Bien que la protection des données soit un vaste sujet impliquant une variété complexe d'acteurs, de processus et de technologies, cet article se concentre sur les méthodes de cryptage des données. Une stratégie de protection des données doit prendre en compte deux types d'accès aux données : l'accès illégal et l'accès légal.
Résumé
Les entreprises suisses devraient choisir judicieusement leur stratégie de gestion des clés de chiffrement dans le nuage. Nous suggérons aux organisations de classer les données par catégories et de choisir la stratégie de gestion des clés de chiffrement dans le nuage pour une catégorie de données donnée, en fonction du degré de protection que cette catégorie mérite. Ce jugement intègre la gouvernance des données d'une organisation d'une part, et les exigences réglementaires et légales d'autre part. L'augmentation du niveau de protection des données implique également un effort accru de gestion et d'exploitation du système.
Il existe quatre approches principales de la gestion des clés de chiffrement dans l'informatique dématérialisée. Fondamentalement, il y a un compromis à faire entre garder le contrôle de vos clés et bénéficier d'un service en nuage entièrement géré. Les clients de l'informatique dématérialisée qui souhaitent conserver davantage de contrôle devront déployer davantage d'efforts pour gérer la complexité supplémentaire.
Comment ?
Le CSP génère, détient et gère les clés de chiffrement. Tous les aspects du cycle de vie des clés de chiffrement sont gérés par le CSP et les services de chiffrement sont entièrement intégrés dans les services en nuage du CSP en question. Prenons un exemple : Dans un service de stockage d'objets comme AWS S3, Azure Blob Storage ou GCP Cloud Storage, vos objets de données sont cryptés lors du téléchargement et décryptés lors de la lecture-écriture, sans que vous ayez à vous en préoccuper.
Pour :
Cons :
Comment ?
Avec la CMEK, vous utilisez les clés de chiffrement générées et fournies par le CSP, mais vous assumez vous-même la responsabilité de la gestion des clés de chiffrement au sein de la plateforme en nuage.
Pour :
Cons :
Comment ?
Avec le CSEK, le client génère les clés de cryptage et les fournit à la plateforme en nuage pour le cryptage et le décryptage des données du client. Les clés CSEK doivent être mises à la disposition de chaque service CSP au fur et à mesure qu'elles sont nécessaires. Le CSEK confère au client l'entière responsabilité de la génération, de la propriété et de la gestion des clés.
Pour :
Les clients peuvent retirer la clé à tout moment ; à partir de ce moment, le CSP n'a plus accès aux données.
Cons :
Comment ?
Le client crypte les données sur place avant de les envoyer dans la plateforme en nuage, ce qui signifie qu'il assume non seulement la responsabilité de la génération et de la gestion des clés de cryptage, mais aussi celle du processus de cryptage lui-même. Toutes les données reçues par le CSP ont déjà été cryptées par le client.
Pour :
Cons :
Un certain nombre de nos clients suisses considèrent que l'utilisation de la CMEK (c'est-à-dire l'utilisation d'un service de gestion des clés fourni par le CSP) est suffisante pour protéger leurs données contre les autorités étrangères. Par expérience, ils ont acquis la certitude que le FSC ne dispose pas d'une méthode détournée pour partager ces clés à l'insu et sans l'autorisation du client. Nos clients nous ont dit que deux facteurs en particulier renforçaient leur confiance :
Les clients de l'informatique en nuage qui estiment qu'une couche supplémentaire de contrôle des clés de chiffrement est souhaitable apportent ou détiennent leurs propres clés. Cependant, ces méthodes demandent un effort supplémentaire et certains services en nuage peuvent ne pas être pris en charge. Cependant, comme les entreprises passent de plus en plus d'une simple conformité à une véritable sécurité, les principaux fournisseurs de services en nuage améliorent activement leurs offres de cryptage qui reposent sur des clés gérées par le client. Chaque client doit évaluer les avantages et les risques comparables et déterminer le modèle de gestion des clés qui répond le mieux à ses besoins.