Illustration par Ilamparithi Raju

L’année précédente a vu une forte adoption d’une approche cloud-first dans les entreprises. Même si l’informatique en cloud favorise l’Anywhere Operations, elle crée une situation où les données, qui restaient auparavant à l’intérieur des frontières de l’entreprise, résident désormais dans un environnement externe, celui du fournisseur de services en cloud. La philosophie actuelle de la sécurité des données repose principalement sur deux piliers : la sécurisation des données en phase de stockage et en phase de transit. Pour ce faire, les données sont généralement stockées et transférées dans un état crypté. Cependant, la sécurité des données en cours d’utilisation n’a pas fait l’objet d’une attention particulière.

Prenons un exemple. Les données, qui sont stockées et transférées à l’état crypté, sont décryptées pendant la phase d’utilisation et sont stockées pendant un court moment dans la mémoire. Pendant cette phase, les données sont exposées et des vecteurs malveillants pourraient exploiter cette opportunité pour accéder aux données. L’informatique confidentielle permet de faire face à ce risque.

L’informatique confidentielle fournit une couche supplémentaire de sécurité des données en sécurisant les données pendant leur utilisation, grâce à des contrôles matériels. Un environnement d’exécution de confiance basé sur le matériel isole les données pendant leur utilisation et les données cryptées ne sont accessibles qu’à l’aide d’un code autorisé. Cela est facilité par l’utilisation de clés matérielles intégrées qui ne sont pas accessibles aux fournisseurs de services en cloud.

Cette technologie est développée par le Confidential Computing Consortium (CCC), une communauté de projet de la Fondation Linux. Le CCC rassemble des fournisseurs de services de cloud, des vendeurs de matériel et des développeurs de logiciels pour accélérer l’adoption de l’informatique confidentielle. Outre une sécurité accrue des données, cette technologie permet de protéger les algorithmes en empêchant toute modification du code.

Voici cinq articles intéressants sur l’informatique confidentielle et les raisons pour lesquelles elle semble prometteuse pour l’avenir de la sécurité du cloud et au-delà.

  1. Informatique confidentielle – la prochaine étape de la sécurité

L’informatique confidentielle est la voie à suivre pour assurer un chiffrement de bout en bout. La protection complète permet aux organisations de limiter le traitement des données à un environnement sécurisé, ce qui donne plus de contrôle au propriétaire des données qu’au fournisseur d’hébergement. Cela contribue à créer un sentiment de confiance similaire au cas où une organisation gère les données dans son propre environnement.

  1. L’informatique confidentielle dans le cloud public: Pourquoi faut-il protéger les données en cours d’utilisation pour assurer la confidentialité et la confiance?

L’adoption de services de cloud public augmente considérablement les risques liés aux tiers. De plus, les secteurs hautement réglementés risquent d’être confrontés à un nombre accru de surfaces d’attaque. Les fournisseurs de services de cloud public mettent sur le marché des solutions qui offrent aux clients un degré plus élevé de contrôle de la sécurité, de la confidentialité et de la protection sur leurs données et leurs charges de travail opérationnelles grâce à une sécurité au niveau du matériel. L’article explique comment l’informatique confidentielle aide les organisations à assurer la confidentialité des données, l’intégrité des données et du code, et la sécurité des données.

  1. Comment l’informatique confidentielle dissipe le climat de méfiance qui entoure la sécurité du cloud

L’isolement du traitement des données dans un environnement sécurisé offre aux entreprises la possibilité de collaborer au niveau des processus sans avoir à exposer des données sensibles. Avec l’exemple d’une banque qui vérifie une transaction avec un détaillant sans avoir à partager des données sensibles ou à accéder à des outils propriétaires, l’auteur mentionne les possibilités infinies de collaboration commerciale qui étaient auparavant difficiles en raison des exigences de confidentialité, de sécurité et de réglementation.

  1. Sécuriser l’IA dans le secteur de la santé grâce à l’informatique confidentielle

L’IA et le ML ont été largement utilisés dans le secteur de santé pour en tirer des enseignements dans la lutte contre le COVID-19. Avec cela vient la préoccupation de la sécurité des données puisqu’un grand volume d’informations personnellement identifiables est utilisé dans le processus. Les organismes de santé sont de plus en plus nombreux à faire de la cybersécurité une priorité fiscale, technique et opérationnelle. L’informatique confidentielle aide ces organisations en isolant et en sécurisant le traitement de l’IA, en augmentant la confiance des parties prenantes dans l’utilisation continue des initiatives basées sur l’IA et en offrant une flexibilité opérationnelle.

  1. La promesse de l’informatique confidentielle pour la protection de la vie privée dans les projets BNPL

Outre une sécurité accrue des données, l’informatique confidentielle offre également aux entreprises la possibilité de collaborer de manière transparente sans risquer d’exposer des données sensibles. Cet article présente un cas d’utilisation qui montre comment les services “acheter maintenant et payer plus tard” peuvent collaborer avec les entreprises de commerce électronique pour offrir un meilleur service aux clients.

La portée de l’informatique confidentielle pourrait dépasser la sécurité du cloud et s’étendre à l’IoT et à d’autres technologies basées sur le matériel. L’IoT Business Index 2020 de The Economist montre qu’environ 37% des organisations ont été découragées d’adopter une stratégie IoT en raison de problèmes de sécurité. Même si l’informatique confidentielle n’en est qu’à ses débuts, les développements menés par le CCC devraient apporter plus de sécurité au paysage actuel du cloud computing et de l’edge computing, conduisant ainsi à une confiance accrue pour l’adoption du cloud et de l’IoT.