22 juin 2026Sécurité

Sécurité des sauvegardes cloud : chiffrement client-side ou provider-side ?

Un provider cloud compromis suffit à exposer l'intégralité de vos sauvegardes si le chiffrement est géré côté serveur. Choisir entre client-side et provider-side encryption engage directement votre conformité nLPD et votre capacité à répondre à un incident.

Par ZRS-Holding Sàrl·10 min de lecture·225 lectures
Partager

Quand le chiffrement du provider ne suffit pas

En mars 2024, un fournisseur de stockage cloud européen a subi une compromission de ses clés de chiffrement maîtresses, rendant théoriquement accessibles les sauvegardes de plusieurs milliers de clients — tous chiffrés côté serveur. Pour une fiduciaire genevoise ou un bureau d'ingénierie vaudois stockant des données de clients soumis à la nLPD, cette situation n'est pas un scénario fictif : c'est un risque opérationnel direct, avec obligation de notification au PFPDT dans les 72 heures si la violation est avérée.

Les deux modèles de chiffrement : architecture et limites

Provider-side encryption (SSE — Server-Side Encryption)

Le provider chiffre vos données au repos avec ses propres clés, souvent via AES-256. Vous ne gérez rien : la clé est détenue et gérée par le fournisseur dans son HSM (Hardware Security Module). C'est le mode par défaut de la quasi-totalité des offres cloud grand public et SMB — Azure Blob Storage, AWS S3, Infomaniak kDrive, Proton Drive en mode basique.

Conséquences concrètes :

  • Le provider peut techniquement accéder à vos données en clair (déchiffrement transparent côté serveur).
  • Une réquisition légale adressée au provider (y compris par une autorité étrangère dans le cas d'un hébergeur américain soumis au CLOUD Act) permet d'obtenir vos données sans votre intervention.
  • Une compromission des systèmes IAM du provider expose vos sauvegardes même si la liaison réseau est chiffrée en TLS.
  • En cas de faillite ou de changement de politique du provider, la portabilité de vos données dépend de sa coopération.

Client-side encryption (CSE)

Vos données sont chiffrées avant de quitter votre infrastructure. Le provider stocke un flux opaque — il ne peut en aucun cas déchiffrer sans votre clé. Cette clé reste sous votre contrôle exclusif, typiquement dans un KMS (Key Management Service) auto-hébergé ou un HSM physique.

Outils courants dans les environnements PME suisses : Restic + clé GPG, Duplicati avec chiffrement AES-256 local, Veeam avec clé gérée on-premise, Borg Backup. Pour des flottes Windows, l'intégration avec BitLocker et un KMS interne est documentée dans les CIS Benchmarks Windows Server 2022.

Contraintes opérationnelles :

  • Perte de la clé = perte définitive des données. La gestion du cycle de vie des clés devient critique.
  • La rotation des clés implique un re-chiffrement complet du jeu de sauvegarde, coûteux en ressources sur des volumes de 5 To et plus.
  • Les performances de sauvegarde sont réduites d'environ 15-30 % selon le CPU disponible pour l'opération de chiffrement (sur un NAS Synology DS923+ avec Restic et AES-NI activé, la perte est typiquement inférieure à 10 %).

Bring Your Own Key (BYOK) et HYOK

Certains providers proposent un mode intermédiaire : BYOK (Bring Your Own Key) où vous fournissez votre clé mais le provider l'utilise dans son propre environnement, ou HYOK (Hold Your Own Key) où la clé ne quitte jamais votre périmètre. La nuance est majeure : dans un scénario BYOK pur, le provider accède toujours techniquement à la clé au moment du déchiffrement. Le HYOK, disponible par exemple dans Microsoft Purview ou certaines configurations Thales CipherTrust, est proche du client-side dans ses garanties de confidentialité, mais reste rare dans les offres SMB accessibles sous 500 CHF/mois.

Conformité nLPD et implications légales pour les PME suisses

Ce que la nLPD exige sur la protection des données de sauvegarde

Entrée en vigueur le 01.09.2023, la nLPD impose aux responsables du traitement de mettre en œuvre des mesures techniques et organisationnelles (TOM) appropriées — principe de privacy by design et security by default (art. 7). Les sauvegardes sont explicitement concernées : elles constituent un traitement de données personnelles et doivent bénéficier d'un niveau de protection équivalent aux données en production.

Points d'attention directs :

  • Sous-traitants étrangers : si votre sauvegarde part chez AWS us-east-1 ou Azure West US, vous effectuez une communication de données à l'étranger soumise aux art. 16-17 nLPD. Sans garanties appropriées (décision d'adéquation, clauses contractuelles types, BCR), c'est une violation.
  • Notification d'incident : en cas de violation portant sur des sauvegardes, la notification au PFPDT est requise dans les meilleurs délais (interprétée comme 72 heures dans la pratique, alignée sur le RGPD). La procédure de signalement est accessible sur edoeb.admin.ch.
  • Sanctions : jusqu'à 250 000 CHF d'amende à la charge de la personne physique responsable (art. 60 nLPD), pas de l'entreprise — ce qui change radicalement la dynamique de responsabilité pour les dirigeants de PME.

Provider-side : risque de communication non maîtrisée

Avec le SSE, une réquisition légale adressée au provider suffit à exposer vos données sans que vous soyez nécessairement informé à temps pour réagir. Pour un cabinet d'avocats vaudois ou une fiduciaire traitant des données de contribuables, cette perte de contrôle est incompatible avec l'obligation de confidentialité professionnelle, indépendamment de la nLPD.

Le NCSC recommande explicitement dans ses fiches pratiques PME de vérifier la localisation physique des données et le régime juridique applicable au provider avant tout contrat d'externalisation.

Architecture recommandée selon la taille du parc

10-30 endpoints — PME sans équipe IT dédiée

Solution pragmatique : outil de sauvegarde avec CSE intégré (Restic, Duplicati, Arq 7) vers un objet storage suisse (Exoscale ch-gva-2, Infomaniak Swiss Backup). La clé AES-256 est générée localement, stockée dans un gestionnaire de mots de passe d'entreprise (Bitwarden Self-Hosted ou 1Password Business) et sauvegardée hors ligne sur un support chiffré en coffre physique. Budget typique : 30-80 CHF/mois de stockage pour 2 To, gestion incluse dans le contrat MSP.

30-100 endpoints — PME avec DSI partiel ou MSP

Déploiement d'un KMS léger (HashiCorp Vault en mode free, ou Smallstep pour la gestion certificats si couplé à des endpoints) avec rotation automatique des clés tous les 90 jours. La sauvegarde chiffre côté agent (Veeam Agent, Cohesity DataProtect Go) avant transit vers le stockage objet. Les politiques de rétention (J+1, J+7, J+30, mensuel sur 12 mois) sont définies dans la politique de sauvegarde documentée — exigence ISO 27001 contrôle A.8.13.

100-150 endpoints — PME structurée avec RSSI

Architecture HYOK ou HSM on-premise (Thales Luna Network HSM, prix d'entrée ~12 000 CHF), intégration avec le SIEM pour alerter sur toute tentative d'accès aux sauvegardes hors fenêtre planifiée. Tests de restauration trimestriels documentés, RTO cible ≤ 4 heures pour les données critiques.

Cas pratique : fiduciaire à Lausanne, 45 employés

Contexte : Cabinet fiduciaire en zone EPFL-Lausanne, 45 collaborateurs, 38 endpoints Windows 11 23H2 + 7 MacBook sous macOS 14 Sonoma. Traitement de données fiscales et comptables de ~320 clients PME. Obligation de confidentialité stricte. Budget IT annuel : 85 000 CHF, dont 18 000 CHF dédiés à la sécurité.

Situation initiale : sauvegardes nocturnes via Azure Backup (SSE par défaut, clés Microsoft), serveur de fichiers Windows Server 2022 + partages OneDrive Business. Données répliquées dans datacenter Microsoft Ireland. Risque CLOUD Act actif. Pas de test de restauration documenté depuis 14 mois.

Procédure de remédiation mise en place en 8 semaines :

  1. Semaine 1 — Cartographie (RSSI + DSI) : inventaire de toutes les sources de données sauvegardées, classification par sensibilité (données personnelles clients = niveau critique), identification des flux vers l'étranger. Résultat : 2,8 To de données actives, 1,1 To d'archives, 14 flux identifiés vers Azure Ireland.
  2. Semaine 2 — Choix de l'architecture : décision de migrer vers Restic + stockage objet Exoscale ch-gva-2 (Genève, juridiction suisse). Clés AES-256 générées localement via HashiCorp Vault déployé sur un VM dédiée Proxmox on-premise. Approbation du dirigeant et du juriste du cabinet.
  3. Semaine 3-4 — Déploiement KMS : HashiCorp Vault 1.15 installé, politiques d'accès définies (seul le compte de service de sauvegarde peut lire les clés, audit log activé), secret root fragmenté en 3 parts selon le schéma Shamir (3-of-5), copies des parts chez le dirigeant, le DSI et le notaire du cabinet dans enveloppes scellées.
  4. Semaine 5 — Migration des sauvegardes : déploiement de l'agent Restic sur les 38 endpoints Windows via GPO, configuration des scripts PowerShell de sauvegarde nocturne (23h00-03h00, fenêtre RTO), premier backup complet de 2,8 To en 11 heures sur liaison 1 Gbps symétrique. Vérification des checksums SHA-256.
  5. Semaine 6 — Tests de restauration : restauration complète d'un serveur de fichiers test sur VM isolée. RTO mesuré : 3h20 pour 400 Go. Procédure documentée dans le runbook IR. Test partiel de 50 fichiers aléatoires : intégrité validée à 100 %.
  6. Semaine 7 — Mise à jour contractuelle : avenant aux contrats fournisseur cloud (Exoscale) précisant la localisation Suisse, suppression du contrat Azure Backup pour les données critiques (maintenu uniquement pour les images VM non sensibles). Mise à jour du registre des activités de traitement (art. 12 nLPD).
  7. Semaine 8 — Documentation et formation : formation de 2 heures pour le DSI et son adjoint sur la procédure de réponse à incident sauvegarde (perte de clé, corruption, ransomware). Politique de sauvegarde signée par la direction.

Résultat chiffré : coût de migration one-shot ~4 200 CHF (3 jours consultant + licences), coût opérationnel mensuel : 95 CHF (stockage Exoscale 3,5 To avec versioning 30 jours). Économie vs Azure Backup : -40 CHF/mois. RTO amélioré de 6h à 3h20. Conformité nLPD sur les flux à l'étranger : atteinte. Surface d'attaque provider réduite à zéro sur les données chiffrées.

Récapitulatif opérationnel

  • Classifier avant de chiffrer : identifier les données soumises à la nLPD dans vos sauvegardes — RH, clients, comptabilité — avant de choisir le modèle de chiffrement. Ce que vous ne savez pas stocker, vous ne pouvez pas protéger.
  • Exiger la localisation suisse ou UE adéquate : vérifier le datacenter physique de votre provider de sauvegarde. Un stockage AWS us-east-1 sans clauses contractuelles nLPD-conformes est une violation active.
  • Opter pour le client-side encryption dès que des données personnelles sont concernées : SSE est acceptable pour les images système ou les archives techniques sans données personnelles. Pour tout le reste, CSE ou HYOK.
  • Gérer les clés hors bande : ne stockez jamais la clé de chiffrement dans le même système que les sauvegardes. Schéma Shamir minimum pour les PME sans HSM, KMS dédié à partir de 30 endpoints.
  • Tester la restauration trimestriellement : documenter le RTO réel mesuré, pas théorique. Un backup dont on n'a jamais testé la restauration n'est pas un backup.
  • Définir la procédure de notification en amont : en cas de violation portant sur des sauvegardes, vous avez 72 heures. La procédure de signalement (PFPDT) et le contact NCSC (ncsc.admin.ch) doivent figurer dans votre runbook IR, pas être cherchés pendant l'incident.
  • Réviser les contrats provider : exiger clause de localisation des données, droit d'audit, notification en cas de réquisition légale étrangère, procédure de destruction certifiée en fin de contrat.
  • Documenter le registre de traitement : les sauvegardes sont un traitement distinct — sous-traitant, finalité rétention, durée, mesures techniques — à inscrire dans le registre art. 12 nLPD.

SynGuard accompagne les PME romandes dans l'audit de leurs architectures de sauvegarde et la mise en conformité nLPD de leurs endpoints.

Sources

Noter cet article

Pas encore de note