tostphoto - stock.adobe.com
Eviden lance un service HSMaaS « souverain »
La filiale d’Atos a annoncé un HSM as a Service « prêt pour le chiffrement post-quantique » basé sur sa baie 2U Proteccio. Si ce produit a obtenu la qualification renforcée auprès de l’ANSSI, la mention souveraine n’est pas totalement justifiée.
En marge des assises de la sécurité, Eviden, filiale d’Atos, a présenté une solution « HSM as a Service » bénéficiant de la qualification renforcée, le troisième et plus haut niveau de qualification attribué après audit par l’ANSSI à un produit de sécurité.
« Le produit doit résister à un attaquant disposant de compétences techniques sophistiquées et de ressources illimitées ainsi que d’un soutien étatique et/ou de groupes criminels », définit l’ANSSI.
Une offre de chiffrement externalisée
Le produit en question n’est autre que le HSM Trustway Proteccio développé par une autre entité d’Atos, Bull. Eviden ne précise pas le modèle qui motorise son HSMaaS, mais l’agence nationale de la sécurité des systèmes d’information lui a décerné le 5 août la fameuse qualification renforcée pour le modèle V167/X170, valable jusqu’au 1er juillet 2025. Tout comme son prédécesseur, le v128/X130, il a obtenu la certification critères communs 3.1 au niveau EAL4+.
Pour respecter la qualification renforcée, le HSM doit être déployé d’une certaine manière. De plus, il vaut mieux en installer deux pour des questions de résilience. Or un serveur de ce type coûte au bas mot 15 000 euros pièce.
Le service PQC HSMaaS d’Eviden est hébergé « dans des data centers résilients et souverains en France ». Le personnel ayant accès au matériel est également français. « Il minimise ainsi la dépendance vis-à-vis des fournisseurs de cloud public, renforçant à la fois la souveraineté des données et la conformité réglementaire », prétend Eviden.
En clair, il sera possible d’externaliser le chiffrement pour chiffrer des données et des bases de données stockées dans des clouds publics ou privés.
Eviden n’a néanmoins pas annoncé de partenariat spécifique avec les fournisseurs de cloud américains ou européens.
Les débuts du chiffrement post-quantiques
Le service porte la mention PQC parce qu’il prend en charge les algorithmes « post quantiques » CRYSTALS en sus des AES 256, RSA 2048, Signature Ecdsa 256 bits et différents algorithmes de hachage (SHA 256, 384, 512, etc.)
CRYSTALS Dilithium est un algorithme de signature, tandis que CRYSTALS Kyber correspond à un mécanisme d’échange de clés.
« Cette solution permet non seulement aux entreprises de se protéger contre les menaces émergentes telles que l’informatique quantique grâce à la prise en charge de du chiffrement post-quantique, mais elle nous positionne également comme un partenaire stratégique pour aider les organisations à répondre aux exigences strictes de la directive NIS2 », écrit Antoine Schweitzer-Chaput, responsable de l’unité commerciale Trustway, chez Eviden, dans un communiqué de presse.
En revanche, même si elle semble respecter les principales recommandations de l’ANSSI, l’offre PQC HSMaaS n’est pas hébergée dans un cloud qualifié SecNumCloud. Si Eviden ne le précise pas, c’est que ce n’est pas forcément le cas. D’ailleurs, derrière la mention « souveraine », le fournisseur ajoute la parenthèse (UE).
Reste à voir si l’usage des algorithmes CRYSTALS est aisé et compatible avec les solutions du marché. Ici, l’intérêt est de bénéficier « d’un abonnement mensuel » pour gérer le chiffrement de données. Là encore, la filiale d’Atos ne détaille pas la tarification – par exemple, elle ne précise pas si l’abonnement dépend de la consommation d’un nombre de clés et de rotation de clés –, mais son offre vient concurrencer un service Thales Luna Cloud HSM Service basé sur les HSM Luna.
Si Thales ne parle pas de souveraineté, il a déjà des partenariats avec Google Cloud, Microsoft et Oracle Cloud Infrastructure.
En outre, avec Cloud EKM, Google Cloud ne prend pas en charge les HSM d’Atos-Bull. AWS semble plus ouvert en la matière. OVHcloud ne propose pas de solution de chiffrement externe, et exploite des HSM Luna.
En revanche, Thales ne paraît pas avoir de HSM ayant obtenu la qualification renforcée.