Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Difenso, éditeur de logiciels de génération de clés de chiffrement et de déchiffrement de données sensibles, a choisi l’hébergement IaaS de KDDI France

juin 2020 par rédigé pour la société KDDI France par les analystes de MARKESS

Entretien avec René-Claude Dahan CEO de Difenso sur son retour d’expérience en matière d’hébergement critique.

Quelles sont les activités de Difenso ?

Difenso est un éditeur de logiciels spécialisé dans le chiffrement natif de la donnée. Fruit de cinq ans de R&D, nos solutions permettent de générer des clés de chiffrement et de déchiffrement de données sensibles. Notre modèle est simple : nous générons une clé unique et aléatoire pour chiffrer un bloc de données de 64 Mb quel que soit son format. Une donnée volumineuse peut avoir plusieurs clés différentes ce qui rend très complexe l’attaque par force brute. Notre mécanisme de cryptographie repose sur trois services : notre système de production de clés de chiffrement et de déchiffrement (Difenso Core System - DCS) qui s’appuie sur un (Hardware Security Module – HSM) d’Atos/Bull, l’ensemble est certifié par l’ANSSI, notre serveur (Difenso Web Services - DWS) qui récupère les données en « clair » de nos clients via des services web (API) sécurisés. Nous ne stockons aucune donnée en dehors de metadata et nous détruisons immédiatement les clés dès qu’elles ont été utilisées. Les clés n’existent que le temps du chiffrement et du déchiffrement des données. Basées sur l’algorithme symétrique AES-256, les clés de chiffrement associées aux données sensibles permettent à celles-ci de voyager et d’être stockées n’importe où, en toute sécurité. En 2017, notre technologie a été certifiée (Certification de Sécurité de Premier Niveau - CSPN) par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Notre certification porte à la fois sur la solution et les algorithmes qui la constituent. Nous sommes détenteurs depuis 2018 d’un Visa de Sécurité qui a une portée européenne. Notre solution répond également aux recommandations de chiffrement du RGPD (Règlement Général sur la Protection des Données) pour garantir la confidentialité, l’intégrité et la traçabilité des données à caractère personnel.

A qui s’adressent vos solutions et à quels enjeux répondez-vous en matière de sécurité et de protection des données ?

En chiffrant les données de façon native, nos solutions permettent à nos clients de répondre aux enjeux sécuritaires et de conformité réglementaire auxquels ils font face en matière de protection de données sensibles. Une grande variété d’entreprises sont concernées :
- Les hébergeurs non certifiés et non européens peuvent ainsi crédibiliser leurs offres au regard des exigences du RGPD par exemple ;
- Les organisations et les professionnels manipulant des données de santé peuvent chiffrer tout format de données (textes, fichiers au format PDF, vidéos, données saisies dans des applications, imageries médicales comme les radiographies, etc.) et ainsi s’affranchir d’un centre de données dédié (HDS) tout en s’assurant de la conformité aux exigences réglementaires françaises et européennes en matière de traitement de données de santé ;
- Les éditeurs d’applications en mode SaaS (Software as a Service) peuvent traiter et stocker des données sensibles en garantissant leur confidentialité et leur intégrité ;
- Les entreprises peuvent en tirer parti au sein de leur système d’information et pour leurs applications critiques hébergés dans leurs centres de données. La tendance est à la migration des systèmes d’information vers le cloud et à l’utilisation de solutions en mode SaaS. Les entreprises qui en font usage ont des enjeux majeurs en matière de protection de données sensibles. D’où l’importance de chiffrer les données. Pour les applications manipulant des données non sensibles, les entreprises utilisent généralement les outils de chiffrement proposés par l’éditeur de l’application. Pour les données sensibles, elles vont de plus en plus se tourner vers des solutions tierces, comme la nôtre.

Quels sont les contraintes et les bénéfices de vos solutions ?

Quel que soit le mode d’utilisation ou le modèle de l’environnement cible (application en mode SaaS, hébergement dans le cloud ou sur site – ‘on premise’), la seule contrainte est l’obligation d’être connecté à notre écosystème. Nous ne pouvons assurer la confidentialité, l’intégrité et la traçabilité des données à protéger que si nous sommes en mesure de pouvoir joindre nos frontaux applicatifs dédiés avec une qualité de service irréprochable. Nos solutions garantissent une sécurité de bout en bout et permettent de contrôler et de maîtriser l’ensemble du cycle de vie de la donnée protégée. Ainsi, une entreprise peut à tout instant interagir en autorisant son déchiffrement sur un laps de temps décidé par elle ou l’inactiver définitivement afin de répondre au « droit à l’oubli ». Nous utilisons les algorithmes de chiffrement AES-256 et HMAC-256 pour les fonctions de hachages tous deux recommandés par l’ANSSI et obligatoires après 2020 en termes de qualité cryptographique. Toute donnée ne peut être modifiée sans que son propriétaire n’en maîtrise son cycle de vie, chaque transaction est scellée par un sceau délivré par le HSM qui est juridiquement opposable aux tiers.

Pourquoi avoir fait le choix de KDDI France ?

Début 2016, nous avons réalisé un comparatif des offres d’hébergement susceptibles de répondre à nos besoins en hébergement d’environnements de production (PROD) nécessitant un niveau de sécurité très élevé et de pouvoir y installer des HSM (Hardware Security Module) connectés sur le cœur de réseau pour les clients qui en feraient la demande. Au-delà, la prestation attendue pouvait aussi porter sur l’hébergement de POC (Proof Of Concept). Sept scénarios ont été évalués auprès de quatre hébergeurs sollicités. KDDI France a été le seul hébergeur, parmi ceux comparés, à apporter une réponse conforme à nos attentes pour chacun de ces scénarios. Ils permettaient l’hébergement de PROD et de POC. Ils sont apparus plus solides dans leur réponse et avec un meilleur niveau en matière de processus sécuritaires. Sans être certifiés par l’ANSSI au moment de l’évaluation, ils étaient cependant certifiés ISO27001 et PCI-DSS. La possibilité d’avoir des connexions via réseau privé à nos clients était un plus que ne proposaient pas d’autres hébergeurs évalués. Par ailleurs, la proximité de leurs centres de données par rapport à nos sites de développement était un facteur à prendre en compte, au-delà de celui impératif de leur localisation en France. Enfin, à périmètre quasi-équivalent, ils étaient compétitifs au niveau des tarifs.

Aujourd’hui, en donnant accès à nos solutions sur leurs plates-formes IaaS et en nous donnant l’opportunité de les ‘plugger’ sur toutes leurs infrastructures, KDDI France s’inscrit aussi avec nous dans une relation de partenariat dans la durée. Dans les prochaines années, ce partenariat devrait nous aider à nous développer au niveau mondial et auprès des clients de KDDI (dont plus de 2 000 grandes entreprises dans le monde).

Quelles sont vos prochaines étapes de développement et comment voyez-vous la contribution de votre hébergeur à valeur ajoutée dans ce processus ?

Difenso a été créé en 2015, nous avons levé 2,6 millions d’euros auprès d’investisseurs privés de fonds de la région de Bretagne et de prêts BPI. En 2019, notre solution a fait l’objet de plusieurs PoC’s dans de grandes entreprises du CAC 40. Ces projets sont aujourd’hui en phase d’intégration qui seront suivis d’une phase de déploiement à grande échelle. Ces références via des sponsors qui plébiscitent notre technologie vont nous permettre de préparer une série A.

A l’instar des générateurs de clés internalisées (Public Key Infrastructure – PKI) permettant de véhiculer les données sensibles au sein de l’entreprise, nous voulons devenir la référence mondiale du générateur de clés symétriques tiers. Notre objectif : fournir des clés de chiffrement et de déchiffrement à la volée, accessibles à tous partout dans le monde, et de manière simple. Un tel objectif ne peut être atteint que si nous avons un hébergeur mondial capable de déployer l’infrastructure nous permettant de produire de gros volumes de clés. KDDI France possède cette envergure.


A propos de ce témoignage
Ce témoignage a été rédigé pour la société KDDI France par les analystes de MARKESS by exægis dans le cadre de programme de recherche dédié au cloud computing et aux innovations digitales. Celui-ci délivre en continu des données sur les attentes et besoins des décideurs dans ce domaine, les enjeux auxquels ils font face, les approches privilégiées, les grandes tendances à 2 ans, les potentiels des différents segments de marché avec une analyse sectorielle ou par métiers, les activités et les évolutions des principaux prestataires du marché. Ce programme s’appuie sur des bases de données internes et est renseigné par des entretiens réguliers tant auprès de directions générales et métiers (RH, finance, comptabilité, marketing, ventes, production…) que de directions informatiques basées en France ainsi que de l’écosystème des prestataires (cabinets de conseil, éditeurs de logiciels, entreprises de services du numériques – ESN, opérateurs de cloud, hébergeurs à valeur ajoutée, opérateurs de centres de données et d’interconnexion réseaux…).




Voir les articles précédents

    

Voir les articles suivants