Calcul confidentiel : les données sont protégées même durant leur traitement

2 Min. Temps de lecture

En résumé

• Le Confidential Computing protège les données pendant leur traitement – et non seulement au repos et en transit.
• Les environnements d’exécution de confiance (TEE) isolent les calculs dans des enclaves protégées par matériel.
• Intel SGX, AMD SEV et ARM CCA sont les trois plateformes matérielles pour le calcul confidentiel.
• Les fournisseurs de cloud proposent des machines virtuelles et des conteneurs confidentiels en tant que service géré.
• Particulièrement pertinent pour les secteurs réglementés : finance, santé, secteur public.

3 min Temps de lecture

---

Le cryptage protège les données lors du stockage et du transport. Mais qu'se passe-t-il pendant le traitement ? À ce moment-là, les données sont déchiffrées dans la mémoire vive – accessibles aux utilisateurs privilégiés, aux hyperviseurs compromis et aux menaces internes. Le calcul confidentiel comble cette dernière faille de sécurité.

La faille dans la chaîne de cryptage

Les systèmes informatiques modernes chiffrent les données au repos (sur le disque) et en transit (sur le réseau). Cependant, pendant le traitement dans la RAM, les données doivent être déchiffrées – cela est inhérent au système. C'est précisément ici que le modèle de menace intervient : un hyperviseur compromis, un administrateur cloud malveillant ou une attaque par canal latéral peut accéder à la mémoire vive non chiffrée.

Pour la plupart des charges de travail, ce risque est acceptable. Pour les secteurs réglementés – banques, assurances, soins de santé, administration publique – c'est un blocage de conformité. Le calcul confidentiel élimine cette faille grâce à l'isolation basée sur le matériel.

Environnements d'exécution de confiance : comment ça fonctionne

Le calcul confidentiel utilise des environnements d'exécution de confiance (TEE) – zones isolées dans le processeur où le code et les données sont protégés contre toutes les autres couches de logiciel. Même le système d'exploitation, l'hyperviseur et le fournisseur de cloud n'ont pas accès aux données au sein de l'enclave.

Intel SGX (Software Guard Extensions) isole des applications individuelles dans des enclaves. Idéal pour des charges de travail spécifiques telles que la gestion de clés ou le calcul multipartite.

AMD SEV (Secure Encrypted Virtualization) chiffre toute la mémoire vive d'une machine virtuelle avec une clé par machine virtuelle. Transparent pour les applications, car aucune adaptation de code n'est nécessaire.

ARM CCA (Confidential Compute Architecture) apporte des capacités similaires à l'écosystème ARM – pertinent pour le calcul de pointe et les charges de travail mobiles.

Calcul confidentiel dans le cloud

Tous les principaux fournisseurs de cloud proposent le calcul confidentiel en tant que service géré : Azure Confidential VMs (AMD SEV-SNP), Google Confidential VMs (AMD SEV) et AWS Nitro Enclaves (isolation propriétaire). L'utilisation est souvent aussi simple que l'activation d'une option lors de la création d'une machine virtuelle – aucun réécriture de code nécessaire.

Pour les charges de travail conteneurisées, il existe des conteneurs confidentiels : Azure propose des conteneurs confidentiels sur AKS, Google travaille sur des conteneurs confidentiels GKE. Le projet open source Kata Containers implémente des conteneurs isolés par machine virtuelle comme solution universelle.

Cas d’utilisation : où le Confidential Computing fait la différence

Analyse de données multi-parties : Les entreprises peuvent analyser des données conjointement sans les divulguer mutuellement. Exemple : les banques partagent des modèles de fraude sans divulguer de données client. L’analyse est effectuée dans un TEE, aucun participant ne voit les données brutes des autres.

Migration cloud réglementée : Les autorités et les institutions financières qui n’ont pas pu utiliser le cloud public pour des raisons de protection des données disposent désormais d’un argument technique avec le Confidential Computing : même le fournisseur de cloud ne peut pas lire les données.

IA sur des données sensibles : Entraînement et inférence ML sur des données médicales, des transactions financières ou des données personnelles – protégés contre l’opérateur d’infrastructure.

Limitations et perspectives

Le Confidential Computing n’est pas un remède miracle. La surtaxe de performance se situe entre 2 et 15 % selon la charge de travail et la technologie TEE – acceptable pour la plupart des applications, mais pertinent pour les systèmes sensibles à la latence. L’attestation – la preuve que le code s’exécute réellement dans un TEE – nécessite une confiance dans le fabricant de matériel.

La tendance est claire : le Confidential Computing deviendra une norme pour les charges de travail cloud sensibles dans 3 à 5 ans. Le Confidential Computing Consortium (fondé par Intel, Microsoft, Google, AMD) promeut la standardisation et les outils open source.

Foire aux questions

Quelle est la différence entre le Confidential Computing et le chiffrement homomorphique ?

Le chiffrement homomorphique permet des calculs sur des données chiffrées sans décryptage – idéal en théorie, mais avec une surtaxe de performance de 1000 à 10 000 fois, il n’est pas encore adapté à la pratique pour la plupart des charges de travail. Le Confidential Computing utilise l’isolation matérielle avec seulement 2 à 15 % de surtaxe et est prêt à la production aujourd’hui.

Le fournisseur de cloud peut-il accéder à mes données avec le Confidential Computing ?

Non, c’est l’avantage clé. Les données sont chiffrées matériellement et la clé se trouve dans le processeur. Ni l’hyperviseur ni les administrateurs cloud ne peuvent lire la mémoire de la TEE. Vérifiable par attestation à distance.

Pour quelles industries le Confidential Computing est-il particulièrement pertinent ?

Les prestataires de services financiers (exigences réglementaires, analyse multi-parties), le secteur de la santé (données des patients dans le cloud), le secteur public (données VS-NfD) et toute industrie ayant des exigences strictes en matière de protection des données. Également pour les scénarios multi-cloud, où les données sont traitées entre les fournisseurs.

Avez-vous besoin de matériel spécial pour le Confidential Computing ?

Pas dans le cloud – les fournisseurs fournissent le matériel. Sur site, vous avez besoin de processeurs prenant en charge la TEE : Intel Xeon à partir d’Ice Lake (SGX) ou AMD EPYC à partir de Milan (SEV-SNP). La plupart des processeurs de serveur actuels prennent en charge au moins une technologie TEE.

Comment vérifier que le code s’exécute réellement dans une TEE ?

Par attestation à distance : la TEE génère un rapport signé cryptographiquement contenant l’identité du matériel, la version du firmware et le hachage du code chargé. Le client vérifie ce rapport auprès du fabricant de matériel avant d’envoyer des données sensibles.

Source de l’image de titre : Pexels / Markus Winkler

Sélection de la rédaction

• Lenovo ThinkCentre M75q Tiny Gen 5 : Mini-PC entreprise avec AMD PRO et 5 Watt en veille pour Edge et Kiosk
• L’IA serverless est surévaluée – voici ce qui compte à la place
• QNAP TS-464 : NAS 4 baies avec Docker, HDMI et slot PCIe – ce que Synology n’offre pas dans cette catégorie

Plus d’informations sur le réseau MBF Media

SecurityToday | MyBusinessFuture | Digital Chiefs