Blog

L’informatique confidentielle, la solution ultime de sécurité ?

October 16th, 2023  by Bruno van Marsenille

Face à l’augmentation des (cyber-)attaques contre les systèmes informatiques et compte tenu que les infrastructures sont toujours plus partagées, le concept d’informatique confidentielle tend à s’imposer. Il promet en effet à la fois d’augmenter le niveau de sécurité des plateformes et d’accroître le niveau de confiance des utilisateurs.

All articles

Les experts s’accordent à considérer que les données peuvent être dans trois états : les données ‘au repos’ stockées par exemple sur un disque dur ou dans une base de données ; les données ‘en mouvement’ qui transitent sur les réseaux ; et les données en cours d’utilisation, qui sont traitées par le microprocesseur. Si des primitives cryptographiques sont largement mises en œuvre pour sécuriser les données dans les deux premiers états, ce qui permet de garantir l’intégrité et la confidentialité, les données en cours d’utilisation restent difficiles à protéger. D’autant que les infrastructures sont toujours plus décentralisées et partagées dans le contexte du cloud hybride ou public.

En effet, les attaques sont nombreuses et prennent globalement deux grandes formes. D’une part, les attaques logicielles pour compromettre l’intégrité du système (rançongiciel, piratage, exploitation de vulnérabilités, injection d’erreurs logiques, etc.), mais aussi pour accéder aux données par des canaux auxiliaires (side-channel attacks), sans oublier les erreurs de configuration et de paramétrage. D’autre part, au niveau physique, le risque existe qu’un administrateur système ou un prestataire externe accède sans autorisation à l’infrastructure et puisse copier des données, espionner un lien ou surveiller un bus informatique par exemple.

Fonctionnement

Globalement donc, les données sont vulnérables juste avant le traitement, pendant leur traitement et juste après : elles sont exposées aux vidages de mémoire, aux compromissions de l’utilisateur root et à d’autres exploits malveillants.

L’informatique confidentielle prétend pouvoir résoudre ce problème à l’aide d’un environnement d’exécution sécurisé (TEE ou trusted exécution environment) basé sur le matériel. Ce TEE est sécurisé à l’aide de clés de chiffrement intégrées, tandis que des mécanismes d’attestation intégrés garantissent que ces clés ne sont accessibles qu’au seul code d’application autorisé. Si un logiciel malveillant ou un code non autorisé tente d’accéder aux clés, ou si le code autorisé est piraté ou altéré, le TEE refusera l’accès aux clés et annulera l’opération.

Ce faisant, les données sensibles restent protégées en mémoire jusqu’à ce que l’application demande au TEE de les déchiffrer pour pouvoir les traiter. Ajoutons que pendant le chiffrement et tout au long du processus de traitement, les données sont invisibles pour le système d’exploitation ou pour l’hyperviseur d’une machine virtuelle, de même que pour les autres ressources de la pile de traitement ou encore le fournisseur cloud et ses employés.

Marché

Le déploiement d’un environnement de confiance doit favoriser le recours au multicloud grâce au chiffrement des données les plus sensibles dans des environnements mutualisés. D’ailleurs, le cabinet d’études Everest estime que le marché de l’informatique confidentielle progresse de 90 à 95% par an pour passer de 2 milliards de dollars en 2021 à pas moins de 54 milliards de dollars en 2026.

Et pour promouvoir davantage encore cette technologie, plusieurs acteurs du marché du semiconducteur (Intel, ARM, AMD ou encore Nvidia) se sont associés aux géants du logiciel (Microsoft, Google, Oracle et IBM) dans le Confidential Computing Consortium qui s’attelle depuis 2019 à définir des standards de l’informatique confidentielle et à accélérer son adoption.

Champ d’application

L’intégration croissante du multicloud et les cas d’utilisation spécifiques à la sécurité dans les différents secteurs d’activité seront les principaux moteurs de la croissance de cette technologie. Les entreprises axées sur la technologie dans les secteurs réglementés tels que les banques, les services financiers, les assurances, les soins de santé et les sciences de la vie devraient accélérer la croissance du marché. En effet, ces secteurs réglementés sont confrontés à une pression croissante des autorités de réglementation pour renforcer la sécurité et la confidentialité des données.

« L’exposition élevée aux données privées, associée à des réglementations telles que l’ACCP, Schrems II, le RGPD et l’HIPPA, garantit que l’intérêt pour l’informatique confidentielle sera élevé dans le secteur bancaire et financier », note ainsi Everest. En outre, les entreprises fintech, insurtech et healthtech, axées sur la technologie, sont susceptibles de pousser la sensibilisation dans les domaines BFSI (banking, financial services, insurance) et HLS (healthcare, life sciences) au cours des cinq prochaines années.

Aprico Consultants agit aux côtés de ses clients pour définir leur positionnement stratégique sur un marché en rupture et pour développer leur stratégie en exploitant les technologies existantes et nouvelles et en alignant l’IT sur les réalités métier dans tous les domaines. Notre méthodologie de consultance se veut un guide intelligent pour anticiper les changements et traduire les menaces numériques en opportunités, la transformation numérique intelligente étant étroitement liée à l’architecture d’entreprise et aux besoins opérationnels tant présents que futurs.

Careers opportunities

We’re always looking for talented people.
Are you one of those?