Qu’est-ce que le BYOK (bring your own key) ?

Souvent, un fournisseur de service cloud contrôle les clés de chiffrement qui assurent la protection des données des actifs hébergés dans le cloud de l’entreprise. Cependant, dans un modèle BYOK, l’organisation contrôle ses propres clés de chiffrement, de sorte qu’aucune entité externe ne peut accéder à ses données cloud sans son autorisation.

Les clés de chiffrement transforment le texte brut en texte chiffré illisible afin de protéger les données sensibles contre tout accès non autorisé. Elles peuvent également déchiffrer le texte chiffré pour le rendre lisible par les utilisateurs autorisés.

Le système BYOK aide à garantir que les clés de chiffrement sont gérées conformément aux politiques de sécurité d’une organisation et aux normes industrielles telles que les directives NIST et FIPS 140-2, quel que soit le fournisseur de cloud.

La plupart des grands fournisseurs de cloud, y compris IBM Cloud, Microsoft Azure, Amazon Web Services (AWS) et Google Cloud, proposent le BYOK à leurs clients.

Le BYOK suit généralement un processus appelé « chiffrement d’enveloppe », qui repose sur une hiérarchie de clés pour protéger les données. Cette fonction est gérée par le système de gestion des clés (KMS) du fournisseur de services cloud, un service sécurisé qui crée, stocke et contrôle l’accès aux clés de chiffrement.

Voici les étapes de base du BYOK.

Le client génère une clé principale dans son propre environnement, souvent en utilisant un module de sécurité matériel (HSM) sur site pour une sécurité accrue. Le module HSM est un dispositif résistant à la falsification qui génère et stocke de manière sécurisée des clés cryptographiques.

Le client utilise une clé publique fournie par le fournisseur de services cloud pour chiffrer sa clé principale afin de la protéger pendant son transfert. La clé principale est ensuite importée vers le service de gestion des clés du fournisseur de cloud via une interface de programmation d’application (API) sécurisée. La clé est généralement conservée dans le module de sécurité matériel propre au fournisseur de cloud.

Le KMS du fournisseur de cloud génère une clé de chiffrement de données temporaire et à usage unique (DEK). Cette clé sert à chiffrer les données du client. La clé principale du client est ensuite utilisée pour chiffrer la DEK. Il en résulte une DEK chiffrée (EDEK). L’EDEK est stockée avec les données chiffrées, tandis que la DEK est retirée de la mémoire.

Lorsque le client doit accéder aux données, le processus est inversé. Le fournisseur de cloud récupère les données chiffrées et l’EDEK. Le KMS du fournisseur cloud utilise la clé principale du client pour déchiffrer l’EDEK, récupérant ainsi la DEK. La DEK est ensuite utilisée pour déchiffrer les données afin que le client puisse y accéder.

Prenons l’exemple d’une entreprise de services financiers qui souhaite transférer l’historique des transactions de ses clients, les détails de leurs comptes et d’autres données sensibles dans un cloud public. Le problème ? En raison de réglementations industrielles strictes telles que la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS), elle ne peut pas céder le contrôle de ses clés de chiffrement à un tiers.

Avec le BYOK, l’entreprise peut utiliser ses propres clés de chiffrement pour maintenir un contrôle strict sur ses données, même si celles-ci sont stockées sur l’infrastructure du fournisseur de cloud. Un attaquant n’aurait pas accès à la clé principale nécessaire pour déchiffrer les données. Le risque de violation de données est donc minimisé. L’entreprise peut également prouver aux autorités de régulation qu’elle contrôle totalement les clés qui sécurisent les données des clients.

Le chiffrement des données est un outil clé pour protéger les informations sensibles, en particulier celles stockées et traitées dans le cloud. Selon le rapport d’IBM sur le coût d’une violation de données, les organisations qui utilisent le chiffrement peuvent réduire l’impact financier d’une violation de données de plus de 200 000 USD.

Le BYOK améliore encore davantage la protection des données en donnant aux entreprises un contrôle direct sur les clés de chiffrement utilisées pour sécuriser les données sensibles dans le cloud. Ce contrôle réduit le risque d’accès non autorisé aux données chiffrées en empêchant les fournisseurs de cloud ou les tiers de déchiffrer les données.

De nombreuses entreprises utilisent le BYOK pour protéger les données sensibles de leurs clients stockées sur une plateforme SaaS (Software-as-a-Service) telle que Salesforce.

Les réglementations telles que Health Insurance Portability and Accountability Act (HIPAA), le règlement général sur la protection des données (GDPR) et PCI DSS exigent souvent un contrôle strict de l’accès aux données et des pratiques de chiffrement. En utilisant leurs propres clés, les entreprises peuvent s’assurer qu’elles respectent ces normes et conserver des traces d’audit pour l’accès aux clés et leur utilisation.

Les professionnels de santé utilisent souvent le BYOK pour chiffrer les dossiers des patients, ce qui les aide à démontrer leur conformité à la loi HIPAA en garantissant que seules les parties autorisées peuvent déchiffrer les données.

Dans les environnements multicloud et cloud hybride, le BYOK aide les entreprises à centraliser la gestion des clés sur toutes les plateformes, en préservant la cohérence et le contrôle sans avoir à se fier au système de clés distinct de chaque service cloud.

Par exemple, une entreprise qui utilise AWS, Azure et Google Cloud peut gérer de manière centralisée les clés de chiffrement pour toutes les plateformes, ce qui réduit la complexité et améliore la posture de sécurité.

Pour les sociétés SaaS et les autres fournisseurs, le fait de proposer le BYOK indique aux clients qu’ils prennent au sérieux la confidentialité et la propriété des données. Ce signal est important pour les entreprises et les secteurs réglementés où la transparence est un composant critique de la sécurité.

Comme le client est propriétaire de la clé principale d’un modèle BYOK, il est responsable de la gestion de l’ensemble de son cycle de vie. Ce cycle de vie comprend une série de tâches continues visant à garantir la sécurité et l’intégrité de la clé. Les entreprises automatisent souvent ces tâches afin de réduire les frais généraux opérationnels et de minimiser le risque d’erreur humaine.

Les entreprises remplacent régulièrement les clés de chiffrement par de nouvelles afin de réduire le risque d’accès non autorisé, d’exposition ou de vol. Limiter la durée de vie d’une clé aide à améliorer la sécurité du cloud.

Il est essentiel de sauvegarder en toute sécurité les clés principales afin d’éviter toute fuite de données en cas de perte ou de corruption de la clé d’origine. Sans clé principale valide, les données chiffrées peuvent devenir définitivement inaccessibles.

La surveillance de l’utilisation des clés par le biais de journaux d’audit permet de détecter l’accès non autorisé aux données ou leur utilisation abusive. L’audit des principales politiques de gestion permet également de vérifier la conformité aux exigences réglementaires telles que le RGPD et la HIPAA.

Un plan clair et documenté permet aux entreprises de se préparer à des situations telles que la suppression accidentelle d’une clé, les pannes matérielles ou les cyberattaques. Les fournisseurs de cloud ne pouvant pas récupérer la clé principale, il incombe à l’entreprise de se préparer.

Les méthodes « Bring your own key » (BYOK) et « Hold your own key » (HYOK) offrent toutes deux aux organisations un meilleur contrôle sur le chiffrement, mais elles diffèrent quant à la manière et au lieu où les clés sont stockées et gérées.

Avec l’approche BYOK, l’entreprise crée et détient les clés de chiffrement, mais les charge dans le système de gestion des clés du fournisseur de cloud pour les utiliser avec les services cloud.

Avec HYOK, l’entreprise conserve les clés de chiffrement dans son propre environnement et ne les partage jamais avec le fournisseur de cloud. Cette solution offre un niveau de contrôle et de confidentialité plus élevé, mais elle est plus complexe à gérer et n’est pas prise en charge par tous les services cloud.

Le BYOK offre confort et contrôle, tandis que le HYOK offre un maximum de contrôle mais avec plus de responsabilité.