Maîtriser ses clés de chiffrement : les pour et contre
Les services de chiffrement permettant de gérer soi-même ses clés se multiplient. Mais les gains de sécurité sont-ils réels ?
Les services de chiffrement laissant à leurs clients gérer eux-mêmes leurs clés – BYOK, ou Bring-Your-Own-Key – permettent de garder le contrôle sur les données chiffrées. Pour les entreprises inquiètent de la manière dont son partagées et gérées leurs données, le BYOK permet de limiter le risque d’exposition involontaire et incontrôlée.
Mais que se passe-t-il lorsque le fournisseur de stockage Cloud gère lui-même les clés ? Il est responsable de la création du système de gestion des clés pour servir tous ses clients. Système protégé par les mesures de sécurité mises en place par ce fournisseur et qui recouvrent notamment supervision et procédures d’audit.
Certains clients utilisant un tel service peuvent parfaitement se satisfaire de laisser leur fournisseur gérer tous les aspects du chiffrement. Les petites entreprises, par exemple, peuvent ne pas avoir l’expertise requise ou le temps nécessaire à la gestion des clés. Dans un tel cas, faire confiance au fournisseur de son service de stockage peut être la meilleure option pour maintenir le niveau de sécurité que l’on souhaite.
Des organisations sujettes à des réglementations industrielles ou légales, ou aux exigences élevées en matière de contrôle d’accès aux données, peuvent en revanche vouloir mieux contrôler leurs données et leur chiffrement. Et de vouloir alors gérer elles-mêmes leurs clés de chiffrement.
Il est un scénario où ce contrôle peut s’avérer particulièrement important. En particulier, contrôler les clés de chiffrement permet d’empêcher la justice de son pays – ou d’un pays tiers – de se contenter de solliciter le prestataire de service pour obtenir un accès aux données : la justice doit alors se tourner vers le détenteur des clés, à savoir l’entreprise utilisatrice du service. De quoi au moins lui garantir d’être informée de l’existence d’une telle procédure, de la délivrance d’un mandat à son encontre, voire de le contester devant un tribunal.
Lorsque les organisations veulent ou doivent garder le contrôle sur la divulgation de données, le chiffrement en BYOK peut aider à obtenir le niveau de contrôle voulu. Et cela concerne des aspects légaux bien au-delà du périmètre de la sécurité de l’information : c’est au conseil juridique de l’organisation de trancher le sujet.
Adapté de l’anglais.