Le chiffrement est la dernière protection quand les autres tombent : un disque volé, un flux intercepté, un média recyclé restent illisibles sans la clé. Cette famille impose le chiffrement en transit (TLS conforme, aucun listener en clair) et au repos sur les volumes et le stockage objet, pour neutraliser la lecture par accès physique ou par réallocation. Les clés sont conformes aux règles ANSSI et protégées par un HSM/KMS qui sépare les données du moyen de les déchiffrer. Pour les données les plus sensibles, le client gère ses propres clés (BYOK/HYOK), plaçant le déchiffrement hors du contrôle exclusif du fournisseur ; et les certificats proviennent d'une autorité d'un État membre de l'UE, pour réduire l'exposition à un contrôle extra-européen sur la chaîne de confiance.
Concrètement, ces exigences parent : l'interception d'un flux en clair, la lecture d'un disque ou média recyclé non chiffré, la clé faible ou stockée avec les données, et l'accès du fournisseur aux données sensibles faute de clés maîtrisées. Des renforcées (R2) aux souveraines (R3).
Sans chiffrement maîtrisé, un vol de stockage ou de coffre donne accès aux données en clair.
Les pièges à éviter
Section intitulée « Les pièges à éviter »Les erreurs les plus fréquentes sur ce périmètre :
Exigences
Section intitulée « Exigences »chiffrement des flux en transit (TLS conforme) sur les services exposés ; aucun listener en clair.#
Un flux en clair est interceptable et modifiable sur le réseau (man-in-the-middle). Imposer le chiffrement en transit (TLS conforme) sur les services exposés, sans aucun listener en clair, protège la confidentialité et l'intégrité des échanges contre l'écoute et l'altération.
- Preuve attendue
- Listeners HTTPS/SSL (TLS) ; redirection du trafic en clair.
- Outillage
- Pépin Prowler
Correspondances & menaces parées 4 standards · 1 menace
L'attaquant accède aux objets d'un stockage cloud (buckets, volumes) mal protégés pour exfiltrer des données. Une exposition publique ou des droits trop larges suffisent (ATT&CK T1530) ATT&CK T1530 ATT&CK T1619.
chiffrement au repos sur les volumes et le stockage objet, empêchant la récupération des données à la réallocation/recyclage des médias.#
Un disque ou un objet récupéré (média recyclé, copie volée) est lisible s'il n'est pas chiffré. Le chiffrement au repos des volumes et du stockage objet rend ces données illisibles sans la clé, neutralisant la fuite par accès physique ou par réallocation des médias.
- Preuve attendue
- Chiffrement au repos activé (volumes, buckets) avec gestion de clés conforme.
- Outillage
- Pépin Prowler
Correspondances & menaces parées 5 standards · 1 menace
L'attaquant accède aux objets d'un stockage cloud (buckets, volumes) mal protégés pour exfiltrer des données. Une exposition publique ou des droits trop larges suffisent (ATT&CK T1530) ATT&CK T1530 ATT&CK T1619.
clés cryptographiques conformes aux règles ANSSI ; accès aux clés et secrets protégé par conteneur de sécurité (HSM/KMS).#
Des clés faibles ou stockées avec les données qu'elles protègent annulent l'intérêt du chiffrement. Des clés conformes ANSSI, dont l'accès est protégé par un HSM/KMS, garantissent une cryptographie robuste et une séparation entre les données et le moyen de les déchiffrer.
- Preuve attendue
- Clés conformes [CRYPTO_B2] ; accès aux clés protégé (HSM/KMS, séparation des rôles).
- Outillage
- Pépin Prowler
Correspondances & menaces parées 5 standards · 1 menace
Les secrets stockés dans un coffre cloud (Secrets Manager, Key Vault) sont lus grâce à des droits excessifs ou un rôle compromis. Le coffre concentre la valeur : un accès indu y donne les clés du royaume (ATT&CK T1555.006) ATT&CK T1555.006.
clés de chiffrement gérées par le client (BYOK/HYOK) pour les données sensibles, hors du contrôle exclusif du fournisseur.#
Si le fournisseur détient seul les clés, il peut techniquement (ou sous contrainte légale) accéder aux données. Gérer les clés côté client (BYOK/HYOK) pour les données sensibles place le déchiffrement hors de son contrôle exclusif : sans la clé du client, le fournisseur ne peut pas lire les données.
- Preuve attendue
- Gestion des clés par le client (BYOK/HYOK) documentée pour les données sensibles.
- Outillage
- Pépin Prowler
Correspondances & menaces parées 3 standards · 2 menaces
L'attaquant accède aux objets d'un stockage cloud (buckets, volumes) mal protégés pour exfiltrer des données. Une exposition publique ou des droits trop larges suffisent (ATT&CK T1530) ATT&CK T1530 ATT&CK T1619. Une autorité étrangère contraint légalement un fournisseur cloud (CLOUD Act, FISA) à divulguer des données hébergées, hors du cadre juridique national. Le risque n'est pas technique mais juridique : la souveraineté de l'hébergement (SecNumCloud) y répond SecNumCloud (ANSSI).
certificats issus d'une autorité de certification d'un État membre de l'Union européenne.#
La confiance dans un certificat dépend de l'autorité qui l'émet et de la juridiction à laquelle elle est soumise. Recourir à une AC d'un État membre de l'UE réduit l'exposition à un contrôle extra-européen sur la chaîne de confiance des données sensibles.
- Preuve attendue
- Chaîne de certificats ancrée sur une AC d'un État membre de l'UE.
- Outillage
- Pépin Prowler
Correspondances & menaces parées 1 standard · 2 menaces
L'attaquant accède aux objets d'un stockage cloud (buckets, volumes) mal protégés pour exfiltrer des données. Une exposition publique ou des droits trop larges suffisent (ATT&CK T1530) ATT&CK T1530 ATT&CK T1619. Une autorité étrangère contraint légalement un fournisseur cloud (CLOUD Act, FISA) à divulguer des données hébergées, hors du cadre juridique national. Le risque n'est pas technique mais juridique : la souveraineté de l'hébergement (SecNumCloud) y répond SecNumCloud (ANSSI).