La CNIL rappelle l’importance de (bien) chiffrer ses données dans le cloud

La CNIL a mis en ligne cette semaine ses deux premières fiches pratiques sur le cloud, au sens large. Selon la Commission, des questions reviennent fréquemment sur « la complexité des offres disponibles ». Elle fait donc un premier point d’étape.

Elle commence par la sécurité des données, afin d’« éclairer les organismes consommateurs de ces services sur le recours au chiffrement et l’utilisation d’outils de sécurité et de performance ». Des rappels toujours bons à prendre, surtout dans les petites structures qui n’ont pas forcément une personne dédiée à ces questions.

Protéger correctement ses données, c’est une obligation légale

Autre rappel : la sécurité est indispensable. Le cloud, pour simplifier, revient à utiliser des machines externes pour le traitement de ses données, il faut donc qu’elles soient correctement protégées. Une phrase parlante revient souvent (même si elle tire grossièrement le trait) : « Le cloud, c'est l'ordinateur de quelqu'un d'autre ». Les données doivent être protégées, c'est une obligation légale : tout manquement peut entrainer une sanction.

Pour preuve, en 2022, « près d’un tiers des sanctions prononcées par la CNIL visaient des manquements à cette obligation » de protéger les données. Et n’espérez pas vous cacher dans les nuages : « Il est également nécessaire de respecter ce principe lorsqu’il est fait appel à des fournisseurs de solutions Informatique en nuage (cloud) », prend soin de préciser la CNIL.

Les données dans tous leurs états

Afin d’entrer dans le vif du sujet, un rappel des trois états de la donnée : stockage (HDD ou SSD par exemple), communication (elle passe d’un emplacement à un autre) et utilisation (consultée, traitée, mise à jour, etc). Ces états « sont généralement assimilés aux concepts de "données au repos", "données en transit" et "données en traitement" ». Suivant leur état et leur emplacement (local, sur le réseau, dans le cloud), elles « doivent être gérées différemment ».

Pour reprendre le slogan d’une marque de pneu, « sans maitrise la puissance n'est rien ». Aussi puissant que soit un algorithme de chiffrement, la protection peut rapidement s’écrouler s’il n’est pas soigneusement implémenté et si les clés ne sont pas correctement gérées. « La gestion des clés est un processus crucial dans la configuration d’un système cryptographique, d’autant plus complexe que le volume et la répartition des données et le nombre d’acteurs impliqués sont importants », rappelle la CNIL. Ne prenez surtout pas cela à la légère.

La CNIL pointe du doigt un problème : il n’y a « pas ou peu de standardisation de la gestion des clés dans le cloud ». Il existe bien des standards internationaux (NIST SP 800-57, FIPS 140-2, Common Criteria) « mais les standards, les recommandations et bonnes pratiques, spécifiques à la gestion des clés dans le contexte du cloud sont encore peu nombreux. Certains commencent toutefois à émerger, par exemple l’initiative du NIST (le guide Cryptographic key management issues and challenges in cloud services de 2013) ».

Panorama des risques liés

La Commission énumère quelques risques liés aux données stockées chez des fournisseurs de cloud., qu’elles soient au repos, en transit ou en traitement. Les vecteurs d’attaques ne sont pas forcément les mêmes, mais les risques sont réels dans tous les cas :

• • « un fournisseur mal intentionné pourrait « fouiller » dans les données du client ;
  • des employés du fournisseur pourraient accéder aux données ;
  • un fournisseur pourrait réutiliser des données en dehors du contrôle du responsable de traitement, notamment pour des opérations de maintenance et de sécurité (p. ex. : des données de télémétrie) ou d’amélioration de ses services ;
  • le fournisseur pourrait devoir répondre à des demandes des autorités judiciaires et de renseignement de pays tiers, exigeant le transfert ou la divulgation de données (notamment personnelles) vers ces pays ;
  • enfin, le fournisseur pourrait être victime d’intrusions par des acteurs malveillants ».

Et ce n’est pas seulement du fournisseur de cloud qu’il faut se méfier. Il « s’appuie en général lui-même sur d’autres fournisseurs : de couches dites « inférieures » (machines virtuelles, services PaaS ou IaaS), du centre de données lui-même (colocation d’espace de stockage, etc.) et d’équipements et de composants (systèmes d’exploitation, processeurs, etc.) ». Bref, partez du principe que vos données doivent être protégées en tout temps.

• • Quand OVHcloud explique le nuage (souverain) avec une disquette et des voitures

Chiffrement du disque et/ou des fichiers, attention aux clés

La CNIL propose ensuite quelques rappels sur les différentes manières de chiffrer les données au repos. Par exemple, le « chiffrement de disque seul ne convient pas pour éliminer la possibilité d’accès aux données par le fournisseur de cloud, y compris dans le cadre d’une demande d’une autorité étrangère en application d’une législation ayant un effet extraterritorial ».

C’est par contre le cas avec le chiffrement des fichiers, à condition que l’utilisateur soit le seul maitre et utilisateur des clés (il ne faut pas utiliser des clés générées par le fournisseur). Nous parlions de cette problématique lors du lancement du Cloud XPR de Jaguar Network (iliad), qui ne permettait alors pas d’utiliser des clés personnelles. Le discours était alors passé de : « les données sont chiffrées et personne chez Jaguar ne peut les lire » à « quelques personnes » peuvent techniquement y accéder. La nuance est tout sauf subtile.

• • Jaguar Network (Iliad) lance son Cloud XPR : réversibilité, prédictibilité et souveraineté

Chiffrement en transit et de bout en bout, ce n’est pas la même chose

Sur le chiffrement des données en transit, la Commission précise que cela « ne correspond pas à la notion de chiffrement de bout en bout ». Les données ne sont chiffrées que pendant le transfert sur le réseau, elles sont chiffrées avant de partir et déchiffrées une fois arrivée.

Dans le cas du chiffrement de bout en bout, « toutes les opérations cryptographiques (chiffrement, déchiffrement, génération et gestion des clés) sont strictement effectuées à la source ou à la destination. Dans ce scénario, le fournisseur de cloud n’a, à un aucun moment, accès aux données en clair ».

La difficulté de chiffrer les données en traitement

Enfin, dernier rappel sur les données en traitement cette fois-ci. « Deux propriétés a priori incompatibles de la donnée doivent être vérifiées simultanément : la donnée doit être en clair pour pouvoir être traitée par le service, et donc connue du fournisseur responsable de ce service ; la donnée doit être chiffrée pour en assurer la confidentialité vis-à-vis du fournisseur du service ». Il existe néanmoins une solution avec le chiffrement homomorphe. Nous y avons déjà consacré un long dossier.

• • Chiffrement homomorphe : une idée vieille de 50 ans, qui prend « vie » depuis 10 ans

• • [Interview] Cosmian : le chiffrement homomorphe dans la pratique

Conséquences : « Si les données ne sont pas chiffrées lors du traitement par le service (ce qui est typiquement le cas pour des services SaaS), alors le chiffrement au repos et/ou en transit par le fournisseur ne constituent pas des mesures techniques supplémentaires efficaces vis-à-vis d’un accès par le fournisseur, puisqu’il doit avoir accès aux données en clair lorsque le service effectue les traitements »

SaaS signifie pour rappel Software as a Service ou logiciel en tant que service. Il s’agit de mettre des applications sur des terminaux distants (webmail, Microsoft 365, Google Apps, les drives, etc.). Là encore, un de nos dossiers vous explique les notions de bases du cloud.

• • Perdus face au cloud ? On vous explique les notions principales

Les outils de sécurisation « collectent des données personnelles »

Dans le second guide, il est question des différents produits nécessaires pour sécuriser un service cloud. On va parler d’Anti-DDoS, de WAF (Web application firewall), de load balancers et de CDN.

En guise de préambule, la CNIL annonce la couleur : « Ces outils collectent des données personnelles [en gras dans le texte, ndlr]. Ces outils peuvent soulever des problématiques au regard de la protection des données : ils peuvent entraîner des transferts de données vers des pays ne garantissant pas un niveau de protection suffisant, ou des risques en matière de sécurité (déchiffrement TLS) ».

Conséquence directe, ces données (notamment à caractère personnel), « qui transitent sur Internet et passent par les CDN, WAF ou outils anti-DDoS offerts par des fournisseurs non européens, peuvent engendrer des transferts hors de l’UE ». Pensez à vérifier l'adéquation avec la réglementation.

Et ce n’est pas parce que vous et votre fournisseur de service êtes en Europe que les données y restent, c’est toute la « magie » d’Internet. « Par exemple, dans le cas des CDN, le besoin de positionner les données sur des serveurs adossés aux grands axes de circulation des données peut conduire à ce qu’elles soient recopiées sur des matériels tiers hors UE, au débouché des câbles transocéaniques ».

Si vous devez utiliser un CDN, la CNIL recommande de sélectionner les données qui seront placées dans le cache du CDN et de configurer « le CDN de sorte à ne pas faire circuler plus de données que dans le cadre d’un accès simple via Internet au service demandé ».

Attention aux transferts de données hors UE

Il appartient à chacun de vérifier auprès de son fournisseur de service si des transferts de données peuvent être réalisés en dehors de l’Europe. La CNIL a publié en 2021 un guide pratique pour vérifier la légalité des transferts de données hors UE. Elle propose également une liste de questions qu’un client pourrait poser à son fournisseur.

• La Commission européenne ((re)re)valide le transfert de données personnelles vers les États-Unis
• Commission européenne : les flux de données personnelles peuvent se poursuivre avec 11 pays

Autre rappel important : « les administrateurs de la solution de sécurité peuvent avoir accès à tous les trafics et donc toutes les données qui transitent ».

Si vos données ont une sensibilité particulières et nécessitent d’être immunisées aux lois extraterritoriales (américaines et chinoises par exemple), la CNIL explique que vous devez « utiliser des briques de sécurité offertes par un fournisseur européen, immunisé aux lois extracommunautaires, afin d’exclure de fait tout accès non autorisé aux données par des entités non-européennes, même en cours de transit ».

C‘est tout l’enjeu autour des cloud qui se veulent « de confiance » comme S3ns et Bleu, utilisant respectivement des outils de Google et Microsoft. Thales et Orange/Capgemini assurent toute la partie technique et vérifient le logiciel fourni par les géants américains, dans la limite du possible…

• • Thales et Google détaillent le fonctionnement de S3ns sur le « cloud de confiance »
  • Bleu : Orange et Capgemini lancent leur « cloud de confiance », basé sur Microsoft Azure et 365 - Next