Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Pierre-Jean Leca, Prim’X Technologies : Cryhod-Server, le chiffrement au service de la confidentialité des informations dans le Cloud

septembre 2014 par Emmanuelle Lamandé

La confidentialité des informations externalisées est l’un des principaux défis inhérents au Cloud. Cryhod-Server a été conçu pour offrir aux fournisseurs de services de type IaaS une solution capable de chiffrer au niveau secteur toutes les partitions d’une machine physique ou virtuelle. L’objectif, comme l’explique Pierre-Jean Leca, Directeur Technique de Prim’X Technologies, est de pouvoir bénéficier de la souplesse du Cloud IaaS, sans faire pâtir la sécurité des informations de l’entreprise, tout en étant conformes aux exigences de sécurité en la matière.

GS Mag : Quels sont les principaux risques de sécurité liés au Cloud qui peuvent toucher les entreprises aujourd’hui ?

Pierre-Jean LECA : Le Cloud est un terme fourre-tout qui regroupe de nombreuses technologies et usages, dont le point commun est d’apporter une plus grande souplesse de gestion et de déploiement des ressources informatiques. De nombreux prestataires offrent des services complets sur les différents modèles de Cloud (principalement SaaS, IaaS, PaaS) et permettent d’externaliser une partie des ressources informatiques, de manière plus ou moins opaque. La confidentialité des informations externalisées est à nos yeux le principal défi de ces nouveaux usages. Si on prend par exemple un service « Storage as a Service », qui vous offre un espace de stockage souple et accessible depuis n’importe quel terminal, il est évident que vous ne souhaitez pas que l’hébergeur puisse « comprendre » vos données. Par contre, vous comptez sur eux pour qu’ils assurent les services associés au stockage, notamment le backup.

GS Mag : Comment votre solution peut-elle répondre à ces menaces ?

Pierre-Jean LECA : Notre approche est pragmatique et nous nous appuyons sur notre base de clients et de partenaires pour cibler les besoins les plus prégnants liés à ces nouveaux usages. Notre ambition, celle-là même qui anime Prim’X depuis sa création, est de constamment nous adapter aux nouvelles solutions informatiques pour y insérer notre couche technologique de confidentialité. Le Cloud est un défi passionnant et nous voulons à terme apporter une solution pour chaque catégorie de service. Pour les services « Software as a Service », la solution est forcément spécifique et très liée à l’application concernée. Notre produit ZonePoint, qui permet de chiffrer les données hébergées par SharePoint en est un exemple. Du côté de la virtualisation du poste de travail, avec des technologies de type VDI, SBC ou Desktop as a Service, nos produits ZoneCentral ou Cryhod offrent une solution simple à mettre en œuvre et garantissent la confidentialité des données utilisateur. ZoneCentral est d’ailleurs utilisé depuis longtemps et avec succès par nos clients pour les espaces utilisateurs en mode Remote Desktop-Terminal Server, Citrix XenApp pour ne citer qu’eux. Du côté IaaS ou PaaS, Cryhod Server permet de chiffrer vos VDI serveur et ainsi de vous conformer à la réglementation en vigueur.

GS Mag : Comment fonctionne techniquement Cryhod-Server ?

Pierre-Jean LECA : Notre produit Cryhod permet de chiffrer au niveau secteur toutes les partitions d’une machine physique ou virtuelle. C’est ce qu’on appelle du « chiffrement de surface ». Une authentification est réalisée au démarrage de la machine, avant que le système hôte ne se lance, car il est lui-même chiffré. Cette technologie a été adaptée pour offrir une solution de chiffrement aux fournisseurs de services de type IaaS : la phase d’authentification au pré-boot peut s’effectuer à distance, sur un canal RDPS, et être connectée à un serveur de clés externe. La clé utilisée pour chiffrer les disques peut être produite directement sur la machine par Cryhod ou produite par le dispositif de gestion de clés. Lors du démarrage du serveur virtuel, qui doit se faire sans interaction utilisateur, les clés nécessaires sont récupérées depuis le service de gestion de clés selon un protocole sécurisé. La machine peut alors démarrer et tournera au-dessus de VDI intégralement chiffrés. Nous faisons en sorte que ce chiffrement reste compatible avec les technologies classiques de gestion de machines virtuelles : snapshots, clonage, backup, etc. L’autre point important de cette solution est qu’elle se veut indépendante d’infrastructure technique sous-jacente, que cela soit par exemple du VMWare ou de l’OpenStack.

GS Mag : Quelles sont les principales caractéristiques techniques de votre solution Cryhod-Server ?

Pierre-Jean LECA : Comme avec nos autres produits, nous ne voulons pas être liés à un OS ou à une infrastructure. Cryhod Server est donc disponible pour les OS Windows et Linux (CentOS, RHEL), en 32 et 64 bits. Un service de ‘dépannage’ est également à disposition et permet de réaliser une authentification pré-boot en Remote Desktop Protocol. Le service de gestion de clés est pour l’instant propriétaire, développé par notre partenaire Numergy, mais nous comptons rapidement pouvoir nous reposer sur des serveurs de clés offrant le protocole standard KMIP.

GS Mag : Quels sont vos conseils en termes de déploiement d’une telle solution ?

Pierre-Jean LECA : Notre solution se veut la plus transparente possible, avec un surcoût d’exploitation très faible, voire inexistant. L’offre Cryhod mise à disposition sur les plateformes Numergy est taillée pour que nos clients puissent chiffrer leurs serveurs virtuels sans avoir à se soucier de la mise en œuvre technique : le chiffrement est intégré aux machines virtuelles louées et activé de manière automatique.

GS Mag : Quels sont les bénéfices de votre solution pour les SI ?

Pierre-Jean LECA : Pouvoir bénéficier de la souplesse du Cloud IaaS sans faire pâtir la sécurité des informations de l’entreprise, et être conformes aux exigences de sécurité en la matière.

GS Mag : Qu’est-ce qui fait la spécificité de votre laboratoire de développement ?

Pierre-Jean LECA : Le besoin qu’adressent nos produits est universel, et lié à tous les domaines techniques où un utilisateur est susceptible de produire ou consommer de l’information. Ca fait notre bonheur : dans notre département R&D, nous pouvons avoir dans le même bureau un ingénieur qui travaille sur un driver Kernel Linux et un autre qui travaille sur des scripts Web en Javascript. Même si nous disposons d’experts techniques très pointus sur certains domaines, nous promouvons le brassage et l’interchangeabilité des intervenants sur nos produits. Cela nous permet d’avoir une vraie cohérence et complémentarité entre nos produits, et de développer l’esprit d’entreprise. Les défis techniques sont variés, et ça nous permet d’avoir un turnover extrêmement faible, voire inexistant si on retire les raisons de départ géographiques. L’autre point important est l’implication de notre équipe Qualité directement au sein de la R&D : ils interviennent dès la phase de conception et sont en contact direct avec nos développeurs. Par ailleurs, notre laboratoire est audité régulièrement dans le cadre des travaux de certification de nos produits et la sécurité est au cœur de nos processus de développement.

GS Mag : Pour conclure, quel serait votre message au RSSI/DSI ?

Pierre-Jean LECA : L’ANSSI a réalisé un travail précieux pour définir un référentiel d’exigences pour les solutions et prestataires dans le domaine du Cloud : il faut s’appuyer sur ces recommandations et se tourner vers des produits certifiés. Le chiffrement sur le Cloud est un défi technologique, notamment dans le domaine SaaS, et la certification est selon moi le seul moyen objectif de déterminer qu’aucun compromis avec la sécurité n’a été pris pour obtenir tel ou tel résultat fonctionnel.

- Pour tout renseignement :
Nicolas Bachelier, Directeur Commercial
contact@primx.eu
Tél : +33 (0)1 77 72 64 80
www.primx.eu


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants