Sergey Nivens - Fotolia
G Suite : Google envisagerait de laisser les entreprises gérer leurs clefs de chiffrement
Alors que les questions de confidentialité préoccupent de plus en plus les groupes européens, Google envisagerait cette option que d'autres acteurs SaaS B2B proposent déjà. L'éditeur met néanmoins en garde contre les « effets de bord ».
Avec Philippe Ducellier.
La chose n'est pas encore faite mais, selon nos informations, Google est en train d'explorer sérieusement la possibilité de laisser les entreprises clientes de sa G Suite gérer elles-mêmes leurs clefs de chiffrement.
Cette possibilité est un atout pour convaincre des secteurs critiques pour qui la confidentialité vis-à-vis du fournisseur (s'assurer qu'il ne peut pas exploiter les données qu'on lui confie) est aussi importante que la sécurité (s'assurer qu'un tiers ne pourra pas voler ou modifier les données).
Google vise les entreprises
Malgré le coût supplémentaire et la prise en charge technique qu'elle induit, la gestion des clefs par le client lui-même est de plus en plus envisagée par les entreprises, dans un contexte où le CLOUD Act et le PATRIOT Act - ainsi que leurs débordements potentiels - préoccupent quasiment tous les grands groupes.
Or Google veut séduire les entreprises. Le choix de Diane Greene, co-fondatrice de VMware, pour diriger son activité cloud en est un signe très clair. Une nouvelle philosophie de support clients, les évolutions d'Android dans la mobilité ou le dernier Google Cloud Summit à Paris en témoignent également.
Pourtant, à l'heure actuelle, la version professionnelle de la suite bureautique et de collaboration de Google - Gmail, Docs, Drive, Agenda, Hangouts - ne permet pas de gérer ses clefs en natif.
Une approche de plus en plus répandue
Reste que Google serait d’autant plus avisé de proposer aux entreprises de gérer elles-mêmes leurs clés de chiffrement qu’un nombre croissant d’éditeurs d'applications B2B en mode SaaS propose déjà cette possibilité.
C'est le cas de Salesforce dans le CRM, de ServiceNow dans l'ITSM, de Anaplan dans la planification budgétaire, de Box dans le partage et la synchronisation de fichiers (EFSS) ou depuis peu de Slack dans les outils de collaboration. D'autres y travaillent activement comme Workday, dans le HCM et la gestion financière. Surtout, le grand concurrent de G Suite, Office 365, le propose également. Qui plus est, Microsoft propose sur Azure un service de gestion des clés de chiffrement depuis 2015. Google, lui, n’a ouvert les portes du sien que deux ans plus tard.
Des alternatives
Face aux impacts possibles du CLOUD Act et du PATRIOT Act sur les entreprises utilisatrices de SaaS, des alternatives existent, comme l'utilisation d'une passerelle d’accès cloud sécurisé (CASB).
De son côté, Google met en avant un partenariat avec Virtru, spécifiquement pour le courrier électronique. Ce que propose Virtru n’a pas les prétentions d’un CASB. Mais il s’agit tout de même de pouvoir chiffrer courriels et fichiers, sur G Suite comme Office 365.
Reste que la perspective relève plus là du contrôle des échanges et de la maîtrise de la circulation des données, que de la confidentialité vis-à-vis du fournisseur de l’environnement cloud, même si elle n’est pas absente. On retrouve la même logique dans les offres de Difenso, jeune pousse française dont la solution a reçu la certification de premier niveau (CSPN) de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), ou encore de Vera.
Attention toutefois, Virtru propose deux versions de son offre : une où le service gère lui-même les clefs et une autre où seul le client en a le contrôle. De son côté, Vera se distingue en proposant un kit de développement permettant d’intégrer directement le support de sa plateforme de chiffrement et de contrôle des données dans des applications métiers.
Effets de bord du chiffrement
Cet effort de Vera n’a rien d’un luxe. Car, comme le souligne Google, le chiffrement des fichiers n’est pas forcément sans « effets de bord ». A défaut d’intégration avec l’infrastructure du service, il n’est pas question d’y accéder directement depuis ses applications bureautiques : une couche de déchiffrement s’impose, soit dans l’infrastructure de l’entreprise cliente, soit directement sur les postes de travail. Et dans ce cas, couplée à une utilisation d’applications lourdes classiques.
Dès lors, une fois les données chiffrées côté client, les mécanismes d'indexation (et donc de recherche), de protection (antivirus et antimalware), de prévention des fuites de données, ou d'archivage légal et de e-discovery ne peuvent plus fonctionner, relève Google.
L’éditeur rappelle également que si le client a un problème dans sa gestion des clés, toutes ses données dans G Suite pourraient être définitivement perdues. D'où la question, elle aussi critique, de la gestion des clefs chez les entreprises.
Rappelons enfin d'un point de vue sécurité (et non confidentialité) qu'au sein de G Suite, toutes les données sont chiffrées en mouvement, au repos et dans les backups.