Les données de santé de plus de 40 millions de Français sont-elles en sécurité chez Doctolib ? Le 25 mai, la plateforme de prise de rendez-vous médicaux, fleuron de la French Tech était l'invitée d'un autre Français, Atos, devant une poignée de journalistes. L'objectif de la réunion : présenter l'implémentation des outils de chiffrement -un aspect essentiel de la cybersécurité- d'Atos chez Doctolib. Hasard du calendrier, quelques jours avant cette présentation, un article de la cellule investigation de Franceinfo pointait une incohérence dans la communication de la startup sur... le chiffrement.
Si ce dernier point n'avait pas de quoi remettre en cause la sécurité globale des données de Doctolib, l'article a eu pour effet de relancer une critique récurrente faite à la plateforme : l'hébergement de ses données chez l'Américain Amazon Web Services (AWS). Derrière ce reproche se trouvent les spectres du Cloud Act et du Foreign Intelligence Surveillance Act (Fisa), deux lois américaines qui permettent aux autorités du pays de l'Oncle Sam de se saisir des données stockées par n'importe quelle entreprise domestique, dont Amazon, sous condition de mandat. Et ce, même si ces données appartiennent à une entreprise française.
En réponse à ce reproche, Doctolib répète depuis toujours que AWS propose les services logiciels qui correspondent le mieux à son activité. Et à l'occasion de la réunion à laquelle La Tribune a assistée, la startup est entrée dans le détail des protections mises en place face à d'éventuelles dérives de la législation américaine.
Le cloud Amazon, un choix d'efficacité d'après Doctolib
A ses débuts, en 2013, Doctolib opérait lui-même son "hardware", c'est-à-dire les serveurs sur lesquels sont stockées les données. Mais victime de son succès et de ses besoins en capacité de calcul supplémentaire, la startup n'a rapidement plus eu les moyens pour augmenter elle-même son nombre de serveurs. Elle a donc décidé de déporter son infrastructure informatique vers un modèle "à 99,99% cloud". Autrement dit, à l'exception d'une poignée de serveurs gardés en interne, toutes les données de l'entreprise sont stockées dans les data centers de Amazon Web Services, à Paris et à Francfort.
La plateforme n'hésite pas à faire la publicité de ce modèle tout cloud, qui lui permet notamment d'encaisser ses énormes pics d'activité, à plus de 2 ou 3 fois son trafic habituel. Le soir des annonces sur le pass vaccinal, par exemple, Doctolib a enregistré 3 millions de prises de rendez-vous en 5 heures. "L'élasticité du cloud permet de multiplier par dix son infrastructure en une dizaine de minutes", chiffre Jean-Baptiste Voron, CTO cybersécurité chez Atos, présent à la conférence de presse. Concrètement, AWS, à l'instar des autres fournisseurs de cloud, a des milliers de serveurs mobilisables temporairement pour absorber le pic de trafic, alors que si Doctolib gérait sa propre infrastructure, elle serait dans l'incapacité d'installer un grand nombre de serveurs supplémentaires dans un temps raisonnable. Or, garantir la disponibilité de ses services est essentiel pour son modèle économique : un passage hors ligne de ses outils aurait de lourdes conséquences dans l'organisation de ses praticiens clients.
Lors de son virage vers le cloud, Doctolib s'est immédiatement tourné vers Amazon Web Services, qui était la seconde entreprise à obtenir la certification hébergeur de données de santé après Microsoft. Cliente plus que satisfaite, la startup est devenue une véritable VRP des services de sécurité du cloud américain, qu'elle juge de "très bonne qualité" et "pour l'instant inégalés" en France -un constat forcément discuté par les entreprises tricolores (OVHCloud, Scaleway, Clever Cloud...). Cette relation de confiance est bien entretenue par l'hébergeur : pendant la pandémie, AWS a par exemple fait du développement sur mesure pour répondre aux besoins du Français.
"Le problème de la mise à l'échelle du cloud, ce n'est pas de délivrer de la capacité de calcul supplémentaire. Tout le monde peut ajouter des serveurs. Ce qui est difficile, c'est d'ajouter de la capacité de calcul tout en maintenant un niveau de sécurité constant", élabore Jean-Baptiste Voron. Et justement, Doctolib estime que les outils logiciels offerts par AWS lui permettent de répondre à cette promesse.
Le Français Atos partenaire dans la protection des données
Si Doctolib assume donc pleinement son choix d'AWS, il ne lui confie pour autant pas 100% de sa confiance, une bonne pratique commune en cybersécurité. C'est pourquoi il fait appel à l'entreprise française Atos pour gérer une brique essentielle de la confidentialité des données : le chiffrement.
Concrètement, le chiffrement consiste à modifier le contenu des données -par le biais d'algorithmes cryptographiques- pour le rendre illisible à toute personne qui n'aurait pas la clé de lecture. Il est possible de chiffrer le transit de données (contre le risque d'interception du trafic), de chiffrer les données au repos (contre le risque de vol de matériel), ou encore de chiffrer les données "côté serveur" (contre la curiosité des personnes qui ont un accès virtuel aux données). Une bonne politique de chiffrement doit ainsi permettre qu'en cas de fuite à n'importe quel endroit de la chaîne de valeur, il n'y ait pas de compromission des données. "Si des gisements de données de taille et de poids importants vont dans la nature mais qu'ils sont illisibles et ne peuvent pas être réassociés aux données d'origine, alors ils n'auront aucune valeur", rappelle Jean-Baptiste Voron.
Pour lire des données chiffrées, il faut soit posséder la clé qui a servi au chiffrement -on parlera de déchiffrement des données-, soit casser le chiffrement -on parlera alors de décryptage. Mais cette dernière option demande d'importantes capacités de calcul, et les standards du marché la rendent difficilement réalisable. Un des grands enjeux de cybersécurité des entreprises se situe donc dans la gestion (génération, distribution, révocation) et le stockage des clés de chiffrement, de manière à ce qu'elles n'atterrissent pas dans de mauvaises mains.
Des coffres-forts pour clés de chiffrement
Initialement, les fournisseurs de cloud fournissaient également le gestionnaire de clé, ce qui revenait pour les entreprises clientes à mettre leurs œufs dans le même panier. Mais depuis le milieu des années 2010 le secteur du cloud se tourne vers le concept "bring your own key" (littéralement, "amène ta propre clé"). Autrement dit, le client du fournisseur de cloud prend lui-même à charge la problématique du chiffrement.
C'est ici que Doctolib a fait le choix d'une technologie souveraine, les HSM (Hardware Security Module ou "Module matériel de sécurité") d'Atos. Concrètement, il s'agit d'un boîtier physique, qui enferme la clé cryptographique maître (une formule mathématique virtuelle). "Le système de clés cryptographiques prend la forme d'une pyramide avec un haut une clé maître qui donne accès à toutes les clés", vulgarise le responsable cybersécurité d'Atos.
Vu la sensibilité de son contenu, le boîtier répond à toute une liste de standards de sécurité internationaux. Il a aussi obtenu des qualifications spécifiques de la part de l'Anssi, l'agence publique de référence sur la cybersécurité, notamment sur sa façon de générer les clés. "Dans la cryptographie, il n'y a pas de bricolage. On s'appuie sur des mécanismes éprouvés, revus par le monde du logiciel libre", note cependant Jean-Baptiste Voron.
L'accès au boîtier est régulé par un algorithme connu sous le nom de "partage de clé secrète de Shamir". Concrètement, lors de la mise en place du HSM, sept personnes vont se voir remettre un morceau du "secret" qui sécurise le boîtier. Il faudra par la suite que cinq de ces sept personnes se réunissent et assemblent leurs morceaux pour ouvrir le HSM et accéder à la clé. Ainsi, un individu malveillant seul, pas plus qu'un duo, un trio ou même un quatuor, ne peut accéder au contenu. "C'est le même principe que les procédures de lancement de missiles nucléaires", résume Jean-Baptiste Voron. Si une personne essaie d'ouvrir le boîtier sans en avoir l'autorisation, ce dernier... s'auto-détruit, et la clé avec. Ce risque contraint Doctolib à avoir au moins deux HSM redondants, afin de ne pas perdre la clé de chiffrement à jamais.
D'après plusieurs experts en cryptographie contactés par La Tribune, le système déployé par Doctolib diminue drastiquement les risques de perte de confidentialité des données, même si le risque zéro n'existe pas.
"Amazon ne peut pas accéder à de la donnée en clair"
Pour Doctolib, déporter la gestion de son chiffrement chez Atos lui permet aussi de répondre en grande partie à la menace représentée par la législation américaine. Même dans un cas extrême où les autorités américaines obtiendraient de la cour de justice européenne un mandat pour saisir des données de Doctolib, celles-ci seraient chiffrées, puisque "Amazon Web Services ne peut pas accéder à de la donnée en clair", défend Cédric Voisin, le directeur de la sécurité des systèmes d'information (CISO) de la startup.
Et pour cause : les clés de chiffrement se trouvent dans les HSM d'Atos, qui, en tant qu'entreprise française, n'est de son côté par soumis à la législation américaine. Résultat : pour lire les données saisies, les autorités américaines devraient s'atteler à casser le chiffrement, une tâche particulièrement ardue, voire vouée à l'échec avec les technologies d'aujourd'hui.
Cédric Voisin avance l'utilisation des boîtiers d'Atos comme preuve que la startup ne boude pas les technologies françaises quand elle estime qu'elle correspond à ses critères. "Dès que nous pouvons prendre une technologie souveraine, nous le faisons", affirme-t-il. Il rappelle ainsi que la souveraineté numérique ne tient pas au seul choix de l'hébergeur des données.
Mais, malgré les justifications légitimes, le choix d'AWS par Doctolib reste un symbole de la mainmise des trois géants du cloud américain (Google, Amazon, Microsoft) sur les données produites par les fleurons de la French Tech. Et le débat sur le choix effectué par la plateforme française est loin d'être clos.
Le Qatar pourrait acheter 120 véhicules blindés VBCI fabriqués par KNDS France
Sujets les + commentés