Le BYOK pour une protection des données en toute sérénité
En matière de sécurité des données, les attentes des acteurs impliqués, y compris les gouvernements, sont de plus en plus élevées. La possibilité de conserver le contrôle total des clés de chiffrement racine permet d'instaurer la confiance tout en facilitant le respect des réglementations.
Si le Cloud computing a transformé la façon dont les entreprises fonctionnent, il a aussi profondément changé la manière dont elles envisagent la sécurité. L'époque où l'on concevait une stratégie de sécurité informatique autour de serveurs et de bases de données sur site est révolue. Le passage à un environnement d'exploitation Cloud, ainsi que l'augmentation de la valeur stratégique des données pour les entreprises, nécessite une approche de la sécurité axée sur les données.
Pour de nombreuses entreprises toutefois, trouver le bon équilibre entre l'agilité de l'informatique dématérialisée et la sécurité des données est un exercice délicat. Cela est particulièrement vrai pour les entreprises des secteurs très réglementés, tels que les services financiers, les services publics et les soins de santé, et celles qui cherchent à se conformer à des réglementations plus strictes en matière de données, telles que le RGPD mis en place par l'UE. Après tout, travailler avec un fournisseur de services Cloud (CSP) implique généralement de confier à ce partenaire des services de chiffrement pour protéger les données des utilisateurs. Cela signifie que, quelle que soit la sécurité de l'environnement Cloud, c'est une autre entreprise qui détient les clés de chiffrement.
Pour les entreprises particulièrement prudentes qui cherchent à renforcer la confiance de leurs clients et à éliminer les problèmes de conformité, une nouvelle solution est apparue ces dernières années : le BYOK (Bring Your Own Key).
La valeur fondamentale du BYOK est simple : elle permet à une entreprise de chiffrer ses données dans le Cloud avec sa propre clé de chiffrement racine. L'entreprise peut ensuite autoriser ou refuser l'accès aux données sous-jacentes en partageant la clé racine avec un fournisseur SaaS ou en la révoquant. Il s'agit d'un point de contrôle unique pour l'accès aux données.
« Avec le BYOK, vous avez vraiment le contrôle sur toutes les données de votre entreprise, explique Tammo Buss, Workday Technical Lead chez EWE, une entreprise allemande de services publics dans les secteurs de l'énergie, des télécommunications et des services IT. Plus qu'un simple service de chiffrement, il s'agit d'un service de gestion du chiffrement. »
EWE avait une raison très précise de mettre en œuvre Workday BYOK : assurer la conformité au RGPD. Pour le responsable de la protection des données et l'équipe juridique de l'entreprise, EWE devait avoir un contrôle total sur ses propres données dans un environnement Cloud. Selon Tammo Buss, un avantage spécifique du BYOK dans le secteur hautement réglementé d'EWE est lié aux audits des données des clients.
Au-delà des audits de conformité, l'avantage principal du BYOK est le contrôle total de l'accès à vos données.
« Il est formidable que nous disposions d'un produit dans lequel tout est très transparent, ce qui nous permet de rationaliser l'audit de sécurité et la réponse de conformité »,se réjouit Tammo Buss. En décembre 2023, EWE a mis en service diverses solutions Workday, dont Workday BYOK.
Au-delà des audits de conformité, l'avantage principal du BYOK est le contrôle total de l'accès à vos données.
En général, le BYOK peut être mis en œuvre de plusieurs façons. La manière dont une entreprise gère ses clés de chiffrement racine dépend non seulement de sa propension au risque et de sa capacité à gérer les clés en interne, mais également du service de gestion des clés sous-jacent du CSP.
« Avec le BYOK, vous avez vraiment le contrôle sur toutes les données de votre entreprise. Plus que d'un simple service de chiffrement, il s'agit d'un service de gestion du chiffrement. »
Tammo Buss
Workday Technical Lead, EWE
Par exemple, un CSP peut être en mesure d'utiliser une clé de chiffrement racine générée en dehors de son système, mais il a besoin que le client charge les clés sur ses serveurs. Cette approche pourrait permettre à un CSP de gérer certaines tâches de gestion du chiffrement, telles que la rotation des clés racine pour le compte du client, ce qui donne le contrôle du chiffrement de la racine au fournisseur de services et non au client.
EWE a toutefois pu conserver le contrôle total de tous les aspects de sa clé de chiffrement racine, car Workday BYOK permet au client de posséder et de gérer entièrement cette clé en dehors de Workday. EWE a mis en place un service de gestion des clés géré par le client dans AWS, avec lequel le compte Workday d'EWE est ensuite interfacé.
« Grâce à cette approche de clé gérée par le client, nous avons pu chiffrer toutes nos données Workday et tous nos tenants avec notre propre clé et en avoir le contrôle total », explique Tammo Buss.
Le fournisseur AWS a certifié qu'à aucun moment il ne peut accéder à une clé générée par un client, qu'elle soit utilisée dans son système de gestion des clés ou dans un module de sécurité hybride, le système de traitement cryptographique qui protège les clés digitales. « Il s'agit d'un aspect important pour prouver la conformité lors des audits SOC (System and Organisation Control), souligne Tammo Buss. Notre conseiller juridique a été très satisfait de la documentation fournie. »
Si Workday BYOK apporte une valeur ajoutée évidente en termes de conformité et d'amélioration de la sécurité des données, les entreprises qui envisagent de mettre en place le modèle doivent toutefois bien réfléchir aux éventuelles difficultés.
La plus évidente est que le BYOK implique de plus grandes responsabilités, ce qui peut entraîner des dépenses supplémentaires. L'équipe IT interne de l'organisation peut être amenée à gérer un compte AWS, mais si un partenaire externe a besoin d'accéder à la clé racine, elle devra s'occuper de lui fournir l'accès. Un fournisseur de services IT pourrait également se charger de certaines tâches liées au BYOK, mais une telle délégation va à l'encontre de l'objectif principal du modèle.
Et si l'entreprise perd la clé principale ? Il s'agit là d'un vrai problème.
« Il n'y a pas de solution de secours, rappelle Gautam Roy, Principal Product Manager chez Workday, qui s'est occupé du compte Workday d'EWE. Si le client révoque l'accès à la clé racine, Workday perd l'accès aux données. C'est le principe même du BYOK. Nous ne faisons pas de sauvegarde des clés. Nous avons besoin d'accéder en temps réel aux données par le biais des clés racine ».
« De notre point de vue, le coût de la mise en œuvre et de la maintenance est en fait assez faible. La solution est facile à utiliser et à maintenir, et nous avons considérablement réduit les risques liés à la sécurité des données. »
Tammo Buss
Workday Technical Lead, EWE
Pour EWE, le surcroît de travail et de responsabilités lié au BYOK en valait la peine. L'entreprise a choisi d'éliminer le risque de non-conformité au RGPD au moyen d'une solution technique, plutôt que de le réduire par le biais d'un accord contractuel sur la confidentialité des données. D'après Tammo Buss, toutes les entreprises européennes, et en particulier celles qui opèrent dans des secteurs très réglementés, doivent se préoccuper des risques liés à la confidentialité des données, tout en gardant à l'esprit que les cadres réglementaires ne cesseront d'évoluer. Avec la prochaine réglementation de l'UE sur l'IA, les entreprises doivent se préparer à être agiles en ce qui concerne les pratiques de sécurité des données.
Workday BYOK peut s'avérer très utile à cet égard. « Nous sommes ravis d'avoir mis en place le BYOK, car lorsque les exigences de conformité évoluent, nous savons que nous gardons le contrôle technique de nos données, indique Tammo Buss. Cela devrait réduire la nécessité de réunir les équipes juridiques pour mettre à jour les accords sur la confidentialité des données avec de nouvelles parties contractuelles. »
Ainsi, si le BYOK engendre des coûts, il peut aussi réduire le coût des activités futures liées à la conformité, tout en contribuant à prévenir de coûteuses failles de sécurité des données.
« De notre point de vue, le coût de la mise en œuvre et de la maintenance est en fait assez faible, estime Tammo Buss. La solution est facile à utiliser et à maintenir, et nous avons considérablement réduit les risques liés à la sécurité des données. »
En lire plus
Résoudre l'équation de la confiance : l'IA responsable dans la région EMEA
Ce numéro explore l'importance de la confiance dans l'adoption de l'IA et présente les points de vue des leaders IT de la région EMEA, des analyses d'experts sur les défis liés à la confiance, et des stratégies pour un déploiement responsable de l'IA. Découvrez comment renforcer la confiance et réussir votre transformation digitale.
À l'ère de l'IA, les dirigeants doivent instaurer la confiance. Mais comment ?
Avec la grande incertitude entourant l'IA, les équipes de sécurité et de gouvernance évoluent dans un environnement en perpétuel changement. Mais une chose est sûre : la confiance n'a jamais été aussi importante.
Points de vue d'experts sur l'avenir de l'IA dans les entreprises et la société
Découvrez l'avis d'experts sur l'avenir de l'IA réunis lors de Workday Rising EMEA l'année dernière. Profitez des insights du docteur Tomas Chamorro-Premuzic et de bien d'autres.