L’informatique confidentielle comble un angle mort du chiffrement des données

Une femme valide sa connexion à son smartphone.
Le chiffrement, enjeu de confiance clé pour les entreprises, se limite jusqu’ici aux données au repos et en transit. L’informatique confidentielle étend cette protection aux données en cours de traitement.

Le besoin de confidentialité des données sensibles fait obstacle à la généralisation du cloud public. Les dispositifs de chiffrement dits “de bout en bout” portent mal leur nom. Certes, ils protègent les données au repos – celles stockées dans des bases de données – et les données en transit sur le réseau. En revanche, ce chiffrement ne s’applique pas aux données en cours d’utilisation. Pour être traitées par une application, celles-ci doivent, en effet, être déchiffrées. Cela les rend momentanément vulnérables à des menaces ciblées comme la compromission d’un serveur ou l’exploitation des faiblesses d’une application.

Un sas étanche pour isoler les données sensibles

L’informatique confidentielle vise à assurer la confidentialité et éventuellement l’intégrité de ces données en cours de traitement. Elle s’appuie pour cela sur des environnements d’exécution de confiance (“Trusted Execution Environments”, TEE), des zones sécurisées qui isolent les données et le code d’exécution du système d’exploitation principal. Ces environnements ne peuvent ainsi être consultés, modifiés ou altérés par un agent malveillant. Ils intègrent leurs propres clés de chiffrement et des mécanismes d’authentification. Si un code d’exécution non autorisé ou un malware tente d’accéder aux clés, les TEE annulent le traitement.

L’informatique confidentielle vise à convaincre les entreprises de migrer leurs applications et leurs données sensibles dans le cloud public.

L’informatique confidentielle repose sur un socle à la fois logiciel et matériel. Une application de confiance exécutée dans des TEE doit, en effet, accéder aux ressources matérielles – processeur, mémoire, puissance de calcul (CPU) – du serveur qui l’héberge.

Lever les derniers freins vers le cloud public

Les acteurs de l’informatique confidentielle souhaitent convaincre les entreprises de migrer leurs applications et données les plus sensibles dans les infrastructures mutualisées du cloud public pour gagner en agilité et passer à l’échelle. Le cabinet Gartner a fait de la protection de la vie privée dans le cloud (“Privacy-Enhancing Computing”) une des tendances technologiques de 2022.

La constitution d’environnements de confiance isolés favorise le recours au multicloud en assurant le chiffrement des données pendant leur traitement quel que soit le cloud retenu, et participe à l’essor de l’edge computing. Avec ce cloud à la périphérie, le traitement des données se fait au plus près des objets connectés (IoT) sans avoir à les transférer dans le cloud. Un environnement de confiance permet d’assurer la confidentialité de ce traitement en local.

L’approche de l’informatique confidentielle peut encourager la collaboration entre entreprises en protégeant la propriété intellectuelle. ICT Journal cite l’exemple d’un hôpital qui envoie des radiographies dans le cloud d’un prestataire pour les faire analyser par l’algorithme d’intelligence artificielle d’un autre fournisseur, et ce, sans qu’aucune des trois organisations ne puisse accéder aux informations des autres.

Un marché en fort développement

Selon une étude du cabinet d’études Everest Group, le marché de l’informatique confidentielle croît de 90 à 95 % par an ; il représentait près de 2 milliards de dollars en 2021 et pourrait atteindre 54 milliards de dollars en 2026. La dynamique devrait principalement venir des secteurs fortement réglementés de la banque, de l’assurance et de la santé.

Sur ce marché se positionnent à la fois les fabricants de semi-conducteurs (Intel, ARM, AMD, NVIDIA) et les géants du cloud (Microsoft, Google, Oracle, IBM). Ces acteurs participent au Confidential Computing Consortium, une communauté open source de la Linux Foundation qui s’attelle depuis 2019 à définir les standards de l’informatique confidentielle et à accélérer son adoption.

Les hyperscalers (les plus gros fournisseurs de cloud) commercialisent déjà des offres d’informatique confidentielle “as a service”, encore baptisées “enclaves d’application”. Dès avril 2020, Microsoft Azure proposait des machines virtuelles labellisées “Confidentiel” protégeant les données lors de leur traitement. Quelques mois plus tard, Amazon Web Services répliquait avec sa solution Nitro Enclaves basée sur son service de stockage EC2. Plus récemment, Google Cloud a lancé en bêta ses machines virtuelles confidentielles (Confidential VM) reposant sur Compute Engine, son offre IaaS.

Ces offres cloud s’appuient sur des architectures matérielles spécifiquement dédiées à l’informatique confidentielle. Les fabricants de puces ont, pour cela, développé des environnements d’exécution de confiance reposant sur une clé inaccessible stockée dans leurs processeurs. On peut citer TrustZone, Software Guard Extensions (SGX) et Secure Encrypted Virtualization (SEV) conçus respectivement par ARM, Intel et AMD.

Fournisseurs cloud et fabricants de semi-conducteurs œuvrant, pour la plupart, au sein du Confidential Computing Consortium, l’ensemble de ces dispositifs doit reposer sur des briques open source – gage de souveraineté et d’interopérabilité.

A lire aussi sur Hello Future

Mobile Connect, à la pointe des solutions d’identification

Découvrir

RGPD : derrière la réglementation, une opportunité pour les entreprises

Découvrir
Le casse-tête des identités numériques

Le casse-tête des identités numériques

Découvrir

Le saviez-vous ?

Découvrir

Innover pour créer les conditions d’une confiance numérique

Découvrir
Le saviez-vous ?

Le saviez-vous ?

Découvrir