Comment être certain que personne ne fouillera dans mes données en nuage?

23/07/2015 - Lynn Greiner

Commandité par Rogers

L’un des plus grands inhibiteurs de l’infonuagique publique est la peur que les données ne soient pas en sécurité. Après tout, comme c’est un nuage « public », qui sait quelles horreurs s’y cachent?


Il s’agit, dans une certaine mesure, d’une préoccupation justifiée. Les données entreposées en nuage ne sont plus entre les murs sécuritaires du centre informatique de l’entreprise. Elles ont beau se trouver dans un établissement géré de manière professionnelle qui, comme le centre informatique de Rogers, adhère aux meilleures pratiques, il reste qu’elles ne sont plus dans votre établissement. Cependant, ces craintes peuvent être dissipées en prenant une précaution : le chiffrement.

Illustration du concept de brèche de sécurité, d'intrusion dans un système informatique.Même s’il est possible d’accéder aux données chiffrées, elles seront illisibles à moins d’avoir les clés de chiffrement. Il existe aussi des meilleures pratiques associées au chiffrement et, à moins de les suivre, vous n’obtiendrez pas de bons résultats.

D’abord, les données doivent être chiffrées sous leurs trois états possibles : en transit (en déplacement dans les câbles), au repos (lorsqu’elles sont entreposées, soit à votre centre de données soit en nuage) et utilisation. Le cas échéant, elles peuvent être interceptées dans leur état original et être compromises. Ensuite, les clés de chiffrement doivent être protégées. Dès qu’une personne a les données et les clés en sa possession, l’information devient vulnérable.

Pour compliquer les choses, il existe d’autres contraintes. Il va sans dire que le chiffrement utilisé devrait être conforme aux normes et pouvoir traiter des données structurées et non structurées. De plus, il ne devrait pas nuire au fonctionnement des applications. Par exemple, si les fonctions recherche et tri ne peuvent être exécutées avec Salesforce, le logiciel ne fonctionnera pas correctement. Cela est contre-productif.

La gestion des clés peut également être compliquée. C’est le client qui devrait avoir le contrôle des clés de chiffrement, pas le fournisseur d’infonuagique. De cette façon, si le gouvernement ou une entité juridique demande accès au fichier-données, le client (à qui appartiennent les données) sera en contrôle de la situation. Si le fournisseur détient les clés, il peut être contraint d’autoriser l’accès aux données du client à l’insu de celui-ci. C’est laid, mais c’est légal.

Les clés de chiffrement peuvent être protégées de différentes façons. Les clés gérées par les clients donnent aux clients le contrôle exclusif de la gestion des clés de chiffrement utilisées pour protéger leurs données dans le nuage, de sorte que personne d’autre, y compris le fournisseur, n’y ait accès sans leur consentement. Une autre approche consiste à utiliser une clé de chiffrement dédoublée, où la clé principale est donnée au client pour prévenir les accès non autorisés. Chaque objet-données est chiffré avec une clé en deux parties : la clé principale et la deuxième clé « banquier ».

Il ne s’agit que de quelques-uns des éléments en prendre en considération lorsque l’on envisage le chiffrement pour la sécurité des données. La Cloud Security Alliance, un organisme qui vise à promouvoir les meilleures pratiques de sécurité en infonuagique, a publié un livre blanc détaillant d’autres considérations. C’est une lecture qui en vaut la peine.


Mots-clés: , , , , , , , ,