Informatique en nuage (cloud) : la CNIL publie deux fiches pratiques sur le chiffrement et la sécurité des données
La CNIL a reçu de nombreuses questions sur le recours à l’informatique en nuage (cloud), notamment au regard de la complexité des offres disponibles. En réponse, elle publie deux premières fiches pour éclairer les organismes consommateurs de ces services sur le recours au chiffrement et l’utilisation d’outils de sécurité et de performance.
La sécurité des données, une obligation également en cas de recours au cloud
La sécurité est indispensable pour apporter la confiance dans la gestion des données personnelles de l’entreprise. Il s’agit également d’une obligation légale en matière de protection des données personnelles : en 2022, près d’un tiers des sanctions prononcées par la CNIL visaient des manquements à cette obligation.
Il est également nécessaire de respecter ce principe lorsqu’il est fait appel à des fournisseurs de solutions Informatique en nuage (cloud), qui sont de plus en plus utilisées par des grandes entreprises comme par des TPE/PME.
La CNIL avait déjà publié une recommandation en 2012 pour les entreprises envisageant de recourir à ces solutions. Face aux nombreuses offres du marché et aux interrogations des organismes consommateurs de ces solutions, elle propose de nouvelles ressources pour comprendre les différentes approches de chiffrement et les différents outils de sécurité : l’objectif est de permettre aux professionnels d’adopter l’approche en matière de sécurité la plus adaptée à leurs besoins.
Les fiches pratiques publiées par la CNIL
Le chiffrement des données sur le cloud
Dans une fiche pratique sur le chiffrement, la CNIL propose une analyse détaillée des différents types de chiffrement appliqués à un service d’informatique en nuage (cloud) :
- Le chiffrement au repos, qui est le plus souvent mis en avant. La fiche expose en détail les différentes modalités de chiffrement possibles, en fonction de l’architecture retenue, qui peut rendre le client plus ou moins dépendant du fournisseur de service d’informatique en nuage (cloud).
- Le chiffrement en transit, pour sécuriser les canaux de communication.
- Le chiffrement en traitement, qui soulève des enjeux particulièrement complexes quand il s’agit de préserver la confidentialité des données, notamment vis-à-vis du fournisseur de service.
- Enfin, le chiffrement de bout en bout, qui constitue une modalité particulièrement protectrice des données, mais qui n’est applicable que dans un nombre limité de situations.
Vous souhaitez contribuer à l’amélioration de cette fiche ?
Écrivez à retours-cloud[@]cnil.fr
Lire la fiche pratique
Les outils pour sécuriser un service cloud
Dans une seconde fiche pratique sur les outils de sécurité et de performance dans le cloud, la CNIL présente les différents produits de sécurité nécessaires pour sécuriser un service cloud. Ce faisant, elle opère une distinction claire entre des fonctionnalités de sécurité (anti-DDoS, WAF) et des fonctionnalités de performance (CDN, Load balancer) qui sont souvent commercialisées de manière groupée.
La CNIL propose également des points de vigilance pour ces différents produits, notamment quand ils proposent de réaliser un déchiffrement des flux à des fins de sécurité. En effet, certains services peuvent entraîner des transferts de données vers des pays n’offrant pas un niveau de protection adéquat, ou soulever des enjeux de sécurité et de confidentialité (comme le déchiffrement TLS).