Le principal argument contre le cloud computing mis en avant par ses détracteurs est la sécurité. BYOE assure la sécurité de tous vos services cloud. Voyons comment.
Dans le cloud computing, le propriétaire des données n’a aucun contrôle direct sur celles-ci et est obligé de compter sur le fournisseur de services cloud pour les protéger contre tout accès non autorisé. La solution la plus couramment acceptée pour protéger les informations résidant dans les nuages consiste à les chiffrer.
Le problème avec le cryptage des données est qu’il empêche non seulement les utilisateurs non autorisés d’accéder aux données, mais ajoute également des complications à l’utilisation des données pour les utilisateurs légitimement autorisés.
Supposons qu’une entreprise héberge ses données sous forme chiffrée sur l’infrastructure d’un fournisseur de services cloud (CSP). Dans ce cas, il a besoin d’une forme efficace de déchiffrement qui ne complique pas l’utilisation des données et des applications par les utilisateurs, ni n’affecte négativement leur expérience utilisateur.
De nombreux fournisseurs de cloud offrent à leurs clients la possibilité de garder leurs données chiffrées, en leur donnant des outils pour rendre le déchiffrement transparent et inaperçu par les utilisateurs autorisés.
Cependant, tout schéma de chiffrement robuste nécessite des clés de chiffrement. Et lorsque le chiffrement des données est effectué par le même CSP qui détient les données, les clés de chiffrement sont également détenues par ce CSP.
Ainsi, en tant que client d’un CSP, vous ne pouvez pas avoir un contrôle total sur vos données, car vous ne pouvez pas être sûr que votre CSP conservera les clés de chiffrement en toute sécurité. Toute fuite de ces clés pourrait laisser vos données complètement exposées à un accès non autorisé.
Table des matières
Pourquoi avez-vous besoin de BYOE
BYOE (apportez votre propre cryptage) peut également être appelé BYOK (apportez vos propres clés), bien que, comme il s’agit de concepts relativement nouveaux, différentes entreprises peuvent donner à chaque acronyme une signification différente.
BYOE est un modèle de sécurité spécifiquement adapté au cloud computing, qui permet aux clients du service cloud d’utiliser leurs propres outils de chiffrement et de gérer leurs propres clés de chiffrement.
Dans le modèle BYOE, les clients d’un CSP déploient une instance virtualisée de leur propre logiciel de chiffrement, ainsi que l’application qu’ils hébergent dans le cloud.
L’application est configurée de manière à ce que toutes ses informations soient traitées par un logiciel de cryptage. Ce logiciel crypte les données et les stocke sous forme de texte chiffré dans le référentiel de données physique du fournisseur de services cloud.
Un avantage important du BYOE est qu’il permet aux entreprises d’utiliser des services cloud pour héberger leurs données et applications tout en respectant les critères de confidentialité des données imposés par les régulateurs dans certains secteurs. Même dans des environnements tiers multilocataires.
Cette approche permet aux entreprises d’utiliser la technologie de chiffrement qui répond le mieux à leurs besoins, quelle que soit l’infrastructure informatique du fournisseur de services cloud.
Avantages du BYOE
Les principaux avantages que vous pouvez tirer de l’utilisation de BYOE sont :
- Sécurité accrue des données hébergées sur des infrastructures tierces.
- Contrôle total du cryptage des données, y compris l’algorithme et les clés.
- Surveillance et contrôle d’accès comme valeur ajoutée.
- Chiffrement et déchiffrement transparents afin de ne pas affecter l’expérience d’utilisation des données.
- Possibilité de renforcer la sécurité avec des modules matériels de sécurité.
Il est communément admis qu’il suffit que les informations soient cryptées pour être à l’abri des risques, mais ce n’est pas le cas. Le niveau de sécurité des données chiffrées est aussi élevé que la sécurité des clés utilisées pour les déchiffrer. Si les clés sont exposées, les données seront exposées, même si elles sont cryptées.
Le BYOE est un moyen d’éviter que la sécurité des clés de chiffrement ne soit laissée au hasard et la sécurité mise en place par un tiers, c’est-à-dire votre CSP.
BYOE est le verrou final d’un système de protection des données qui, autrement, aurait une violation dangereuse. Avec BYOE, même si les clés de chiffrement de votre CSP sont compromises, vos données ne le seront pas.
Comment fonctionne BYOE
Le schéma de sécurité BYOE exige que le CSP offre à ses clients la possibilité d’utiliser leurs propres algorithmes de chiffrement et clés de chiffrement.
Pour utiliser ce mécanisme sans affecter l’expérience utilisateur, vous devrez déployer une instance virtualisée de votre logiciel de chiffrement aux côtés des applications que vous hébergez sur votre CSP.
Les applications d’entreprise dans le schéma BYOE doivent être configurées de sorte que toutes les données qu’elles traitent passent par l’application de chiffrement.
Cette application sert de proxy entre le front et le back-end de vos applications métier, de sorte qu’à aucun moment les données ne sont déplacées ou stockées en clair.
Vous devez vous assurer que le back-end de vos applications métier stocke une version chiffrée de vos données dans le référentiel de données physique de votre CSP.
BYOE contre chiffrement natif
Les architectures qui implémentent BYOE offrent une plus grande confiance dans la protection de vos données que les solutions de chiffrement natives fournies par les CSP. Ceci est rendu possible grâce à l’utilisation d’une architecture qui protège les bases de données structurées ainsi que les fichiers non structurés et les environnements Big Data.
En utilisant des extensions, les meilleures solutions BYOE vous permettent d’utiliser les données même pendant les opérations de cryptage et de ressaisie. D’autre part, l’utilisation de la solution BYOE pour surveiller et enregistrer l’accès aux données est un moyen d’anticiper la détection et l’interception des menaces.
Il existe également des solutions BYOE qui offrent, comme valeur ajoutée, un cryptage AES hautes performances, renforcé par une accélération matérielle, et des politiques de contrôle d’accès granulaires.
De cette façon, ils peuvent établir qui peut accéder aux données, à quel moment et par quels processus, sans avoir besoin de recourir à des outils de surveillance spécifiques.
Gestion des clés
En plus d’utiliser votre propre module de chiffrement, vous aurez besoin d’un logiciel de gestion des clés de chiffrement (EKM) pour gérer vos clés de chiffrement.
Ce logiciel permet aux administrateurs informatiques et de sécurité de gérer l’accès aux clés de chiffrement, ce qui permet aux entreprises de stocker plus facilement leurs propres clés et de les garder hors de la portée de tiers.
Il existe différents types de clés de chiffrement selon le type de données à chiffrer. Pour être vraiment efficace, le logiciel EKM que vous choisissez doit pouvoir traiter tout type de clé.
Une gestion flexible et efficace des clés de chiffrement est essentielle lorsque les entreprises combinent des systèmes cloud avec des systèmes sur site et virtuels.
Renforcer le BYOE avec un HSM
Un module de sécurité matériel, ou HSM, est un dispositif de sécurité physique utilisé pour effectuer des opérations cryptographiques rapidement et avec une sécurité maximale. Ces opérations cryptographiques comprennent le chiffrement, la gestion des clés, le déchiffrement et l’authentification.
Les HSM sont conçus pour une confiance et une robustesse maximales et sont idéaux pour protéger les données classifiées. Ils peuvent être déployés en tant que cartes PCI Express, périphériques autonomes avec interfaces réseau Ethernet ou simplement périphériques USB externes.
Ils disposent de leur propre système d’exploitation, spécialement conçu pour maximiser la sécurité, et leur accès au réseau est protégé par un pare-feu.
Lorsque vous utilisez un HSM en combinaison avec BYOE, le HSM assume le rôle de proxy entre vos applications métier et les systèmes de stockage de votre CSP, en prenant en charge tout le traitement cryptographique nécessaire.
En utilisant le HSM pour les tâches de chiffrement, vous vous assurez que ces tâches n’imposent pas de retards gênants au fonctionnement normal de vos applications. De plus, avec un HSM, vous minimisez les risques que des utilisateurs non autorisés interfèrent avec la gestion de vos clés ou algorithmes de chiffrement.
À la recherche de normes
Lors de l’adoption d’un schéma de sécurité BYOE, vous devez examiner ce que votre CSP peut faire. Comme nous l’avons vu tout au long de cet article, pour que vos données soient réellement sécurisées dans l’infrastructure d’un CSP, le CSP doit s’assurer que vous pouvez installer votre propre logiciel de chiffrement ou HSM avec vos applications, que les données seront chiffrées dans les référentiels du CSP, et que vous et personne d’autre n’aurez accès aux clés de cryptage.
Vous pouvez également explorer certaines des meilleures solutions de courtier de sécurité d’accès au cloud pour étendre les systèmes de sécurité sur site de l’organisation.