La décision prise par de grands fournisseurs de cloud computing américains d’améliorer leurs niveaux de cryptage témoigne de la pertinence du cryptage de données dans le cloud pour la sécurisation des données sensibles et la conformité aux réglementations internationales en matière de confidentialité des données..

Le chiffrement n'est pas un oui ou un non, une matière coupée et sèche. Une fois que vous vous êtes engagé à chiffrer vos données, vous devez ensuite déterminer comment, dans quelle mesure et quelles données vous devez chiffrer. Gardez ces consignes à l'esprit lorsque vous développez votre stratégie de chiffrement dans le cloud.

Réalisez que vous avez des options pour le cryptage

Toutes vos données ne nécessitent pas un cryptage dans le cloud, et ne le devraient pas non plus. Ce serait une entreprise coûteuse et finalement contre-productive. Toutes vos données ne doivent pas non plus être cryptées de la même manière.

Ce qui fonctionne pour les noms peut ne pas fonctionner aussi bien pour les numéros de sécurité sociale; pour des raisons de fonctionnalité, les formats des numéros de carte de crédit peuvent nécessiter que leurs formats soient préservés de manière à ne pas affecter les informations d'adresse postale..

En raison de ces conditions, votre solution de cryptage sur le cloud devrait fournir diverses options, notamment:

  • Jetons d'indexation et pads, qui remplacent les données par des jetons de chiffrement ou les chiffrent et les déchiffrent à l'aide de clés privées à usage unique générées aléatoirement.
  • Cryptographie robuste, définie par PCI comme un cryptage basé sur des "algorithmes acceptés et testés par le secteur", par exemple AES, utilisé conjointement avec des longueurs de clé élevées et des pratiques de gestion de clé appropriées.
  • Gestion du cycle de vie du stockage des données: le chiffrement dans le cloud ne peut être considéré véritablement sécurisé et efficace que s'il persiste tout au long du cycle de vie des données stockées dans le cloud.

Mais lorsqu'il s'agit de données stockées par un fournisseur de services cloud (CSP) tiers, comment pouvez-vous vraiment connaître le cycle de vie de vos données??

Les incertitudes liées à l'archivage, à la sauvegarde et à la suppression rapide des données, que ce soit selon votre planning ou à votre demande, compliquent la détermination du cycle de vie des informations stockées dans le cloud. Pour résoudre ce problème, vous devez vous assurer que, quelle que soit la durée de vie de vos données dans le cloud, votre entreprise est la seule à en détenir les clés - et donc la seule à pouvoir y accéder..

Ainsi, lorsque vous aurez décidé que le moment est venu de détruire vos données, il ne vous reste plus qu'à détruire votre clé. La suppression de cette clé "déchiquetera numériquement" vos données, la rendant inutile aux regards indiscrets, peu importe la durée de son existence dans le cloud..

Comme le soulignent les chercheurs dans l'International Journal of Engineering and Advanced Technology, le stockage de données dans le cloud engendre des risques de sécurité, car "les données du cloud sont accessibles à tous".

Il note ensuite qu '"une mesure de prévention est nécessaire pour sécuriser les données d'utilisateurs non authentifiés ou d'intrus". Le cryptage dans le nuage à lui seul ne risque pas non plus d'atténuer totalement ces risques, car tout initié CSP avec la clé de cryptage peut accéder aux données..

Qu'est-ce-que tout cela veut dire?

Pour commencer, sécurisez complètement vos données en cryptant les informations confidentielles dans le cloud de la manière appropriée pour les champs désignés. En tant que contrôle de sécurité supplémentaire, conservez exclusivement les clés.

Vous devez également vous assurer que quiconque détient les clés de chiffrement dans votre propre entreprise est autorisé à accéder. Pour cette raison, une politique de contrôle d'accès aux données granulaires est indispensable..

Lorsque vous recherchez des moyens d'implémenter un cryptage efficace dans le cloud pour sécuriser vos données et assurer la conformité aux réglementations, assurez-vous que votre programme de protection des informations du cloud inclut ces éléments essentiels..

Sans eux, vos données sont à peu près aussi sûres qu'une fortune stockée dans un coffre-fort dont trop de personnes ont les clés.

  • Paige Leidig a 20 ans d'expérience dans les domaines de la technologie, du marketing, de la vente de solutions d'application d'entreprise et de la gestion de relations de confiance. En tant que vice-président directeur du marketing, il est responsable de tous les aspects du marketing chez CipherCloud..