Chiffrement

CDC Arkhinéo peut proposer une couche de sécurité complémentaire optionnelle destinée à protéger les archives en cas, de « fuite de données » ou d’accès indésirable.

Chiffrement des documents versés

CDC Arkhinéo peut proposer une couche de sécurité complémentaire optionnelle destinée à protéger les archives en cas, certes peu probable mais qui se doit d’être envisagé, de « fuite de données » ou d’accès indésirable.

Cette fonction délivrée par Cryptoneo consiste en un chiffrement totalement transparent pour l’utilisateur: chiffrement et déchiffrement sont réalisés à la volée, lors du dépôt et de la consultation de vos archives, ainsi qu’à leur restitution.
 
Ce processus de chiffrement utilise des algorithmes robustes et conformes aux standards de l’industrie, basés à la fois sur un chiffrement asymétrique des clés, et un chiffrement symétrique des données par algorithme AES (Advanced Encryption Standard) 256 bits en mode CBC. Chaque archive est chiffrée à l’aide d’une clé symétrique qui lui est propre.

Les opérations de chiffrement sont réalisées de manière continue(streamline) sur la plateforme d’Archivage de CDC Arkhinéo sans interruption et sans intervention humaine ; les opérations de déchiffrement des documents sont quant à elles exécutées par le Centre de chiffrement Cryptoneo.
 


Lorsque ce service est activé, CDC Arkhinéo génère une paire de clés différente pour chaque client utilisateur de ce service, conservée dans une zone sécurisée et dédiée, basée sur des boitiers HSM physiques.
 
CDC Arkhinéo émet un certificat de chiffrement et possède donc la clé privée associée à ce certificat permettant de déchiffrer l’archive lors du processus de consultation. Cette clé est conservée de manière hautement sécurisée dans des HSM (Hardware Security Module) faisant l’objet d’une ségrégation de rôles.

La configuration du chiffrement est effectuée par CDC Arkhinéo lors de la configuration des profils d’archivage de vos espaces et implique la mise en œuvre d’un certificat de chiffrement CDC Arkhineo propre à chaque client dans la logique multi-tenant de la plateforme de CDC Arkhinéo. Lors de la visualisation d’une archive chiffrée, le déchiffrement est réalisé automatiquement et de manière transparente par le service, qui fait automatiquement appel au centre de chiffrement de CDC Arkhinéo (Cryptoneo) pour déchiffrer l’archive.

Si l’utilisateur le souhaite, il peut, en plus du certificat de CDC Arkhinéo, fournir son ou ses propres certificats de chiffrement (service BYOK : Bring Your Own Key)et conserver la clé privée associée.Ce certificat est utilisé si le client souhaite se faire restituer ses archives de manière chiffrée en utilisant sa propre clé privée pour leur déchiffrement.

Si le client perd son certificat, CDC Arkhinéo sera tout de même en mesure (sur demande) de lui remettre une version de l’archive déchiffrée car le document, lorsqu’il est versé, est chiffré avec les deux clés (celle de CDC Arkhinéo et celle du client).


Dans ce cas, deux options de restitution sont possibles :

-    Une restitution déchiffrée classique,
-    Une Restitution chiffrée, que le client pourra déchiffrer avec sa clé privée.

Le chiffrement est une option qui peut être activée à différents niveaux :
-    sur tout l’espace client,
-    aux niveaux inférieurs : coffre, section ou encore compartiment.

Ce qui peut s’avérer utile, notamment pour les revendeurs du service de CDC Arkhinéo, car il est ainsi possible de mettre en œuvre le chiffrement pour tel ou tel de vos clients et cela indépendamment de vos autres clients. Chacun de vos clients disposant d’un espace pour lequel le chiffrement est activé peut ainsi disposer de son propre certificat de chiffrement.


Un client souhaitant chiffrer certains de ses sous espaces (sections ou compartiment) peut demander à bénéficier de clés différentes pour chacun d’entre eux. Un compartiment peut donc avoir une clé de chiffrement différente d’une section.

Une option de transchiffrement (RE-KEY) est également possible ;elle permet notamment de faire face à l’obsolescence technologique ou au risque de compromission des algorithmes cryptographiques utilisés et de s’assurer d’être à l’état de l’art des standards en la matière.

Tous ces certificats, et les clés associées de chiffrement, sont protégés par des boitiers HSM,  qualifiés QR (Qualification Renforcée) par l’ANSSI (EAL4+) et OTAN.

NB : Le service Cryptoneo n’adresse pas la problématique du « droit d’en connaître » propre à l’entreprise cliente. Ce sujet doit être géré en amont par le client qui peut, pour des raisons de confidentialité, confier à CDC Arkhinéo des documents préalablement chiffrés par ses propres soins.

Il est important de noter qu’une archive préalablement chiffrée par le clientlui-même et déposée ainsi sur les serveurs de CDC Arkhinéo ne pourrait être déchiffrée par CDC Arkhinéo (il est alors de la responsabilité du client de conserver sa clé de déchiffrement et de gérer l’obsolescence et la pérennité de l’algorithme choisi par lui).