Avec Enterprise Key Management (EKM), Box.com, le fournisseur de services de stockage et de partage de fichiers dans le cloud, veut supprimer ce qu'il considère comme le dernier obstacle à l'adoption du cloud par les entreprises. EKM doit permettre aux clients de garder le contrôle sur leurs clés de cryptage (et par conséquent, sur les données stockées dans un cloud public) sans entamer la facilité d'usage propre au service. Selon le fournisseur, « pour de nombreux clients qui ont des contraintes strictes de sécurité en matière de données, c'est un sujet de préoccupation majeur ». C'est le cas notamment des banques, des cliniques et des hôpitaux et même des studios de cinéma qui ont obligation de conserver un journal d'audit et un référentiel des clés de chiffrement soit pour répondre aux normes réglementaires soit tout simplement pour leurs propres pratiques internes afin de se protéger des intrusions. Généralement, les entreprises choisissent une solution sur site, plus raisonnable, pour bénéficier de ce type de sécurité. Mais ces solutions cloisonnées font passer la facilité d'usage au bas de la liste des priorités, ce qui n'est pas le cas des fournisseurs de cloud dédiés comme Box et Dropbox, dont les services sont comparativement plus agréables, avec des politiques de plus en plus favorables aux entreprises et accessibles par tous les dispositifs. « Beaucoup de clients aimeraient utiliser le cloud, à condition de conserver le contrôle sur leurs contenus sensibles », a déclaré le vice-président des produits d'entreprise de Box, Rand Wacker.

Une appliance stocke les clefs sur AWS

D'après le communiqué de Box, la façon dont fonctionne Enterprise Key Management est simple (voir illustration principale). Quand on enregistre un fichier dans le cloud de Box, il est d'abord crypté avec une clé. Ensuite, une appliance sur le cloud d'Amazon Web Services (AWS) prend la clé, la crypte à nouveau et la stocke dans une autre appliance inviolable, complète, avec un log des accès impossibles à modifier, et à laquelle seul le client peut accéder. Quand celui-ci a besoin du fichier, Box envoie une requête à l'appliance pour récupérer la clé, le journal est mis à jour, et le fichier est ouvert. La procédure est totalement transparente pour l'utilisateur final qui ne se rend compte de rien.

Si quelqu'un parvient à s'introduire dans le compte d'un client Box EKM, il trouverait de nombreux fichiers inutilisables, parce qu'impossibles à ouvrir sans les clés conservées à l'abri dans l'appliance hébergée dans AWS. Box insiste sur le fait que cette appliance fabriquée par Gemalto est renforcée pour résister aux intrusions. Elle est inviolable au point qu'elle peut même effacer ses données si un criminel vole le matériel dans le centre de données et essaye ensuite de le forcer physiquement. Box met en avant le fait que le Gemalto SafeNet Hardware Security Module (HSM) répond aux standards de protection du ministère de la Défense, requis par les agences gouvernementales et les entrepreneurs partout dans le monde.

D'autres partenaires attendus

Tout attaquant potentiel aurait une forteresse à double rempart à franchir. « C'est vraiment le dernier obstacle à l'adoption du cloud », a affirmé Rand Wacker. Et, si le client est suffisamment important pour avoir déjà un SafeNet Hardware Security Module sur site, Box pense qu'il pourra opter pour ce service en guise de sauvegarde. Le fournisseur indique également que AWS n'est que le premier fournisseur de cloud avec lequel il travaille, et qu'il compte ajouter d'autres options à Box EKM assez rapidement. Box EKM est disponible en version bêta dès maintenant. La disponibilité générale du service est annoncée pour ce printemps.