Amazon Web Services

CHIFFREMENT

 
191211.LearningDay - Gameday, Lyon IMG_9544©Aurélie Cenno.jpg
 

SOVEREIGN KEYS : SECURITE ET CONFIDENTIALITE DE VOS DONNEES

 
Decoteam_Revolve_SecurityCompetency.png
 

Assurez le contrôle de vos données stratégiques et leur protection par le chiffrement.

A l’heure où de très nombreuses entreprises françaises utilisent le Cloud pour l’hébergement de leurs applications et de leurs données, se pose la question de la protection de leurs données les plus sensibles.

Pour répondre à ce besoin, nous avons développé une solution technique basée sur le Cloud AWS : Sovereign Keys.

A travers cette nouvelle offre, nous accompagnons nos clients pour construire des environnements de production sur le Cloud AWS, qui adressent les exigences réglementaires européennes et françaises, comme le RGPD, ou les standards internationaux de sécurité tel ISO/IEC27001 via :

  • Un mécanisme de chiffrement dont nous sommes l’unique gestionnaire

  • Stockage des clés de chiffrement avec un HSM (Hardware Security Module)

  • Un mécanisme de chiffrement conforme aux standards de chiffrement recommandés par l’Agence nationale de la sécurité des systèmes d'information (ANSSI)

Sovereign Keys est disponible en opensource !

Sovereign Keys est disponible en opensource !


Architecture

 
Schéma Revolve 2.png
 
 

Modèle de responsabilité partagée

 
Devoteam_Revolve_Chiffrement_Sovereign_Keys .png
 
 

SOVEREIGN KEYS EN VIDEO

 
 

QUESTIONS FREQUENTES

Cette offre répond-elle à la question de la souveraineté des données ?

Au cours des derniers mois, nous avons vu des entreprises retarder leurs projets en raison de l'incertitude concernant les transferts de données internationaux. Nous les avons écoutées et nous sommes heureux de lancer aujourd'hui une nouvelle offre de cloud computing pour les entreprises françaises qui souhaitent tirer le meilleur parti de la technologie tout en bénéficiant de notre expertise pour leurs données les plus critiques. Cette nouvelle offre aidera les entreprises françaises à passer rapidement et en toute sécurité au Cloud AWS.

Devoteam Revolve fournira les ressources (outils, formations et support au déploiement) et son expertise en matière de cloud computing, afin d'aider les organisations à utiliser les technologies les plus avancées en toute sécurité dans le but de débloquer leur innovation.

Comment l’offre est-elle alignée avec les principes de Security by design et Privacy by design ?

Cette solution a été conçue dès le départ pour être sécurisée, en s'appuyant sur les services AWS et les meilleures pratiques. Devoteam Revolve est titulaire de la compétence sécurité AWS, ce qui signifie que Devoteam Revolve a été soumis à un processus de validation approfondi au cours duquel nous avons démontré notre expertise en matière de sécurité sur AWS. La confidentialité est le paramètre par défaut et est intégrée dans la conception de cette offre à tous les niveaux. Cette solution offre une visibilité et une transparence du traitement des données et des schémas de chiffrement.

Comment cette solution protège les entreprises françaises du Cloud Act ?

Cette offre rendra tout simplement impossible l'accès aux données sans l’intervention de Devoteam Revolve, et nous sommes hors de portée du Cloud Act. Cela étant dit, il y a un malentendu sur la portée du Cloud Act. Le Cloud Act peut potentiellement s'appliquer à toutes les entreprises qui font des affaires aux États-Unis, qu'elles soient basées aux États-Unis ou non. Nous encourageons donc les clients à ne pas se focaliser sur la "nationalité" du fournisseur de services en ligne qu'ils utilisent, mais plutôt sur le fournisseur de services en ligne qui offre la meilleure technologie et les meilleurs dispositifs de sécurité pour protéger leur contenu en utilisant, par exemple, les bons outils et mécanismes de chiffrement.

Comment Devoteam Revolve traiterait une demande d’accès aux données du gouvernement américain ?

Le gouvernement américain n'a ni l'autorité ni la compétence pour nous adresser une quelconque demande, mais le gouvernement français pourrait le faire. Le respect de la vie privée des clients et la sécurité des données sont nos priorités. Si nous recevons une demande d’accès aux données de la part des forces de l'ordre liée à une enquête criminelle en cours, nous évaluerons la demande et examinerons si elle est en conflit ou non avec une loi (comme par exemple la GDPR dans l'Union européenne). Quelle que soit la nature de la demande, Devoteam Revolve sera la seule société tierce à détenir les clés de déchiffrement.

Pourquoi avoir choisi AWS et pas un autre fournisseur Cloud ?

AWS est un fournisseur expérimenté dans le domaine du Cloud. Depuis 7 ans, nous collaborons avec AWS et nous sommes membre du réseau de partenaires AWS APN. Nous avons obtenu la compétence sécurité AWS. Cela signifie que nous avons accompagné de nombreux clients dans leur voyage vers le Cloud AWS, en développant de solides connaissances sur la plate-forme et en apprenant comment les clients peuvent en tirer le meilleur parti de manière sécurisée. Avec cette nouvelle offre, nous voulons guider nos clients sur les meilleures pratiques de sécurité tout en utilisant la technologie du pionnier du cloud computing.

Quelle garantie est proposée pour les instances Nitro ?

Les instances de dernières générations basées sur la technologie Nitro offrent la garantie qu’AWS ne peut pas lire la RAM des instances. En effet, l’hyperviseur NITRO n’expose pas de procédure ou de méthode permettant de réaliser un dump mémoire, by design.

Quel est le périmètre de services AWS couverts ?

L’offre repose sur un agent pilotant les fonctionnalités de chiffrement de l’OS: Bitlocker sur Windows ou LUKS sur Linux. De fait, dans un premier temps seuls les environnements AWS permettant l’accès à l’OS sont supportés: EC2, ECS ou EKS par exemple.

Faut-il modifier son infrastructure ?

Ce n’est pas nécessaire. Bitlocker et LUKS font du chiffrement au niveau de l’OS de manière tout à fait transparente pour les applications. Pour des raisons de sécurité, il est cependant souvent préférable de ré-installer les serveurs : en effet, lorsqu’on chiffre un volume qui ne l’était pas dès le début, il peut exister une chance que de la donnée en clair soit toujours récupérable après l’opération.

Quels sont les taux d’overhead CPU et de latence ?

Il y a un léger overhead CPU lorsqu’il y a de l’activité sur les disques durs du fait du chiffrement en temps réel fait par Bitlocker/LUKS. Il est difficile de s’engager sur un chiffre précis, mais on parle d’environ 3% de CPU supplémentaire (les CPU récents ont des instructions optimisées pour le chiffrement AES). Concernant la latence supplémentaire sur les IO, elle est négligeable.

Les HSM sont-ils placés proches des Datacenters AWS, pour diminuer au maximum la latence ?

Comme les HSM ne sont sollicités qu’au démarrage d’une instance pour déverrouiller ses volumes de données, la latence n’a que peu d’importance. Ceci dit, les HSM seront hébergés en France, probablement en région parisienne.

Où les clés sont-elles chiffrées ?

Les opérations de chiffrement et déchiffrement des clés seront toujours faites par les HSM, en France. En revanche, le chiffrement des données à proprement parler sera fait par l’OS (Bitlocker sur Windows ou LUKS sur Linux).

Quelle valeur ajoutée par rapport à la mise en œuvre de nos propres HSM ? 

Nous fournissons une solution complètement managée basée sur un agent présent dans les instances. La partie complexe de gestion sécurisée des clés, de haute disponibilité de l’API ou encore les sauvegardes sont gérées par Devoteam Revolve.

Est-ce que l’offre est applicable pour DL ou du big data avec de très gros volumes ?

Le chiffrement des données à proprement parler est réalisé par l’OS. De fait, notre offre n’induit aucune limite sur le volume de données chiffrées.

Est-ce que l’agent détient, même temporairement, les clés de chiffrement et comment peut-on être assuré que personne ne peut les extraire ?

L’agent a pour rôle de contacter l’API de gestion pour faire déchiffrer le secret protégeant les volumes. Il utilise ensuite ce secret pour piloter Bitlocker/LUKS dans le déverrouillage du volume. De fait, l’agent connaît le secret pendant un instant. N’importe quel processus s’exécutant avec des droits d’administration sur l’instance pourrait être théoriquement capable d’intercepter le secret à ce moment, ou la clé de chiffrement du volume ou même les données elles-mêmes quand elles résident en mémoire.

En revanche, la technologie NITRO d’AWS apporte la garantie qu’aucun agent extérieur à l’instance ne peut lire sa mémoire et les secrets qu’elle contient.

sécurité de vos infrastructures et vos données dans le cloud

o   Découvrez notre offre globale « AWS Sécurité »

o   Ils nous ont confié la sécurité de leurs projets sur le Cloud AWS :

 

Contactez-nous pour en savoir plus

Christine Grassi-2.jpg