[TECH AU CARRE] Comment protéger l’ensemble du cycle de vie des données dans Azure ?

CONFIANCE NUMÉRIQUE
Temps de lecture : 4 minutes

Les atteintes à la protection des données font malheureusement parties du quotidien, avec des fuites de données personnelles, financières ou encore liées à la propriété intellectuelle d’entreprise.

Dans ce contexte, vous hésitez peut-être à transférer vers le cloud vos données les plus sensibles.  Il s’avère donc de plus en plus nécessaire de pouvoir aussi protéger ces données contre les menaces qui pèsent lors de leur traitement dans le Cloud. (Cela concerne aussi certains codes en termes de propriété intellectuelle)

Ce constat conduit à un ensemble d’investissements pour assoir notre vision d’un « cloud dit confidentiel ».  Une telle vision s’articule autour des principes suivants :

  1. Atténuer les principales menaces de violation de données.
  2. Vous permettre de pouvoir contrôler pleinement vos données – que ce soit au repos, en transit mais aussi lors d’un traitement – et ainsi de mieux maîtriser le cycle de vie complet de vos données les plus sensibles.
  3. Protéger et vérifier via des attestations le code exécuté dans le cloud lors d’un traitement.
  4. Rendre opaque les données et le code pour la plateforme cloud, ou en d’autres termes, faire en sorte que la plateforme cloud soit en dehors de la base informatique de confiance ou TCB (Trusted Computing Base).

    *La TCB est l’ensemble des composants matériels, micrologiciels et / ou logiciels essentiels à sa sécurité, en ce sens que les bogues ou vulnérabilités survenant à l’intérieur du TCB peuvent compromettre les propriétés de sécurité du système entier.

    Rapport Magic Quadrant 2019 de Gartner – systèmes de bases de données

    Lisez les dernières études pour faire des choix informés sur les solutions de systèmes de gestion de base de données sur ce marché de plus en plus concurrentiel.

    Télécharger

    L’Informatique Confidentielle

    L’informatique confidentielle (Confidential Computing) ajoute pour cela de nouvelles fonctionnalités de sécurité à l’aide d’environnements d’exécution digne de confiance (Trusted Execution Environment) (c.à.d. approuvés) ou de mécanismes de chiffrement pour protéger la confidentialité et l’intégrité des données et du code lui-même lors du traitement.

    Ces environnements d’exécution approuvés correspondent à l’utilisation de régions isolées sécurisées. Ces dernières sont rendues possibles par une extension spécifique des dernières générations de processeurs Intel Xeon avec la technologie Intel SGX (Software Guard Extensions) (dont l’équivalence existe sur AMD et ARM) et permet de créer ce que l’on appelle des « enclaves ».

    Traduction de cette vision et des investissements associés, le 14 septembre 2017 était annoncé Azure Confidential Computing (ACC). Cette initiative marquait alors un changement complet de la donne en matière de confiance dans le cloud public grâce à des innovations sur le plan du matériel, des logiciels et des services.

    Le chiffrement des données et du code pendant leur utilisation constitue notamment un vrai différentiateur et inaugure une nouvelle ère pour l’informatique digne de confiance dans le cloud et/ou en sa périphérie (Edge).

    Lire aussi Cybersécurité : un enjeu stratégique pour les chefs d’entreprise

    Les bénéfices concrets de l’Azure Confidential Computing

    De nombreux services Azure comme Azure SQL Database Always Encrypted, mais aussi les technologies blockchain ou d’autres applications multipartites à travers Azure Confidential Ledger ou le Framework CCF (Confidential Consortium Framework) en open source peuvent bénéficier de cette technologie.

    Le SDK Open Enclave, également en open source, facilite le développement de nouvelles applications et de services dignes de confiance première-partie ou tierce-partie. Dans le même temps, tout un écosystème de projets open source facilitant le « Lift & Shift » d’applications existantes apparait pour bénéficier de ces environnements d’exécution dignes de confiance. Cela permet d’autoriser par exemple des services et des applications de Machine Learning préservant la confidentialité et l’intégrité des données.

    La construction de telles solutions d’IA confidentielle ou privée peut également passer par une utilisation pertinente, avec une méthodologie appropriée, du chiffrement homomorphe, avec p. ex. la bibliothèque Microsoft SEAL (Simple Encrypted Arithmetic Library) disponible en open source. Ces solutions peuvent supposer de façon conjointe de mieux protéger la vie privée avec les capacités offertes par la confidentialité différentielle (Differential Privacy ou DP) notamment dans le cadre de l’initiative OpenDP, avec p. ex. de nombreux projets disponible en open source à l’image du système WhiteNoise.

    Enfin, tous ces investissements ouvrent la voie au calcul multipartite sécurisé (secure Multi-Party Computing) avec les nouvelles approches Azure Data Share et Azure Collaboratives (Workbench).

    Lire aussi Cybersécurité et coronavirus

    Pour creuser le sujet : la « Tech au Carré »

    Cette série de 6 vidéos (publiées tous les mois) est l’occasion :

    1. De revenir sur les capacités de chiffrement – au repos et en transit – proposés par Microsoft Azure et sur les dernières annonces en la matière.
    2. De faire le point sur ces différentes approches technologiques : calcul confidentiel (CC), chiffrement homomorphe (HE), confidentialité différentielle (DP) et calcul multipartite sécurisé (secure MPC).
    3. D’en illustrer de façon concrète l’utilisation et certains cas d’usage.
    4. De mettre en perspective ces approches.

      Nous sommes impatients de partager encore plus de mises à jour sur notre innovation et propositions en matière de protection de l’ensemble du cycle de vie des données (les plus sensibles) dans Azure grâce à cette série de vidéos.

      En attendant, pour en savoir plus sur nos propositions en la matière, visitez la page de l’Informatique confidentielle Azure.

      EPISODE 1 : Tout ce que vous devez savoir sur le chiffrement des données dans Azure