Ainsi, le principal vecteur du chiffrement dans le cloud est la nécessité d’assurer que des données sensibles (propriétés intellectuelles, secrets économiques ou données régulées comme les informations de paiement d’un client) qui seraient exposées en raison d’une faille de sécurité, ne puissent pas être utilisables. De plus, dans certains secteurs, le lieu de stockage des données ou des règlementations spécifiques requièrent un contrôle des clés de chiffrement, ce qui poussent les entreprises à adopter le chiffrement dans le cloud. Dans des applications comme Salesforce, les données sont stockées de façon structurée, alors que dans des applications de partage de fichiers comme Box les laissent de façon non structurée. Dans les deux cas, l’outil le plus couramment utilisé pour le chiffrement est un CASB ou Cloud access security broker.

Chiffrer des données dans le cloud n’est pas simple

Les CASB jouent les intermédiaires entre les applications dans le cloud et le monde de l’entreprise avec une combinaison de proxy et de connecteurs API (Application Program Interface). Ainsi, ils créent un point central pour contrôler le fonctionnement des applications cloud utilisées par l’entreprise. Ce contrôle prend la forme d’une prévention des pertes de données, d’un contrôle d’accès contextualisé et, surtout, d’un chiffrement des données au repos dans le cloud.

Utiliser un CASB pour le chiffrement comporte toutefois une part de difficultés. Pour préserver les fonctions proposées par les applications, bien que la donnée soit chiffrée, certains CASB réduisent la force de leur chiffrement. En effet quand la donnée est chiffrée, l’application ne peut pas la lire et perd toute possibilité d’interagir avec elle. La fonction Recherche en est le meilleur exemple. Si un commercial veut effectuer une recherche dans un fichier client chiffré, l’application ne pourra le lire, rendant la fonctionnalité inutilisable. En réduisant la force du chiffrement, un CASB peut « casser » son propre code pour permettre l’utilisation de fonctions critiques comme la recherche. Bien sûr, cela réduit fortement l’efficacité globale du chiffrement et rend, par conséquent, les données plus vulnérables. Les entreprises se retrouvent alors face à un dilemme aux alternatives peu intéressantes : perdre des fonctionnalités ou avoir une sécurité plus faible.

Résoudre l’équation entre sécurité et usage

Le dernier développement en matière de chiffrement dans le cloud consiste à prendre une approche en « indexation divisée » (ou « split index ») pour chercher des données dans le cloud. La première fois qu’ils sont déployés, les connecteurs API du CASB analysent les applications utilisées dans le cloud, identifient les données sensibles et laissent les responsables métier décider exactement ce qu’ils veulent chiffrer. Le CASB va alors remplacer toutes les données sensibles par des copies chiffrées. La société cliente garde, dans ce scénario, le contrôle des clés de chiffrement. Les données chiffrées peuvent être stockées dans le cloud ou en local. Dans ce dernier cas, la seule information donnée à l’application dans le cloud est un pointeur chiffré indiquant où se trouve la donnée dans les serveurs locaux de son client.

L’approche en indexation divisée préserve la fonction recherche en la déplaçant de l’application au CASB. À mesure que les données sont chiffrées, un index local sécurisé est créé sur site avec des pointeurs vers les différentes données chiffrées associées à des mots clés dans l’index. Lorsqu’un utilisateur cherche une donnée, la requête s’exécute auprès de l’index local, retournant tous les bons pointeurs au CASB. Celui-ci cherche alors au sein de l’application dans le cloud ces pointeurs et retrouve les fichiers et dossiers chiffrés, en les déchiffrant à la volée.

Ainsi, les données sensibles ne sont dévoilées qu’à ceux qui ont besoin d’y accéder. Comme elles sont chiffrées dans l’application, elles ne peuvent être lues par les tiers, y compris les agences gouvernementales, et même au sein de l’entreprise, l’accès est lié à la gouvernance interne des données mise en place. Les équipes chargées de la sécurité informatique reprennent ainsi le contrôle complet sur qui accède à quoi et à quel moment. Grâce au chiffrement dans le cloud ainsi mis en œuvre, l’entreprise prend de l’avance pour se conformer au futur RGPD (Réglement Général de Protection des données) qui renforcera les obligations en matière de gestion des données personnelles pour les entreprises ayant des clients dans l’Union européenne.

Pour de nombreuses entreprises, les problèmes liés à la sécurisation des données expliquent la défiance des équipes de sécurité informatique vis-à-vis des applications dans le cloud public. Le chiffrement dans le cloud est une solution, mais les entreprises ne devraient pas avoir à choisir entre la sécurité de leurs données et l’utilité de l’application. Le chiffrement basé sur l’indexation divisée permet aux entreprises de tirer tous les bénéfices des applications dans le cloud, tout en rendant un contrôle et une visibilité totale sur les données à leurs équipes sécurité informatique.