La quasi-inviolabilité de la blockchain ouvre de nouvelles perspectives pour renforcer la sécurité des données dans le cloud public. Tour d'horizon des usages.
La blockchain, levier d'une sécurité et d'une gestion des données plus complètes dans le cloud
Pour beaucoup, la blockchain reste indissociable des cryptomonnaies — pourtant, cette technologie va bien au-delà. Système de conteneurs d'information dans lesquels les données sont chiffrées et stockées sur un réseau public ou privé, la blockchain est pratiquement inviolable. Cette inviolabilité intrinsèque ouvre de nouvelles perspectives pour renforcer la sécurité des données dans le cloud public.
Pourquoi la sécurité des données pose question dans le cloud public
La centralisation des grands serveurs cloud permet d'adopter une approche unifiée de la sécurité, qui protège l'ensemble de l'entreprise contre les menaces externes en pilotant les fonctions de sécurité à l'échelle de l'organisation — mais elle représente aussi un défi. Faire reposer la sécurité sur une seule solution unifiée revient à concentrer toutes les capacités de protection dans un même équipement, créant ainsi un risque de point de défaillance unique.
Le cloud computing implique souvent de déléguer une part de confiance à un fournisseur, la sécurité devenant une responsabilité partagée entre le client et le prestataire cloud. Or, la quasi-totalité des incidents de sécurité dans le cloud sont imputables au client. Avec des contrôles d'autorisation insuffisants, les données peuvent être largement exposées et exposer les organisations à des fuites. La multiplication des réglementations comme le RGPD laisse présager une hausse des coûts du cloud et une perte de maîtrise liées à la conformité sur des serveurs publics. Pour y répondre, les développeurs réinventent l'infrastructure du cloud computing avec des solutions comme l'edge computing.
Comment la blockchain renforce la sécurité
La blockchain repose sur une base de données partagée contenant des groupes de transactions appelés blocs, qui chiffrent et stockent les données. Chaque bloc horodaté vient s'ajouter au précédent une fois rempli, formant ainsi ce que l'on appelle une blockchain. L'usage le plus répandu est celui d'un registre distribué, où l'ensemble des participants partagent un registre immuable accessible aux seuls membres autorisés.
La blockchain contribue à prévenir la fraude et les actions non autorisées en créant un enregistrement infalsifiable et chiffré de bout en bout. Elle limite également les enjeux de confidentialité en anonymisant les données personnelles et en s'appuyant sur des permissions pour contrôler les accès. Stocker l'information sur un réseau d'ordinateurs plutôt que sur un serveur unique la rend par ailleurs moins vulnérable au piratage.
Quand la sécurité de la blockchain rejoint le cloud
L'infrastructure actuelle des blockchains publiques n'est pas conçue pour stocker et gérer du big data à grande échelle, mais le partage des données via une plateforme cloud peut accroître sa scalabilité. Elle devient alors un service pratique offrant une sécurité renforcée par la décentralisation, la transparence et l'immuabilité.
Décentralisation
La blockchain répartit ses transactions sur des réseaux d'ordinateurs participants, au sein d'un registre numérique sans point de contrôle central. Chaque nœud de ce réseau décentralisé détient une copie complète du registre : la perte de données dans le stockage cloud n'est donc plus un sujet. Si un serveur tombe en panne, le système continue de fonctionner et la reprise après incident est plus rapide.
Plus besoin, en outre, de tiers de confiance : les utilisateurs s'appuient uniquement sur un registre décentralisé et immuable, qui les tient informés de toute activité sur le réseau. Plutôt que de faire confiance au fournisseur, ils font confiance à la technologie elle-même pour valider les transactions.
Transparence
La transparence inhérente à la blockchain prévient toute activité suspecte ou dissimulée. Son mode de stockage séquentiel valide chaque transaction au moment où elle se produit, créant non seulement une chaîne de blocs robuste, mais aussi une série d'enregistrements de transactions qui attestent de la propriété et de l'identité. Seuls les utilisateurs disposant de la clé de chiffrement peuvent accéder aux données ou les lire, ce qui rend leur compromission extrêmement difficile pour les pirates.
Immuabilité
L'un des grands enjeux du stockage cloud est d'empêcher l'altération des données. Dans son rapport 2022 sur les principales menaces cloud, la Cloud Security Alliance (CSA) classe les interfaces et API non sécurisées au deuxième rang des problèmes de sécurité dans le cloud — alors qu'elles n'occupaient que la septième place en 2019. La blockchain offre un moyen de surveiller l'historique des transactions qui met en évidence toute tentative d'interférence avec les données. Chaque bloc contient un hash qui lui est propre, ainsi que celui du bloc précédent, ce qui facilite considérablement l'identification des tentatives de manipulation.
Comme les données de la blockchain sont chiffrées, décentralisées et vérifiées par l'ensemble des réseaux participants, modifier une transaction déjà inscrite dans un registre invaliderait les signatures et alerterait les réseaux. Une fois enregistrée, une transaction est donc quasi impossible à altérer sans que les réseaux le détectent, puisque les signatures ne seraient plus valides.
Pour pirater une blockchain, il faudrait compromettre simultanément l'ensemble des nœuds qui confirment chaque transaction légitime — une opération aujourd'hui quasi impossible. Des nœuds malveillants pourraient être ajoutés au réseau pour mener une attaque dite des 51 %, qui suppose qu'un acteur malveillant prenne le contrôle majoritaire d'un réseau blockchain donné. Il pourrait alors interrompre l'enregistrement de nouveaux blocs en empêchant les autres participants de finaliser les leurs.
Les réseaux blockchain privés ne sont toutefois pas vulnérables à ce type d'attaque, car les participants doivent y être invités et validés, soit par l'initiateur du réseau, soit selon les règles qu'il a définies. Les entreprises qui mettent en place une blockchain privée optent généralement pour un réseau à permissions. Hyperledger Fabric, le framework blockchain modulaire de la Linux Foundation devenu le standard de fait pour les plateformes blockchain d'entreprise, illustre parfaitement ce type d'implémentation à permissions.
La blockchain portée par Kubernetes
Une fois prise la décision de déployer une solution blockchain dans le cloud, il faut d'abord sélectionner les participants au réseau (le consortium blockchain). Vient ensuite la mise en place du réseau dans le cloud. Le déploiement du réseau blockchain et de ses composants via des clusters Kubernetes constitue une approche émergente de la sécurité cloud, qui apporte une réponse élégante à la complexité intrinsèque de la blockchain et aux difficultés d'intégration dans une infrastructure existante.
Recourir à cette plateforme open source d'orchestration de conteneurs pour la blockchain permet de faire évoluer rapidement les environnements, puisqu'elle automatise le scaling, le déploiement et la gestion des infrastructures conteneurisées. La haute disponibilité est assurée en maintenant plusieurs conteneurs actifs pour les services critiques.
Déployer des réseaux blockchain via des clusters Kubernetes favorise également l'interopérabilité des services entre organisations aux architectures différentes, simplifie les déploiements et facilite les montées de version. Associé à Hyperledger Fabric, Kubernetes constitue une plateforme puissante et sécurisée pour le traitement des transactions blockchain. Ses atouts pourraient bien en faire prochainement le standard d'adoption pour la blockchain dans le cloud.
Kubernetes est une plateforme puissante pour les entreprises qui souhaitent monter en charge en toute sécurité, mais il est utile de pouvoir compter sur un partenaire cloud expert pour en tirer pleinement parti. SecuredTouch ne fait que figurer parmi les nombreuses entreprises avec lesquelles DoiT a collaboré pour exploiter les bénéfices de Kubernetes au-delà de la blockchain et de la sécurité cloud. Nous avons accompagné SecuredTouch dans la migration de sa production vers GKE afin d'optimiser l'utilisation des ressources et les coûts, et de soutenir le déploiement de sa plateforme de détection des fraudes auprès d'un portefeuille clients en pleine expansion. Parmi les autres entreprises que nous avons accompagnées avec Kubernetes figurent Alcide, Bringg et eToro.
Quelles perspectives pour la blockchain, la sécurité et le cloud ?
Si la blockchain peut combler bon nombre des faiblesses de sécurité du cloud public, elle présente aussi, comme toute technologie complexe, ses propres failles. Ces vulnérabilités résultent d'erreurs humaines, introduites par les développeurs dans des logiciels comme les services web et les smart contracts ; elles peuvent prendre des formes très diverses, des bugs logiques aux problèmes de réentrance, en passant par les dépassements d'entiers. La CSA a recensé une liste préliminaire de près de 200 attaques, faiblesses et vulnérabilités propres à la technologie blockchain, dont beaucoup restent à documenter, voire à comprendre pleinement.
La blockchain est par ailleurs une technologie relativement récente, qui exigera des entreprises souhaitant l'utiliser pour renforcer leur sécurité dans le cloud des investissements en formation et en intégration. Les développeurs devront notamment apprendre à écrire des applications décentralisées pour la blockchain, et les dirigeants devront eux aussi se familiariser avec cette nouvelle approche.
L'adoption de la blockchain devrait néanmoins avoir un large éventail d'effets, majoritairement positifs, sur les entreprises. Dans une enquête TechRepublic Premium de mars 2022, 64 % des répondants estimaient que la blockchain aurait un impact, à un titre ou un autre, sur leur secteur, et la plupart anticipaient un effet positif.
En matière d'efficacité IT, de flexibilité et de scalabilité, la promesse du cloud reste plus que jamais d'actualité — tout comme le défi de la sécurité. Un partenaire cloud expert peut réaliser une évaluation de sécurité de votre architecture et vous orienter vers la meilleure approche pour exploiter le cloud en toute sécurité et atteindre vos objectifs métier.