Par Dominique Ciupa le 29/04/2016
CipherCloud : manipuler des données chiffrées sans que le fournisseur cloud puisse les lire
Selon Gaël Kergot, directeur commercial Europe du Sud de CipherCloud, « il faut distinguer trois grandes familles de solutions CASB : solutions de visibilité de shadow IT, solutions d’identités et d’accès, solutions de protection des données. Nous en couvrons deux : la visibilité des usages Cloud et la protection des données sensibles hébergées dans des Clouds Publics (SaaS) ». Il existe des outils très puissants dont les entreprises ne peuvent se passer. Le CRM de Salesforce en fait partie. Sa mise en oeuvre dans le cloud sous forme d'une application SaaS présente beaucoup d'avantages qu'une grande banque, par exemple, ne peut pas ignorer. Pour autant, peut-on faire héberger toutes ses données chez un tel éditeur, de l'autre côté du monde ? Une présentation de l'éditeur CipherCloud aux Assises de la Sécurité avec la banque Natixis donne un éclairage intéressant sur un problème qui pouvait sembler insoluble.
De quoi parle-t-on ? De 2 000 utilisateurs et de 400 000 clients, de préconisations de l'ACPR (Autorité prudentiel de contrôle et de résolution de la Banque de France), de règles de la BCE dans un contexte d'encouragement à maîtriser les risques. Mais aussi de possibles sanctions et d'amendes colossales.
Contre le vol d’informations sensibles, le chiffrement de la donnée à la sortie du réseau de l’entreprise et durant son transport, son usage et son stockage ne fait pas débat. La banque doit conserver les clés de chiffrement, et ne pas les partager avec quelques fournisseurs, sous-traitants ou opérateurs de services de cloud computing. Et le discours ambiant est plutôt de ne plus rien envoyer aux Etats-Unis, dans un contexte de peur quasiment paranoïaque. Alors peut-on mettre un CRM d'une grande banque française entre les mains d'un prestataire de cloud computing outre-Atlantique ? Et pourquoi pas…
Les informations seront naturellement chiffrées. Et les données ne seront plus sur le sol national. Mais qu'importe ? En réponse à cet enjeu de localisation des données, imposé par certaines lois ou réglementations (MAS à Singapour, dernière loi sur la protection des données personnelles en Russie, exigences CFSS au Luxembourg, etc…), des techniques de tokenisation pourraient au besoin être employées pour attacher la donnée à un territoire déterminé. Mais ces exigences de protection de la donnée restent encore vagues et soumises à l’interprétation des juristes, parfois divergentes.
Un CRM est avant tout un outil de gestion. Il va permettre d'effectuer des tris, des recherches, de produire des rapports. La protection des données ne doit donc pas empêcher l’expérience utilisateur. Toutes les informations n'ont d'ailleurs pas besoin d'être chiffrées. Des montants, des nombres peuvent rester en clair s'il n'est pas possible de savoir à quoi ceux-ci se rapportent. Il convient donc de définir ce qui est protégé, et ce qui ne l'est pas, car reste non identifiable en lui-même. Si des montants sont laissés stockés en clair, il sera possible de faire des opérations arithmétiques. Et bien malin sera celui qui pourra comprendre à quoi le résultat fait référence. Il faut conserver le besoin fonctionnel qu'apporte le CRM. Connaître l'identité d'un individu pour le chercher dans une base n'est pas utile. A partir de son nom et des éléments l'identifiant, il est possible de calculer les codes de chiffrement de l'individu. Puis de procéder à une recherche à partir du code chiffré. L'hébergeur de l'application ne le connaîtra pas et ne comprendra pas sur quoi la banque travaille. CipherCloud présente sa démarche d'éditeur ayant proposé des prestations de services professionnels. Pour des raisons de performance et de coûts, le chiffrement est plus souvent retenu que la tokenisation. Dans le cas du chiffrement, les fonctions que conserve la banque se résument à l'interface homme-machine de l'application. Les données sont externalisées, chiffrées et restent manipulables. Le bénéfice du recours au cloud computing n'est pas entamé.