La Cnil est loin d'être uniquement active sur le volet répressif (comme dans l'amende infligée à Amazon) de ses activités. La commission nationale de l'informatique et des libertés est également prolifique en matière de recommandations, guides et autres fiches pratiques. Ce dernier format de publications de l'organisme vient d'ailleurs d'être complété par deux dernières portant d'une part sur le chiffrement dans le cloud public, et d'autre part sur les outils de sécurisation d'applications web dans le cloud. « La sécurité est indispensable pour apporter la confiance dans la gestion des données personnelles de l’entreprise. Il s’agit également d’une obligation légale en matière de protection des données personnelles : en 2022, près d’un tiers des sanctions prononcées par la Cnil visaient des manquements à cette obligation », explique le régulateur.
Chiffrement dans le cloud public
Dans sa première fiche pratique - pour laquelle la Cnil précise d'emblée qu'elle n'a pas pour objet de traiter le sujet de la répartition des responsabilités entre les fournisseurs et leurs clients au titre du RGPD - la commission met en avant 4 scénarios de chiffrement. Tout d'abord trois en fonction des différents états de la donnée : au repos (stockage persistant dans une mémoire non volatile), en transit (transmise sur un réseau de communication entre deux endroits d'un même SI ou entre deux SI) et en traitement (en accès, consultation, mise à jour, consommée, analysée...). Et un dernier centré sur le chiffrement de bout en bout.
« Pour garantir l’effectivité du chiffrement, il est nécessaire que les clés de chiffrement soient gérées de façon à en garantir la confidentialité et que les algorithmes de chiffrement utilisés soient à l’état de l’art », explique notamment a Cnil. « Le chiffrement est une mesure efficace et essentielle pour réduire le risque d’accès illégitimes aux données. Il est indispensable dans de nombreuses situations courantes (flux de données circulant au travers internet, stockage, poste de travail, etc.) ». L'autorité apporte ensuite un éclairage sur les enjeux liés à la délégation de services sécurité dans le cloud mais aussi les risques associés comme le fait qu'un fournisseur mal intentionné pourrait fouiller dans les données du client ou d'être lui-même victime d'intrusions. « Du point de vue de la protection des données personnelles, les obligations de chaque partie doivent être formalisées dans un contrat clair, tel que le prévoit l’article 28.3 du RGPD », prévient-elle. « Le client doit aussi maîtriser les outils qui sont mis à sa disposition pour utiliser au mieux les clés de chiffrement. En particulier, le client doit être certain que : les services, logiciels ou programmes qui utilisent ces clés sont sains ; ces services utilisent les bonnes clés (c'est à dire les siennes et pas d’un autre client) ; les algorithmes de chiffrement et déchiffrement sont correctement mis en œuvre ; ces outils sont correctement distribués et vérifiables par lui-même ».
La Cnil détoure de façon aussi bien pédagogique que synthétique ces 4 scénarios de chiffrement. Pour le premier (données au repos), quatre niveaux de verrouillage sont détaillés : disque, fichier, bases de données et applicatif, associés à des recommandations mais aussi une vue de synthèse sur les différentes approches de chiffrement au regard de leurs simplicité de mise en oeuvre, d'investissement et d'expertise, de niveau d'accès des clés par le fournisseur, de transparence des accès aux clés, etc. Concernant le deuxième scénario (données en transit), la Cnil prévient que « le chiffrement des données en transit ne correspond pas à la notion de chiffrement de bout en bout : le service cloud, qui peut servir d’intermédiaire entre deux entités qui souhaitent communiquer, peut avoir accès aux données en clair ». Les protocoles les plus utilisés pour le chiffrement des communications sont TLS, SSH, IPSec et MACSEC. Pour ce qui est du 3e scénario (données en traitement), la commission explique que « si les données ne sont pas chiffrées lors du traitement par le service (ce qui est typiquement le cas pour des services SaaS), alors le chiffrement au repos et/ou en transit par le fournisseur ne constituent pas des mesures techniques supplémentaires efficaces vis-à-vis d’un accès par le fournisseur, puisqu’il doit avoir accès aux données en clair lorsque le service effectue les traitements ». Enfin concernant le chiffrement de bout en bout cloud, le régulateur avertit que le cryptage seul des données en transit ne peut être considéré comme du chiffrement de bout en bout, sauf si le fournisseur est l’unique destinataire des données échangées. Et également que la combinaison du verrouillage des données en transit avec le chiffrement de données au repos ne peut être considérée comme du chiffrement de bout en bout si, à un point donné de la chaîne de transmission, il y a rupture du chiffrement, permettant au fournisseur d’accéder aux données en clair.
Sécuriser les données cloud
Dans sa seconde fiche pratique, la Cnil passe en revue les outils et services utilisés pour assurer la sécurité mais aussi la performance des services web : anti DDoS, WAF, CDN et répartiteur de charge. Et en profite pour prévenir que « ces solutions sont susceptibles de traiter des données personnelles et d’engendrer des risques pour les droits et libertés des personnes ». A savoir en particulier les adresses IP et/ou MAC, horodatage, géolocalisation et tailles des paquets relatives aux indicateurs de compromission, ou encore les paquets transitant sur le réseau qui ne sont pas chiffrés.
« Pour un client recourant à un fournisseur d’informatique cloud, les outils de sécurité et de performance doivent être pris en compte dans l’analyse des transferts et accès potentiels. Il est ainsi essentiel d’obtenir du fournisseur de service une description précise des outils et technologies appliqués d’office sur les services souscrits, de lui demander toutes les informations et données personnelles que ces outils manipulent, afin de déterminer les éventuels transferts et accès qu’ils induisent », fait savoir la commission. D'où l'importance de vérifier en cas de recours à un fournisseur de service cloud des éventuels transferts qui peuvent être réalisés par des outils de sécurité intégrés nativement avec les prestations fournies. Cela nécessite donc de se poser plusieurs questions comme recenser les transferts de données personnelles et définir un plan d'action en cas de transferts hors de l'union européenne.
« D’autres considérations techniques sont à prendre en compte pour évaluer les possibilités d’accès par des autorités de pays tiers non conformes au RGPD », fait également savoir la Cnil. « Si les outils d’anti-DDoS, d’équilibrage de la charge (LB) et les pare-feux applicatifs (WAF) peuvent être placés au sein de l’UE pour éviter des transferts hors UE du fait de leur utilisation, le service de réseau de distribution de contenus (CDN) présente les mêmes limites que le fonctionnement traditionnel d’Internet : un tel réseau est conçu pour offrir au plus près de chaque internaute une copie du service / contenu demandé. Si la copie est mise en cache sur un serveur situé hors UE, il est possible que des données transitent depuis un serveur au sein de l’UE vers un serveur situé hors UE ». Là encore des bonnes pratiques sont poussées pour s'assurer qu'une configuration appropriée est mise en place pour limiter la circulation de données en dehors de l'Union européenne. Par exemple en se limitant à des données statiques de contenus lourds (vidéos, images...) ne contenant pas d'informations personnelles. Les problématiques du déchiffrement des flux TLS et risques associés sont aussi abordées, au premier rang desquels pour la confidentialité des données déchiffrées, d'augmentation de la surface d'attaque, l'introduction d'un point de défaillance unique, des possibilités de transfert hors UE ou d'accès par des autorités de pays tiers. « Pour minimiser les risques associés au déchiffrement des flux TLS tout en préservant l’objectif de sécurité initialement prévu lors de la mise en place de dispositifs de sécurité, des solutions appropriées doivent être envisagées », poursuit l'institution. Cela passe notamment par une analyse approfondie des risques et des avantages du déchiffrement TLS.
Lorsque cela est nécessaire, la mise en oeuvre de mesures de sécurité au niveau des points de déchiffrement est alors requise (mise en place de mesures de contrôle d'accès stricts au données déchiffrées, authentification forte pour accéder aux données déchiffrées, configuration d'un bastion pour déchiffrer, pseudonymisation des données, etc.). Mais ce n'est pas tout car des mesures supplémentaires peuvent aussi être activées comme minimiser les données faisant l'objet d'un déchiffrement, conserver les données « pendant une durée n'excédant pas celle nécessaire au regard de l’objectif de sécurité », sans oublier l'information aux personnes concernées : « dans un but de transparence, les personnes concernées devront être informées du fait que leurs données sont susceptibles d’être déchiffrées, accédées et analysées à des fins de sécurité. Cette information devra respecter les exigences de transparence posées par le RGPD ».
Commentaire