Unova
Chargement...
Logo Orange
Chiffrement du stockage des données – Partie 2 : comment utiliser le chiffrement symétrique et asymétrique en pratique

Chiffrement du stockage des données – Partie 2 : comment utiliser le chiffrement symétrique et asymétrique en pratique

Dans la Partie 2 de la série, découvrez quand utiliser le chiffrement symétrique et asymétrique pour le stockage des données, avec des exemples pratiques et des stratégies de combinaison.

Partie 2 sur 3 – Application pratique

Dans la Partie 1 de cette série, nous avons parlé du contexte, des concepts de base du chiffrement et de la manière dont il intervient dans le stockage des données. Passons maintenant à la pratique : comment utiliser le chiffrement symétrique et asymétrique pour les données au repos de façon stratégique.

1. Quand utiliser le chiffrement symétrique pour les données au repos

Le chiffrement symétrique est le choix naturel pour protéger de grands volumes de données au quotidien, car il offre un bon niveau de sécurité avec d’excellentes performances. Quelques scénarios typiques :

  • Chiffrement de disques et de volumes : serveurs de bases de données, serveurs d’applications, postes de travail contenant des données sensibles ;
  • Chiffrement transparent des données dans les bases (TDE) ;
  • Protection des fichiers, rapports et sauvegardes stockés localement ou dans le cloud ;
  • Chiffrement de champs spécifiques dans les tables, tels que les identifiants personnels, les données financières ou les secrets d’affaires.

Dans pratiquement tous ces cas, des algorithmes comme AES avec des clés de 128 ou 256 bits, dans des modes modernes (comme GCM), sont considérés comme des standards du marché.

2. Exemple conceptuel : chiffrer des champs sensibles dans la base de données

Imaginons une table clients avec les champs suivants :

  • id
  • nom
  • email
  • numero_identite
  • telephone

Votre objectif est de réduire l’impact d’une fuite en protégeant numero_identite et telephone. Un schéma classique serait :

  1. Clé dédiée : l’application récupère, à partir d’un coffre de secrets, une clé symétrique dédiée aux données personnelles ;
  2. Avant l’écriture :
    • elle reçoit le numéro d’identité en clair ;
    • elle chiffre la valeur avec la clé symétrique, en utilisant un mode authentifié (par exemple, AES-GCM) ;
    • elle stocke le résultat chiffré (par exemple, encodé en Base64) dans le champ numero_identite ;
  3. À la lecture :
    • elle récupère la valeur chiffrée dans la base de données ;
    • elle obtient la clé symétrique avec les autorisations appropriées ;
    • elle déchiffre le champ dans l’application et n’affiche la donnée qu’aux utilisateurs autorisés.

Ainsi, le numéro d’identité apparaît en clair uniquement pendant quelques instants en mémoire côté backend, ce qui réduit l’exposition et l’impact en cas d’accès non autorisé à la base.

2.1 Points de vigilance pour le chiffrement symétrique

  • Ne pas réinventer la roue : utilisez des bibliothèques éprouvées plutôt que d’essayer de créer votre propre algorithme ;
  • Vecteurs d’initialisation (IV) : évitez de réutiliser les IV dans les modes qui exigent l’unicité (comme GCM et CTR) ;
  • Planifier les requêtes : si vous devez chercher des enregistrements par numéro d’identité, par exemple, le chiffrement direct peut compliquer l’indexation et la recherche. Une alternative consiste à combiner hash + sel pour les recherches exactes et chiffrement pour le stockage ;
  • Gestion des clés : la sécurité de la solution dépend directement de la manière dont la clé est stockée et utilisée – ce sera le sujet central de la Partie 3.

3. Le rôle du chiffrement asymétrique dans le stockage des données

Le chiffrement asymétrique n’est généralement pas utilisé pour chiffrer de grands volumes de données au repos, car il est plus coûteux en ressources. Mais il joue deux rôles stratégiques essentiels :

3.1 Protection des clés symétriques (envelope encryption)

Un schéma largement adopté est celui de l’envelope encryption :

  1. Les données sont chiffrées avec une clé de données (clé symétrique) ;
  2. Cette clé de données est à son tour chiffrée avec la clé publique d’une paire asymétrique ;
  3. La clé privée correspondante est extrêmement protégée, par exemple dans un KMS (Key Management Service) ou un HSM ;
  4. Lorsque l’application a besoin d’accéder aux données :
    • elle envoie la clé de données chiffrée au service sécurisé ;
    • le service déchiffre la clé de données à l’aide de la clé privée ;
    • l’application utilise la clé de données en mémoire pour déchiffrer les données, puis la supprime.

Ainsi, même si quelqu’un copie la base de données et les fichiers associés, il ne dispose pas de la clé privée nécessaire pour déverrouiller les clés de données.

3.2 Signatures numériques pour les journaux et les sauvegardes

Un autre usage important de la cryptographie asymétrique est la signature numérique d’artefacts critiques, tels que :

  • les sauvegardes de bases de données ;
  • les journaux d’audit et les traces d’accès ;
  • les fichiers sensibles échangés entre systèmes.

En signant ces données, vous pouvez vérifier s’il y a eu modification non autorisée. C’est particulièrement utile pour les audits, les enquêtes sur les incidents de sécurité et la preuve d’intégrité vis-à-vis des régulateurs.

4. Combiner chiffrement symétrique et asymétrique dans une même architecture

La véritable force du chiffrement pour le stockage apparaît lorsque l’on combine ces deux approches. Une architecture typique ressemble à ceci :

  1. Les données au repos (disques, bases, fichiers, sauvegardes) sont chiffrées avec des clés symétriques ;
  2. Ces clés symétriques :
    • sont protégées par une infrastructure asymétrique (KMS/HSM/PKI) ;
    • ont un périmètre bien défini (par environnement, système ou type de données) ;
    • sont régulièrement renouvelées.
  3. L’usage des clés est contrôlé et audité :
    • qui peut demander le déchiffrement ;
    • d’où, quand et dans quel contexte ;
    • avec des journaux détaillés de chaque opération.

C’est le modèle que l’on retrouve, par exemple, chez les grands fournisseurs de cloud et dans les architectures d’entreprise les plus matures.

5. Clôturer la Partie 2 : et ensuite ?

Dans cette deuxième partie, nous avons vu comment appliquer le chiffrement symétrique et asymétrique aux données au repos de manière concrète, avec des exemples et une architecture combinant les deux approches.

Dans la Partie 3, nous aborderons l’élément critique qui sous-tend l’ensemble : la gestion des clés, les bonnes pratiques de gouvernance, l’alignement avec la LGPD/RGPD et un checklist pour lancer ou faire évoluer votre stratégie de chiffrement.

Prenez le contrôle de vos données personnelles.

Gérez les consentements et préférences en toute transparence – en conformité avec la LGPD/RGPD.

Commencez gratuitement maintenant

Nous utilisons des cookies pour améliorer votre expérience

Certains sont essentiels et d’autres nous aident à comprendre comment vous utilisez le site.
Vous pouvez tout accepter, refuser les non essentiels ou personnaliser.
Lisez notre Politique de confidentialité.