Cysec : Quel apport concret à la migration des données sensibles et de leurs traitements dans le Cloud ?

Le contexte de cette présentation

Régulièrement, les adhérents Ocssimore se réunissent lors d’ateliers de veille et d’innovation : des événements inédits, sur des thématiques sécurité (Cloud, Sensibilisation, Authentification Forte, Identité Numérique, …), qui viennent nourrir les travaux des adhérents et explorer de nouveaux champs d’actions. L’intérêt est double : l’association enrichit la capacité de veille d’innovation de chaque adhérent, tandis que l’orateur qui intervient (startup, expert,…) confronte son sujet et ses propositions à une vision multisectorielle et des besoins de terrain.

Pour cette nouvelle session, les adhérents ont rendez-vous avec la société Cysec, société suisse membre du confidential computing consortium, pour aborder le sujet du Confidential Computing. Cette présentation s’inscrit dans le cadre des travaux menés sur la sécurisation du Cloud avec les adhérents. 

Quel apport concret à la migration des données sensibles et de leurs traitements dans le Cloud ? Quel est le niveau de maturité de la technologie et quelle est son utilisabilité dans les offres cloud ? L’objectif de la présentation est d’apporter des éléments de réponse à cette question en profitant du regard d’une société experte du sujet qui dispose d’une offre déjà en cours de déploiement chez plusieurs des principaux Cloud Service Providers. 

Pour en parler c’est Marc Hentsch, Responsable de la division finance chez Cysec, qui est intervenu sur ce nouveau pitch innovation. Cysec est une société crée en 2018, avec notamment une expérience avancée dans l’application de sa technologie au secteur spatial mais pas seulement. Leur solution de protection conteneurisée permet de fournir un environnement d’exécution sécurisé pour la data « In use ». Reconnaissance faciale, prévention de la fraude, bornes interactives, robots… ils s’occupent de processer l’information de ces données sensibles

La tendance du marché dans le domaine du Cloud

L’adoption du cloud computing et du edge computing est aujourd’hui très forte. On sait que le volume de donnée va quintupler d’ici 2025 : ainsi le défi pour les entreprises est de faire face à cette augmentation (en termes de volume, d’agilité) et de gérer cette donnée. La tendance pour les entreprises à externaliser données et traitements dans le Cloud va donc se renforcer.  

Par ailleurs, on estime que d’ici 2025, 85% des organisations auront conteneurisé leurs applications. 

Les risques liés à l’utilisation du Cloud sont aujourd’hui connus : ransomware, supply chain, ingénierie sociale…. mais aussi risque de non-conformité dans le cadre du respect de la législation européenne (RGPD, Arrêt schrems 2 et invalidation du Privacy Shield). Aujourd’hui, 45% des pertes de données sont basées sur le cloud (notamment du fait du covid qui a accéléré le transfert dans le cloud et a ouvert les brèches pour les hackeurs).  

La sécurité du Cloud a aujourd’hui une approche différente des data centers : là encore, la sécurité périmétrique n’est plus adaptée, les outils ne fonctionnent pas de la même manière, ce ne sont plus nos réseaux, nos serveurs, nos administrateurs, nos applications. C’est un contexte différent, il faut donc repenser la sécurité et réfléchir autrement.  

Pour cela repartir du cycle de vie de la donnée est important. on distingue 3 états dans ce cycle: la donnée qui voyage, la donnée stockée et la donnée qu’on utilise au sein d’une application ou d’un traitement. C’est sur cet état que le risque d’accès non autorisé est le plus important: quand on utilise la donnée en effet, on est obligé de la déchiffrer.  

La technologie du Confidential Computing pour répondre à cet enjeu de sécurisation.

Les techniques conventionnelles largement adoptées dans les offres cloud et chez l’ensemble des entreprises protègent la data en mouvement (SSL) et lorsqu’elle est stockée (Disk/File encryption). Toutefois, elle est traditionnellement beaucoup plus exposée lorsqu’elle est en traitement. 

C’est là qu’intervient le Confidential Computing, à l’aide d’une technologie qui permet de protéger la donnée qui est en exécution. Cette technologie est proposée par des processeurs issus des fondeurs principaux (INTEL, AMD, ARM), et permet d’amener un niveau de sécurité supplémentaire et d’isoler la donnée en chiffrant intégralement les supports (mémoire, disque) sur lesquels elle transite lorsqu’elle est utilisée au sein d’une application.  

Une VM disposant de ces protections est appelée « confidential VM » dans les offres des fournisseurs de cloud qui proposent cette technologie. 

Cette protection par chiffrement se compose de 2 étages: 

le premier étage est le chiffrement de la mémoire, implémenté par les processeurs de confidential computing. Ce chiffrement présente les caractéristiques suivantes :

  • Aucune API n’a été développée pour permettre l’accès aux clefs : Cette dernière reste localisée au niveau du hardware (contrôleur de la mémoire RAM), et le chiffrement/déchiffrement des données se fait au gré des accès mémoire du processeur lors de l’opération des traitements de données
  • Le chiffrement de la mémoire s’effectue dés la séquence de boot (sécurisé par ailleurs via le secure boot UEFI)
  • La rotation de la clé de chiffrement est automatique sur les étapes clés de la vie de la VM (démarrage, migration sur une nouvelle infrastructure,…)
  • Dans les dernières versions de certains processeurs de CC (AMD-SEV), des protections supplémentaires permettent de traiter toute tentative de corruption de la mémoire même chiffrée, etc…

le second étage est apporté par des fournisseurs de services tels que CYSEC qui exploitent la technologie bas niveau des processeurs de CC pour la rendre exploitable facilement aux applications métiers et, par exemple dans le cadre de CYSEC, proposer un chiffrement complet du disque (Full Disk Encryption) qui permet de protéger une image de VM et ses partitions de données via une clé qui n’est jamais accessible à l’extérieur de la VM puisque chargée en mémoire depuis un TPM seulement une fois le chiffrement de la mémoire opéré par le processeur. Au-delà de ce premier service qui permet de protéger l’ensemble de l’application (son code, ses données), l’expertise CYSEC permet de renforcer la sécurité à plusieurs niveaux :

  • CYSEC propose ainsi un OS complètement durci (Arca Trusted OS) basé sur un noyau LINUX et exploitant les fonctionnalités offertes par le secure boot UEFI pour contrôler l’intégrité du démarrage de la VM en environnement cloud :
  • Provisioning de clefs dédiées dans le firmware UEFI (PK, KEK, DB) fourni les CSPs
  • désactivation de tous les accès « fallback » à la VM en cas d’échec des contrôles d’intégrité, de tout composant d’OS superflu pour réduire la surface d’attaque
  • Contrôle d’intégrité testant notamment l’intégrité de l’image de la VM et pas uniquement les composants du secure boot (bootloaders,…)
  • Sécurité des conteneurs: le cœur de l’expertise et de la stratégie de Cysec se focalise sur la sécurité des conteneurs avec une application minutieuse des derniers standards en la matière (NIST,..) 

A noter que l’on distingue 2 types de technologies aujourd’hui :

  • La première génération (INTEL) permet d’exécuter une partie d’une application dans une enclave sécurisée. Il s’agit d’une technologie qui nécessite de modifier le code de son application.
  • La deuxième génération (processeur AMDSEV) permet de créer toute une machine virtuelle (plusieurs applications qui vont pouvoir s’exécuter dans les enclaves). Cette version ne nécessite pas de modifier le code des applications.

Plusieurs questions des adhérents qui confirment l'intérêt d'approfondir le sujet

  • Souveraineté: l’ensemble de ces technologies se fondent sur des logiciels et hardwares non européens (les fondeurs de puces en l’occurrence). Si le confidential computing permet de descendre très bas dans l’isolation, l’architecture globale continue de reposer sur des fondations « non trustées »
  • Le Trust Model nécessite à date de faire toujours confiance à des éléments fournis par le CSP (firmware UEFI, vTPM) et les possibilités de contrôle (d’intégrité,…) depuis la guest VM de ces composants bas niveau sont en cours de construction: les scénarios de menace et d’accès non autorisés aux données nécessitent d’être précisés et pondérés en terme de niveau de risque
  • L’impact sur l’application de la mise en œuvre du CC: sur ce point, Marc a été très rassurant rappelant qu’il n’y aucun impact sur le code applicatif et que les performances des applications pouvaient subir une baisse < 5%

En conclusion

Cysec a, lors de cette présentation, démontré l’étendue de son expertise :

  • à la fois dans le domaine du confidential computing via une présentation didactique du fonctionnement, de ce qui existe à date (leur offre est complètement disponible sur GCP, en cours sur AZURE et à venir chez AMAZON)
  • mais aussi dans la maîtrise des cas d’usage de cette technologie, tournés vers les entreprises qui détiennent des données sensibles dans des volumétries nécessitant de fortes capacités de traitement et qui hésitent à externaliser leur traitement dans le cloud:

L’objectif de CYSEC est clair: simplifier l’adoption du cloud via une infrastructure à la pointe de la sécurité et dédiée à l’architecture conteneurisée.

A noter enfin que CYSEC propose aux acteurs intéressés une licence de test permettant de tester l’offre sur GCP. le dispositif a déjà été testé par un adhérent avec succès.


Si vous souhaitez en savoir plus sur Cysec : https://www.cysec.com/

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *