanmoins la réputation d’être coûteuses à l’achat, ce qui a certainement entravé la mise en place d’architectures HSM on- premise/ Cloud public dans les entreprises. Il était donc assez logique pour les fournisseurs cloud d’héberger des HSM et de proposer ce type de solutions en mode As a Service.
Comme souvent, AWS a montré la voie en lançant Cloudhsm dès 2013, une offre qui est venue compléter le service de gestion de clé KMS. L’entreprise peut provisionner un cluster de HSM qui va servir aux différents services cloud. Microsoft a bien évidemment adopté la même approche en commercialisant Azure Key Vault à partir de 2015, certifié Azure Solutions Architect par Microsoft. Ludovik Dopierala souligne que « Le BYOK permet aux entreprises d’apporter dans Azure leurs propres clefs de chiffrement. Celles- ci seront utilisées par de nombreux services nécessitant un chiffrement des données. » Parmi les services pouvant utiliser le chiffrement via le BYOK, l’expert cite Azure Information Protection pour le contrôle et la sécurisation des e- mails, des documents et de toutes les données sensibles de l’entreprise, le chiffrement transparent des données ( TDE) d’azure SQL, la fonction Azure Disk Encryption des machines virtuelles, la protection des données manipulées par la solution analytique Power BI et encore Azure Event Hubs, le service de concentration de données et d’ingestion d’événements de la plate- forme Cloud Microsoft. C’est donc un large panel de services cloud public qui peuvent être sécurisé via le BYOK, mais si Key Vault est une solution logicielle, « Microsoft va encore plus loin avec la version Premium d’azure Key Vault » , explique l’expert. « Avec cette version, les clefs sont protégées non plus par un coffre numérique mais directement par des modules de sécurité matériels HSM. Cependant il est possible d’obtenir encore un niveau de sécurité supérieur. En effet, les entreprises qui ne souhaiteraient pas utiliser Azure Key Vault Premium peuvent souscrire à un service HSM dédié dans
Azure. » L’américain a développé cette offre en partenariat avec Gemalto et s’appuie sur le HSM Cloud Safenet Luna Network HSM 7. Microsoft évoque notamment des architectures hybrides avec un module HSM Gemalto local ou sur Azure. Tous les CSP vont devoir rapidement mettre des offres de HSM Cloud à leur catalogue, à l’image D’IBM qui propose le HSM Gemalto sur plusieurs de ses zones d’hébergement, notamment Paris, pour un prix de 1 375 dollars par mois. Néanmoins, beaucoup d’entreprises vont vers une approche multi- cloud et doivent réfléchir à une architecture de gestion de clés indépendante de leurs fournisseurs cloud. Un HSM déployé on- premise va ainsi pouvoir centraliser les clés utilisées sur les différents Cloud choisis par les entreprises. Celles- ci peuvent alors mettre en place des architectures de réplication entre HSM on- premise et HSM Cloud ce qui permet notamment de limiter les échanges réseau et de révoquer des clés très rapidement sur une architecture hybride. Outre un meilleur contrôle des clés, le BYOK permet à l’entreprise d’avoir la garantie que sa Master Key lui est propre et que celle- ci n’est pas mutualisée entre de multiples autres clients du CSP. Récemment, les chercheurs en cybersécurité de Keyfactor ont cassé près de 250 000 clés RSA glanées sur le Web, exploitant le fait que beaucoup de clés sont mutualisées et surtout qu’un grand nombre sont générées au moyen de chaînes de caractères triviales. Les entreprises les plus affutées en cybersécurité qui disposent de leur propre HSM ou qui optent pour un HSM Cloud ont ainsi la garantie que leurs clés sont générées à partir des meilleures pratiques et seront robustes face à une tentative de déchiffrement.
Les constructeurs de HSM sautent dans le train du Cloud
Les constructeurs de HSM ont bien évidemment senti le vent du Cloud et positionnent désormais leurs solutions sur la sécurité des architectures
cloud. Les éditeurs de HSM ont ainsi décliné leur technologie en de multiples formats, depuis les boîtiers on- premise, les cartes PCI, mais aussi en format portable USB et le mode Saas. « HSM hardware et offres cloud sont complémentaires et visent de nouveaux clients qui souhaitent une facilité d’utilisation et un mode Saas » , souligne Pierre Ischan, responsable commercial chez ncipher Security. « Il faut rappeler que, quel que soit le modèle choisi, il y aura toujours un HSM physique pour effectuer la protection des informations, car ce sont les solutions les plus sécurisées du marché. L’offre nshield as a Service facilite l’adoption d’une stratégie sécurisée et multi- cloud utilisant les mêmes HSM nshield que les organisations déploient sur site aujourd’hui. C’est idéal pour les stratégies Cloud First, de migration sélective dans le Cloud, ou simplement l’ajout d’une capacité HMS pour traiter les augmentations brusques du volume de travail. » Acteur de poids sur ce marché des HSM, Gemalto ou plutôt Thales depuis que son acquisition a été finalisée en 2019, le géant français de la sécurité propose une gamme complète de HSM, dont une offre dans le Cloud, Safenet Data Protection
on Demand. L’argument coût est bien évidemment le même que celui des CSP : disposer d’une solution d’encryption haute performance sur un mode As a Service sans avoir à consentir l’investissement initial. L’autre atout d’une solution de ce type est de s’affranchir de la dépendance au CSP lui- même, avec une solution qui va pouvoir piloter le chiffrement sur de multiples services cloud issus de fournisseurs différents. « Notre service est proposé avec des connecteurs afin de s’intégrer dans la plupart des usages du Cloud public : bases de données, services de stockage, mais aussi le chiffrement des communications réseau entre briques cloud ou dans les communications via le Web » , précisait Laurent Castillo, directeur des Innovation Labs de Thales lors de Cloud Expo Paris. Parmi les intégrations disponibles sur l’offre, cette offre de HSM dans le Cloud figurent des connecteurs pour Microsoft Active Directory, pour Microsoft SQL Server, pour Oracle TDE ou encore Salesforce. En parallèle à cette offre HSM dans le Cloud, Thales propose aussi une offre de KMAAS, une offre par définition plus légère dont la couverture fonctionnelle est plus restreinte qu’un HSM complet, mais qui permet d’utiliser les services de chiffrement des CSP du marché, comme Microsoft Azure, Google Cloud Platform, AWS tout en ré- internalisant le contrôle des clés dans une approche de type BYOK ( Bring Your Own Key). Outre un coût bien inférieur, une telle solution requiert des compétences bien moins poussées pour son exploitation au quotidien. « Pour nos clients encore peu matures et qui commencent à migrer vers le Cloud public, nous ne leur conseillons pas d’opter pour un Cloud HSM » , explique Vincent Ferrié, Consultant Sécurité & Risk Management, Wavestone.
« Un HSM nécessite de fortes compétences pour pouvoir être exploité. Il leur sera plus facile de commencer avec le service KMAAS de leur fournisseur Cloud dans un premier temps. Ce n’est pas du BYOK stricto sensu car le CSP va générer les clés, mais l’entreprise gère elle- même ses clés. Cela lui permet d’avoir la garantie que sa clé est unique et cette approche lui permet de se familiariser avec les techniques de chiffrement et se frotter à la complexité de la problématique IAM, quitte à aller vers le HSM dans un second temps. »
S’il est désormais acquis que le chiffrement est le seul moyen de protéger une donnée dans le Cloud public, la protection des clés est logiquement l’étape suivante. Là encore, le As a Service va démocratiser cette pratique et donner accès à la technologie des HSM à bien plus d’entreprises. ✖