Le chiffrement ubiquitaire est-il la recette miracle contre la hausse des cyberattaques et les problèmes de souveraineté sur le cloud posés par l'extraterritorialité des lois américaines ? C'est du moins l'une des solutions mises en avant par Cosmian, une jeune pousse française spécialisée dans le chiffrement des données, en particulier dans le cloud.

En s'appuyant sur les progrès de la recherche en cryptographie, cet éditeur de logiciel a mis au point des outils qui permettent d'effectuer des calculs sur des données hébergées dans le cloud sans pour autant les dévoiler, et donc sans les rendre vulnérables.

Qu'est-ce que le chiffrement ubiquitaire ?

« La cryptographie est un champ qui connaît une évolution très rapide, on peut aujourd'hui accomplir des choses encore impensables il y a quatre ans », note Sandrine Murcia, dirigeante et cofondatrice de la société. Des progrès bienvenus, étant donné que l'essor du cloud impose selon elle de repenser les techniques de chiffrement des données.

« La plupart des systèmes encore utilisés aujourd'hui ont été pensés dans un contexte où les données étaient stockées sur site, où l'on ne faisait pas de traitement des masses de données, et où l'on n'avait pas d'applications qui venaient s'approvisionner en permanence sur de vastes répertoires de données. Dans un tel contexte, assurer le chiffrement des données en permanence, même quand elles sont traitées, n'apparaissait pas nécessaire, puisque ce traitement était effectué sur site.

Pour cette raison, nombre d'applications ne peuvent pas travailler sur des données chiffrées, ce qui crée une vulnérabilité, puisque les données doivent être mises en clair au moment où elles sont traitées. Notre solution permet de réaliser des calculs sur les données sans les dévoiler. C'est ce qu'on appelle le chiffrement ubiquitaire. »

Un outil contre les cyberattaques

La technologie développée par Cosmian, si elle s'appuie sur la recherche de pointe, est ensuite conçue sous forme d'API que les entreprises peuvent utiliser. Ses deux produits se nomment Cloudproof Encryption et Microservice Encryption. Ils permettent tous les deux aux entreprises de pouvoir stocker et utiliser leurs données dans le cloud, celui-ci ne voyant que du chiffré, tout le temps. « C'est ce qui permet de travailler dans un environnement zero trust, c'est-à-dire de ne pas avoir à faire confiance au cloud », note Sandrine Murcia.

Le chiffrement ubiquitaire offre ainsi un moyen de se protéger contre les cyberattaques, en hausse constante sur ces dernières années. Selon le 2022 Cyber Security Insights Report, réalisé par S-RM, un consultant spécialisé dans la cybersécurité, 75% des entreprises américaines et britanniques ont essuyé une cyberattaque au cours des trois dernières années. Le fonds Cybersecurity Ventures estime quant à lui que la cybercriminalité coûtera 10.500 milliards de dollars dans le monde en 2025, contre 3.000 milliards en 2015.

Cosmian s'adresse notamment aux industries qui manipulent des données particulièrement sensibles, comme la banque et la santé, toutes deux particulièrement ciblées par les cybercriminels. Mais l'évolution des techniques de chiffrement est susceptible d'intéresser toutes les entreprises qui travaillent et collaborent sur les données dans le cloud, ce qui concerne un nombre croissant d'industries.

« La question de la confidentialité des données industrielles, par exemple, se fait de plus en plus pressante, et le chiffrement ubiquitaire peut s'avérer très utile aux entreprises qui ont besoin de collaborer avec leurs concurrents sans risquer de leur livrer leurs secrets industriels », affirme Sandrine Murcia.

Un cloud résilient sans être souverain

Mais le chiffrement ubiquitaire est également une réponse aux lois extraterritoriales américaines, comme le CLOUD Act et le FISA (Foreign Intelligence Surveillance Act), qui représentent un risque pour la confidentialité des données des entreprises clientes d'AWS, Microsoft Azure et Google Cloud, risque auquel les tentatives de construire un cloud de confiance constituent une réponse qui demeure incomplète.

Guillaume Poupard, ancien directeur général de l'Agence nationale de la sécurité des systèmes d'information (Anssi), nous confiait ainsi récemment que même « sur le cloud souverain, on ne parle pas de souveraineté absolue. »

Avec le chiffrement ubiquitaire, le risque de voir les autorités américaines accéder aux données des entreprises en clair s'évapore. « À partir du moment où vous avez votre propre système de chiffrement ubiquitaire, quiconque accédera à vos données d'une manière ou d'une autre sera incapable de les déchiffrer. Grâce à cette approche zero trust, on rend donc ces données imperméables quel que soit le cloud, souverain ou non. »

À noter que Google Cloud propose également une solution de chiffrement ubiquitaire, mais contrairement à celle de Cosmian, celle-ci n'est pas open source. « Il faut donc leur faire confiance. De notre côté, toutes nos librairies sont ouvertes, vous pouvez donc voir en tant qu'entreprise que les choses s'exécutent bien comme elles doivent s'exécuter. »

Contactés sur ce point, Google confirment que leur solution n'est pas open source mais précisent être membres actifs d'un consortium hébergé par la Fondation Linux, le Confidential Computing Consortium, dont l'objectif est de définir les meilleurs standards de sécurité en permettant des collaborations ouvertes.

Vers le quantique et au-delà

Cosmian a réalisé une levée de fonds de 4,2 millions d'euros en mai dernier, auprès de 115K, le nouveau fonds de la Banque Postale, et Elaia Partners. Pour préparer l'avenir, la société propose également une solution de chiffrement post-quantique, qui vise à rendre le chiffrement des données utilisé dès aujourd'hui imperméable à la révolution qu'entraînera l'ordinateur quantique lorsque celui-ci sera suffisamment mature.

« Le risque, c'est qu'avec les systèmes de chiffrement actuels, même si vous chiffrez vos données dans le cloud avec votre propre dispositif, ce type de chiffrement sera cassé par les ordinateurs quantiques, ce qui veut dire qu'il sera un jour possible, pour un acteur malveillant, d'y accéder, que ce soit à un horizon de cinq, dix ou quinze ans. L'idée du chiffrement quantique, c'est de se protéger dès maintenant avec des techniques de chiffrement qui résisteront à ces ordinateurs. »

En avril dernier, l'Anssi a rendu un avis scientifique et technique résumant les différents aspects et enjeux de la menace quantique sur les systèmes cryptographiques actuels, et donnant des recommandations aux entreprises pour se prémunir dès maintenant contre ce risque. D'autres sociétés, comme le français CryptoNext, ont fait de la cryptographie post-quantique leur spécialité.