Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Le chiffrement AES-256 ne suffit pas : pourquoi la sécurité des fichiers en entreprise exige une protection à plusieurs niveaux

Le chiffrement AES-256 ne suffit pas : pourquoi la sécurité des fichiers en entreprise exige une protection à plusieurs niveaux

par Bob Ertl updated novembre 21, 2025 Partage sécurisé de fichiers
temps de lecture: 12 minutes

Le chiffrement AES-256 protège les fichiers stockés sur les serveurs et dans les bases de données en transformant les données en un texte chiffré illisible. Toutefois, les données traversent trois états distincts au cours de leur cycle de vie : au repos, en transit et en cours d’utilisation. Chaque état nécessite des technologies de chiffrement spécifiques pour garantir la protection. Sans couverture de chiffrement sur ces trois états, les données sensibles deviennent vulnérables lors des transferts entre systèmes, pendant leur traitement en mémoire applicative ou si les clés de chiffrement sont stockées de façon non sécurisée.

Dans cet article, nous allons explorer ces trois types de chiffrement pour mieux comprendre leurs différences, mais surtout pourquoi ils sont tous essentiels pour protéger vos données sensibles, quel que soit leur emplacement, la personne avec qui elles sont partagées ou leur mode d’utilisation.

Quels sont les meilleurs cas d’usage de partage sécurisé de fichiers dans les différents secteurs d’activité ?

Pour en savoir plus :

Résumé exécutif

Idée principale : Le chiffrement AES-256 sécurise les données au repos, mais laisse les données vulnérables lors des transmissions réseau, des traitements actifs et tout au long du cycle de vie des clés de chiffrement sans technologies complémentaires.

Pourquoi c’est important : Les organisations qui ne chiffrent que les données au repos exposent leurs fichiers sensibles à des interceptions pendant les transferts, à des compromissions lors des traitements et à des vols via un stockage de clés non sécurisé, même si les fichiers restent chiffrés sur disque.

5 points clés à retenir

1. Les données existent sous trois états qui nécessitent chacun un chiffrement : au repos sur les systèmes de stockage, en transit sur les réseaux et en cours d’utilisation lors des traitements actifs. Le chiffrement AES 256 ne couvre que le premier état, laissant deux fenêtres de vulnérabilité critiques non protégées.

2. Les protocoles TLS 1.2 ou supérieurs chiffrent les données en transit en utilisant les mêmes suites de chiffrement AES que celles protégeant les données au repos. Les organisations doivent utiliser ces deux technologies conjointement pour garantir la couverture du chiffrement lors des déplacements des fichiers entre systèmes.

3. Le chiffrement en cours d’utilisation protège les données pendant leur traitement actif en mémoire ou leur affichage à l’écran. Des technologies comme Intel SGX, ARM TrustZone et le confidential computing empêchent les attaques par vidage mémoire et canaux auxiliaires d’exposer les données déchiffrées.

4. Les modules matériels de sécurité stockent et gèrent les clés de chiffrement dans des dispositifs inviolables, empêchant le vol de clés même en cas de compromission des serveurs. Les HSM offrent une protection validée FIPS 140-3 Niveau 1 ou supérieure pour les clés cryptographiques qui déverrouillent les données chiffrées.

5. La gestion des clés de chiffrement détermine si la protection de vos données reste efficace ou devient le maillon faible de votre architecture de sécurité. Un stockage de clés inadapté, des politiques de rotation insuffisantes et l’absence de procédures de récupération compromettent même les meilleurs algorithmes de chiffrement.

Ce que protège réellement le chiffrement AES-256

AES-256 est un algorithme de chiffrement symétrique utilisant des clés de 256 bits pour chiffrer les données au repos sur les périphériques de stockage, les bases de données et les systèmes de sauvegarde.

L’algorithme transforme les fichiers lisibles en texte chiffré qui apparaît comme une suite de caractères aléatoires pour toute personne ne disposant pas de la clé de déchiffrement. Lorsqu’il est correctement mis en œuvre, le chiffrement AES-256 protège les données stockées sur disques durs, SSD et réseaux de stockage contre tout accès non autorisé. Le NIST a approuvé AES pour la protection des informations classifiées jusqu’au niveau Secret, et l’algorithme a résisté à des décennies d’analyses cryptographiques sans attaque réussie sur sa conception de base.

Cependant, le chiffrement AES-256 au repos ne protège plus les données dès qu’elles quittent les systèmes de stockage. Les fichiers doivent être déchiffrés avant d’être transmis à d’autres systèmes, affichés aux utilisateurs ou traités par des applications. Ces points de transition créent des fenêtres de vulnérabilité où les données existent en clair, sauf si des bonnes pratiques de chiffrement supplémentaires sont appliquées.

Ce que protège le chiffrement AES-256 au repos :

  • Fichiers stockés sur serveurs, bases de données et baies de stockage
  • Données sur bandes de sauvegarde et supports archivés
  • Informations sur des appareils perdus ou volés

Ce que le chiffrement AES-256 au repos ne protège pas :

  • Données circulant sur les réseaux entre systèmes
  • Fichiers traités en mémoire applicative
  • Informations affichées à l’écran ou transmises par e-mail

Comprendre les trois états des données

Quels sont les trois états où les données doivent être chiffrées ?

Les données traversent trois états distincts au cours de leur cycle de vie, chacun présentant des défis de sécurité spécifiques qui nécessitent des approches de chiffrement adaptées.

Données au repos : informations stockées sur des supports physiques ou virtuels, y compris disques durs, bases de données, serveurs de fichiers et systèmes de sauvegarde. Le chiffrement AES-256 protège les données au repos en chiffrant l’intégralité des disques, des fichiers ou des champs de base de données, empêchant qu’un vol physique ou un accès non autorisé au système n’expose des informations sensibles.

Données en transit : informations circulant activement sur les réseaux, que ce soit entre data centers, des serveurs vers les terminaux utilisateurs ou via des systèmes de messagerie. Lors de la transmission, les données traversent routeurs, commutateurs, pare-feu et autres infrastructures réseau, où elles peuvent être interceptées. Les protocoles de chiffrement réseau protègent les données en transit en créant des tunnels chiffrés empêchant toute écoute illicite.

Données en cours d’utilisation : informations traitées activement par des applications, chargées en mémoire système ou affichées à l’écran. Les applications doivent déchiffrer les données pour les traiter, créant une fenêtre où elles existent en clair dans la RAM. Des technologies de chiffrement spécialisées protègent les données en cours d’utilisation en créant des environnements d’exécution sécurisés qui isolent les traitements sensibles du reste du système.

Exigences de chiffrement pour chaque état :

  • Données au repos : chiffrement de fichiers ou de disques AES-256 avec stockage sécurisé des clés
  • Données en transit : TLS 1.2 ou supérieur avec des suites de chiffrement robustes
  • Données en cours d’utilisation : confidential computing, enclaves sécurisées ou chiffrement mémoire

Chiffrement des données en transit

Comment le chiffrement TLS protège-t-il les données circulant sur les réseaux ?

Le protocole TLS (Transport Layer Security) chiffre les données lors de leur circulation sur les réseaux entre clients et serveurs, créant des canaux de communication chiffrés empêchant toute interception ou altération.

TLS 1.2 et TLS 1.3 utilisent des suites de chiffrement AES pour sécuriser le trafic réseau, offrant la même robustesse cryptographique pour les données en transit que l’AES-256 pour les données au repos. Lorsqu’un client se connecte à un serveur, les deux systèmes négocient les paramètres de chiffrement, s’authentifient mutuellement via des certificats numériques et établissent des clés de session pour chiffrer toutes les communications suivantes.

Les implémentations modernes de TLS prennent en charge la confidentialité persistante (perfect forward secrecy), générant des clés de session uniques pour chaque connexion. Ainsi, même si des attaquants compromettent ultérieurement la clé privée d’un serveur, ils ne pourront pas déchiffrer les communications précédemment interceptées.

Les organisations doivent désactiver les anciens protocoles comme SSL 3.0, TLS 1.0 et TLS 1.1, qui présentent des vulnérabilités connues. Le NIST recommande TLS 1.2 comme version minimale, TLS 1.3 étant à privilégier pour les nouveaux déploiements.

Exigences critiques pour la configuration TLS :

  • TLS 1.2 ou supérieur avec des suites de chiffrement robustes (AES-GCM recommandé)
  • Certificats numériques valides délivrés par des autorités de certification reconnues
  • Confidentialité persistante activée

Quels autres protocoles chiffrent les données en transit ?

Les protocoles de chiffrement des e-mails protègent les messages et pièces jointes pendant leur transmission entre serveurs de messagerie et lors du stockage dans les boîtes de réception des destinataires.

S/MIME (Secure/Multipurpose Internet Mail Extensions) chiffre les messages e-mail à l’aide des clés publiques des destinataires et les signe avec les clés privées des expéditeurs. Cette méthode assure un chiffrement de bout en bout où seul le destinataire peut déchiffrer les messages, avec des signatures numériques garantissant l’authenticité de l’expéditeur.

Les protocoles de transfert sécurisé de fichiers chiffrent les fichiers lors des chargements, téléchargements et transferts serveur à serveur. SFTP (SSH File Transfer Protocol) utilise le chiffrement SSH pour sécuriser les transferts, tandis que FTPS (FTP Secure) superpose les commandes FTP sur des connexions TLS.

Options de chiffrement pour les e-mails et le transfert de fichiers :

  • S/MIME ou PGP pour le chiffrement de bout en bout des e-mails
  • SFTP ou FTPS pour les transferts de fichiers chiffrés
  • Protocoles AS2 ou AS4 pour l’échange de documents B2B

Chiffrement des données en cours d’utilisation

Comment les organisations chiffrent-elles les données pendant leur traitement ?

Le chiffrement des données en cours d’utilisation protège les informations traitées activement en mémoire système, empêchant les attaquants d’accéder aux données déchiffrées même en cas de compromission du système d’exploitation ou de l’hyperviseur.

Intel Software Guard Extensions (SGX) crée des environnements d’exécution isolés appelés enclaves, où les applications traitent les données sensibles. Le code et les données restent chiffrés en mémoire, et le processeur ne les déchiffre qu’à l’intérieur de l’enclave sécurisée. Cette isolation protège contre les malwares privilégiés, les systèmes compromis et même les attaques physiques sur la mémoire.

ARM TrustZone offre des possibilités similaires en partitionnant les ressources du processeur entre un monde sécurisé et un monde normal. Les opérations sensibles s’exécutent dans le monde sécurisé, isolées des applications du monde normal.

AMD Secure Encrypted Virtualization (SEV) chiffre la mémoire des machines virtuelles avec des clés gérées par le processeur, et non par l’hyperviseur. Cette approche protège les charges de travail dans le cloud, où les organisations ne contrôlent pas l’infrastructure sous-jacente.

Technologies protégeant les données en cours d’utilisation :

  • Enclaves Intel SGX pour des environnements de traitement isolés
  • Partitionnement sécurisé ARM TrustZone
  • AMD SEV pour le chiffrement de la mémoire des machines virtuelles
  • Cadres de confidential computing combinant ces technologies

Qu’est-ce que le confidential computing ?

Le confidential computing protège les données pendant leur traitement en réalisant les calculs dans des environnements d’exécution de confiance matériels, isolant les données du système d’exploitation, de l’hyperviseur et des autres logiciels système.

Ces technologies répondent à des situations où les données doivent être déchiffrées pour être traitées, mais où l’environnement de traitement lui-même peut être compromis ou contrôlé par des parties potentiellement non fiables. Les institutions financières utilisent le confidential computing pour traiter des transactions dans le cloud, les établissements de santé analysent les données patients sans les exposer aux fournisseurs cloud, et les agences gouvernementales gèrent des informations classifiées sur des infrastructures partagées.

Cas d’usage du confidential computing :

  • Traitement de données réglementées dans le cloud public
  • Calcul multipartite où aucune partie ne doit voir l’ensemble des données
  • Analyse de jeux de données chiffrés sans déchiffrement sur des systèmes non fiables

Modules matériels de sécurité et gestion des clés

Pourquoi les clés de chiffrement nécessitent-elles une protection matérielle dédiée ?

Les modules matériels de sécurité (HSM) sont des dispositifs physiques inviolables qui génèrent, stockent et gèrent les clés cryptographiques dans un environnement sécurisé distinct des serveurs classiques.

Les HSM protègent les clés via des contrôles physiques détectant et réagissant aux tentatives de sabotage. Les HSM FIPS 140-2 Niveau 3 détruisent les clés en cas d’ouverture physique du dispositif, tandis que les modèles Niveau 4 effacent les clés si les conditions environnementales changent.

Les opérations cryptographiques sont réalisées en interne, sans jamais exposer les clés à la mémoire du serveur où des malwares pourraient les intercepter. Lorsqu’une application doit chiffrer ou déchiffrer des données, elle envoie la requête à l’HSM, qui effectue l’opération et ne retourne que le résultat. Les clés ne quittent jamais l’environnement matériel protégé.

Les organisations soumises à des exigences de conformité doivent souvent utiliser des HSM validés FIPS 140-2 pour la gestion des clés. PCI DSS impose les HSM pour la protection des clés de paiement, tandis que CMMC Niveau 3 et plus exige leur usage pour la protection des informations classifiées.

Fonctions de sécurité des HSM :

  • Matériel inviolable FIPS 140-2 Niveau 3 ou 4
  • Génération sécurisée de clés via des générateurs matériels de nombres aléatoires
  • Accélération des opérations cryptographiques
  • Procédures de sauvegarde et de récupération des clés

Que se passe-t-il en cas de mauvaise gestion des clés ?

Une gestion défaillante des clés de chiffrement compromet même les meilleurs algorithmes. Un stockage inadapté, des politiques de rotation insuffisantes ou l’absence de procédures de récupération créent des vulnérabilités exploitées par les attaquants pour accéder aux données chiffrées.

Stocker les clés de chiffrement sur les mêmes serveurs que les données chiffrées annule toute protection. Un attaquant qui compromet le serveur accède à la fois aux fichiers chiffrés et aux clés nécessaires à leur déchiffrement.

Ne pas faire tourner régulièrement les clés de chiffrement aggrave l’impact en cas de compromission. Si une organisation utilise la même clé pendant des années et qu’elle est volée, les attaquants peuvent déchiffrer toutes les données historiques protégées par cette clé.

L’absence de procédures de récupération des clés met en péril la continuité d’activité. Si les responsables de la gestion des clés quittent l’organisation sans documenter l’emplacement ou les méthodes de récupération, les données chiffrées peuvent devenir définitivement inaccessibles.

Défaillances de gestion des clés compromettant le chiffrement :

  • Stockage des clés avec les données chiffrées
  • Absence de rotation des clés
  • Manque de procédures de sauvegarde et de récupération des clés
  • Contrôles d’accès insuffisants aux systèmes de gestion des clés

Comment ces technologies de chiffrement fonctionnent ensemble

À quoi ressemble une couverture de chiffrement complète ?

Une couverture de chiffrement complète protège les données tout au long de leur cycle de vie en appliquant les technologies adaptées à chaque état et point de transition.

Un fichier créé sur l’ordinateur portable d’un utilisateur est d’abord protégé au repos sur le disque local. Lorsqu’il est téléchargé sur un serveur de fichiers d’entreprise, le chiffrement TLS le protège pendant le transit réseau. Le fichier arrive sur le serveur où il est à nouveau chiffré au repos via AES-256, avec des clés stockées dans un HSM. Lorsqu’un autre utilisateur accède au fichier, le chiffrement TLS protège le téléchargement, et le terminal applique le chiffrement au repos sur son propre stockage.

Cette approche en couches garantit que les données restent chiffrées partout, sauf dans les fenêtres de traitement où le déchiffrement est strictement nécessaire.

Couverture de chiffrement de bout en bout :

  • Données au repos chiffrées avec AES-256 sur tous les systèmes de stockage
  • Données en transit protégées par TLS 1.2 ou supérieur pour toutes les communications réseau
  • Données en cours d’utilisation traitées dans des enclaves sécurisées pour les informations ultra-sensibles
  • Clés de chiffrement gérées par des HSM validés FIPS 140-2

Où les organisations rencontrent-elles le plus souvent des failles de chiffrement ?

Les systèmes de partage de fichiers et de collaboration manquent souvent de chiffrement en transit lorsque les utilisateurs partagent des fichiers via des services grand public ou des pièces jointes e-mail sans protection S/MIME.

Les organisations peuvent chiffrer les données au repos sur les serveurs, mais négliger le chiffrement lors de la transmission par e-mail, permettant à quiconque surveillant le réseau d’intercepter des fichiers sensibles. De même, certains services cloud de partage de fichiers utilisent HTTPS pour les transferts web, mais pas pour les API ou la synchronisation mobile.

Les systèmes de sauvegarde et d’archivage constituent une autre faille courante. Les organisations chiffrent les données de production mais stockent les sauvegardes en clair, ou bien chiffrent les fichiers de sauvegarde mais conservent les clés sur le même support.

Scénarios courants de failles de chiffrement :

  • Pièces jointes e-mail transmises sans S/MIME ou TLS
  • Systèmes de sauvegarde chiffrant de façon inégale ou stockant les clés de manière non sécurisée
  • Applications héritées ne répondant pas aux exigences actuelles de chiffrement
  • Appareils mobiles dépourvus de chiffrement complet du disque

Technologies complémentaires au chiffrement

Comment les systèmes d’authentification protègent-ils les clés de chiffrement ?

Les systèmes de gestion des identités et des accès (IAM) contrôlent quels utilisateurs et applications peuvent accéder aux clés de chiffrement et déchiffrer les données protégées.

L’authentification multifactorielle (MFA) exige plusieurs formes de vérification avant d’accéder aux systèmes contenant les clés de chiffrement. Même si des attaquants volent des mots de passe, ils ne peuvent pas déchiffrer les données sans le second facteur. Le NIST recommande la MFA pour tous les systèmes accédant à des données sensibles, et des référentiels comme CMMC Niveau 2 et HIPAA l’imposent pour les systèmes contenant des informations réglementées.

Contrôles d’authentification pour les systèmes de chiffrement :

  • Authentification multifactorielle pour tout accès à la gestion des clés
  • Contrôles d’accès basés sur les rôles limitant les autorisations sur les clés
  • Accès temporaire (just-in-time) accordant des droits de déchiffrement limités dans le temps

Qu’est-ce que la gestion des droits numériques pour les fichiers chiffrés ?

Les contrôles de gestion des droits numériques (DRM) maintiennent la protection des fichiers même après authentification et déchiffrement pour consultation ou modification.

Les fonctions safeVIEW et safeEDIT de Kiteworks empêchent les utilisateurs de télécharger des fichiers chiffrés sur leurs terminaux, leur permettant seulement de consulter ou modifier le contenu dans un navigateur sécurisé. Ainsi, les données sensibles restent sur des serveurs protégés, sans être copiées sur des terminaux potentiellement non maîtrisés où elles pourraient être dupliquées, transférées ou exposées en cas de vol d’appareil.

Fonctions DRM prolongeant la protection du chiffrement :

  • Accès en lecture seule empêchant les téléchargements
  • Modification sécurisée sans copie locale du fichier
  • Expiration de l’accès au contenu partagé

Comment la protection des e-mails maintient-elle la couverture de chiffrement ?

L’e-mail représente une faille majeure de chiffrement pour de nombreuses organisations, car la transmission SMTP standard n’intègre pas de chiffrement natif et les utilisateurs envoient souvent des fichiers sensibles en pièce jointe via des canaux non protégés.

La passerelle de protection des e-mails Kiteworks chiffre automatiquement tous les e-mails sortants et pièces jointes avant leur envoi, en appliquant S/MIME ou TLS sans que les utilisateurs aient à gérer des certificats ou des clés de chiffrement. La passerelle analyse les messages à la recherche de contenus sensibles et peut appliquer des règles exigeant le chiffrement pour les messages contenant des données réglementées.

Fonctions de protection des e-mails :

  • Chiffrement automatique S/MIME ou PGP pour les messages sortants
  • Application de TLS pour la transmission e-mail serveur à serveur
  • Analyse du contenu avant chiffrement pour appliquer les politiques de protection des données

Comment Kiteworks met en œuvre un chiffrement multi-couches

Kiteworks assure la couverture du chiffrement sur les trois états des données grâce à des technologies intégrées protégeant les fichiers tout au long de leur cycle de vie.

Chiffrement AES-256 au repos pour tous les fichiers stockés dans Kiteworks, avec gestion des clés via HSM intégré ou systèmes de gestion de clés contrôlés par le client. Les organisations peuvent mettre en œuvre un chiffrement validé FIPS 140-3 Niveau 1 pour répondre aux exigences réglementaires et gouvernementales.

Chiffrement TLS 1.2 et 1.3 pour les données en transit lors des opérations de chargement, de téléchargement et de partage. La plateforme impose des suites de chiffrement robustes et la confidentialité persistante pour toutes les communications réseau.

Intégration de modules matériels de sécurité offrant une protection FIPS 140-2 Niveau 3 pour les clés de chiffrement, compatible avec les services HSM cloud et les appliances HSM sur site. Les organisations gardent la maîtrise de la gestion des clés tout en bénéficiant d’une protection matérielle inviolable.

Architecture Réseau de données privé regroupant la messagerie électronique, le partage et le transfert de fichiers, ainsi que les formulaires web dans un environnement chiffré unifié. Cette approche élimine les failles de chiffrement créées par l’utilisation de solutions ponctuelles distinctes pour chaque canal de communication.

Chiffrement S/MIME et PGP des e-mails pour protéger les messages et pièces jointes via la passerelle de protection des e-mails Kiteworks, qui chiffre automatiquement le contenu sensible sans intervention de l’utilisateur.

Fonctions safeVIEW et safeEDIT empêchant le téléchargement des fichiers tout en permettant leur consultation et leur modification dans des sessions navigateur sécurisées, afin que les fichiers chiffrés restent sur des serveurs protégés et ne soient pas diffusés sur des terminaux.

Comment Kiteworks gère le transfert de données chiffrées

Le chiffrement AES-256 offre une protection essentielle pour les données au repos, mais ne couvre qu’un seul des trois états nécessitant une couverture de chiffrement. Les organisations doivent recourir au chiffrement TLS pour les données en transit, au confidential computing pour les données en cours d’utilisation et aux modules matériels de sécurité pour la gestion des clés, afin de garantir la protection tout au long du cycle de vie des données.

Les failles de chiffrement aux points de transition créent des vulnérabilités exploitées par les attaquants pour accéder à des informations sensibles. Les fichiers peuvent être chiffrés sur les serveurs, mais exposés lors de la transmission réseau, protégés pendant le transfert mais compromis lors du traitement, ou sécurisés par des algorithmes robustes mais fragilisés par une mauvaise gestion des clés.

Une couverture de chiffrement complète exige des technologies adaptées à chaque état des données, fonctionnant ensemble dans un système unifié. Les contrôles d’authentification déterminent qui peut déchiffrer les données, tandis que la gestion des droits numériques prolonge la protection au-delà du déchiffrement pour empêcher toute diffusion non autorisée.

Kiteworks applique cette approche de chiffrement multi-couches via un Réseau de données privé qui protège les données au repos avec AES-256, sécurise les données en transit avec TLS 1.3, gère les clés via l’intégration HSM et garde la main sur le contenu déchiffré grâce aux fonctions safeVIEW et safeEDIT. La plateforme regroupe la messagerie électronique, le partage sécurisé de fichiers, le MFT sécurisé, le SFTP et les formulaires de données sécurisés dans un environnement chiffré unique, éliminant ainsi les failles créées par l’utilisation de solutions ponctuelles disparates.

Pour en savoir plus sur le chiffrement et la protection des données sensibles que vous traitez, stockez et partagez, réservez votre démo sans attendre !

Foire aux questions

Vous devez utiliser TLS 1.2 ou supérieur pour chiffrer les données en transit, ainsi que S/MIME ou PGP pour le chiffrement de bout en bout des e-mails. TLS protège les fichiers lors des transferts entre serveurs et clients, tandis que S/MIME chiffre les messages et pièces jointes pour que seuls les destinataires puissent les déchiffrer. Les organisations doivent également mettre en œuvre SFTP ou FTPS pour les transferts de fichiers chiffrés et s’assurer que tous les systèmes de partage de fichiers imposent TLS lors des chargements et téléchargements.

Le stockage logiciel conserve les clés de chiffrement dans des fichiers de configuration, des bases de données ou des services de gestion de clés fonctionnant sur des serveurs classiques, où des malwares ou des administrateurs compromis peuvent y accéder. Les HSM stockent les clés dans un matériel inviolable qui les détruit en cas de sabotage physique, réalisent les opérations cryptographiques en interne sans exposer les clés à la mémoire du serveur et offrent une protection validée FIPS 140-3 Niveau 1 ou supérieure, exigée par de nombreux référentiels de conformité.

Non, les données doivent être déchiffrées pour être traitées par l’application, créant une fenêtre de vulnérabilité où des attaquants ayant un accès applicatif peuvent les intercepter. Les organisations manipulant des données très sensibles devraient mettre en place des technologies de confidential computing comme Intel SGX ou AMD SEV, qui protègent les données en cours d’utilisation en les traitant dans des enclaves matérielles sécurisées, inaccessibles même aux malwares privilégiés.

CMMC Niveau 2 impose le chiffrement des CUI au repos et en transit, ce qui implique la mise en œuvre d’AES-256 pour les données stockées et de TLS 1.2 ou supérieur pour les communications réseau. Le référentiel exige également des modules de chiffrement validés FIPS 140-3 Niveau 1, des pratiques de gestion des clés sécurisées et des procédures documentées pour la génération, la distribution, le stockage et la destruction des clés tout au long de leur cycle de vie.

Les bonnes pratiques recommandent de faire tourner les clés de chiffrement au moins une fois par an, voire chaque trimestre pour les données très sensibles. Après rotation, les systèmes doivent conserver les versions précédentes des clés pour déchiffrer les données historiques, tout en chiffrant les nouvelles données avec les clés actuelles. Les organisations ont besoin de systèmes de gestion des versions de clés pour suivre quelle clé a servi à chiffrer chaque fichier et de processus automatisés pour ré-encrypter progressivement les anciennes données avec les clés actuelles.

Ressources complémentaires

 

  • Article de blog Chiffrement à clé publique vs. clé privée : explications détaillées
  • Article de blog Bonnes pratiques essentielles pour le chiffrement des données
  • eBook
    Top 10 des tendances du chiffrement des données : analyse approfondie de l’AES-256
  • Article de blog E2EE en pratique : exemples concrets de chiffrement de bout en bout
  • Article de blog Guide ultime du chiffrement AES 256 : renforcer la protection des données pour une sécurité infaillible

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks