Poser question

Qu’est-ce qu’un Key Management System (KMS) ?

Table des matières

Key Management System (KMS) - définition

Un Key Management System (KMS), ou système de gestion des clés, est une solution de gestion des clés cryptographiques utilisée pour leur génération, leur distribution, leur stockage, leur rotation, leur archivage et leur retrait sécurisé. En pratique, il s’agit de contrôler le cycle de vie des clés servant au chiffrement des données, aux signatures cryptographiques et à l’authentification des systèmes. La définition et les exigences relatives à la gestion des clés sont notamment décrites dans le NIST SP 800-57 Part 1 Rev. 5, publié par le National Institute of Standards and Technology en 2020, ainsi que dans l’ISO/IEC 11770, une série de normes consacrées à la gestion des clés.

Dans le contexte de l’anonymisation de photos et d’enregistrements vidéo, un KMS n’effectue ni le floutage des visages ni celui des plaques d’immatriculation. Son rôle est indirect, mais critique. Un tel système protège les fichiers sources, les fichiers après anonymisation, les copies de travail, les métadonnées, les clés API, les certificats ainsi que les secrets utilisés par les logiciels de traitement d’image. Si une organisation utilise une solution on-premise, le Key Management System aide à conserver le contrôle sur les personnes autorisées à déchiffrer les fichiers source contenant l’image de personnes ou les numéros d’immatriculation, ainsi que sur le moment où ce déchiffrement est possible.

Dans un environnement de traitement photo et vidéo, le KMS constitue généralement un élément d’une architecture de sécurité plus large. Il interagit avec les dépôts de fichiers, les serveurs applicatifs, les bases de données, les modules HSM et les systèmes IAM. Pour le délégué à la protection des données, il est essentiel de noter qu’un système de gestion des clés correctement déployé contribue à la mise en œuvre du principe d’intégrité et de confidentialité prévu à l’article 5, paragraphe 1, point f du RGPD, ainsi qu’aux mesures de sécurité visées à l’article 32 du RGPD. Toutefois, la mise en place d’un KMS ne signifie pas automatiquement la conformité au RGPD. Il s’agit d’une mesure technique, et non d’un mécanisme complet de conformité.

Rôle du KMS dans l’anonymisation de photos et d’enregistrements vidéo

Dans le processus d’anonymisation des contenus visuels, les données à caractère personnel les plus importantes se trouvent généralement dans l’image source. Il s’agit avant tout des visages et des plaques d’immatriculation. C’est pourquoi la protection du fichier revêt une importance particulière avant le début de l’anonymisation, pendant le travail de l’opérateur et après l’enregistrement du résultat.

Le Key Management System est utilisé dans des scénarios tels que :

  • le chiffrement des fichiers source avant leur ouverture dans un système de traitement photo et vidéo,
  • le contrôle de l’accès aux clés de déchiffrement uniquement pour les rôles autorisés,
  • la séparation des clés de chiffrement des données elles-mêmes,
  • la rotation des clés après un incident, un changement de personnel ou conformément à la politique de sécurité,
  • la journalisation des opérations effectuées sur les clés dans les journaux de sécurité, sans conservation des données personnelles issues de l’image.

En pratique, cela signifie qu’un opérateur ne peut travailler sur le contenu que si le système obtient l’autorisation d’utiliser la clé adéquate. Une fois le processus terminé, l’accès peut être révoqué. Cela réduit le risque de lecture non autorisée de contenus contenant l’image d’une personne ou des données permettant d’identifier un véhicule.

Il convient de distinguer le KMS du mécanisme d’anonymisation lui-même. Gallio PRO masque automatiquement uniquement les visages et les plaques d’immatriculation. Il n’est pas conçu pour détecter automatiquement les logos, les tatouages, les badges nominatifs, les documents ou le contenu affiché sur les écrans de moniteur. Ces éléments peuvent être masqués manuellement dans l’éditeur. Le KMS n’influe pas sur l’étendue de la détection d’objets. Il est responsable de la gestion sécurisée des secrets utilisés par l’infrastructure.

Technologies et architecture du KMS

Un KMS peut prendre la forme d’un service logiciel, d’une appliance matérielle ou d’une couche intermédiaire interagissant avec un HSM. Dans les environnements soumis à des exigences de sécurité élevées, les clés maîtresses sont souvent stockées dans des HSM conformes à la norme FIPS 140-3 ou à l’ancienne norme FIPS 140-2. La norme FIPS 140-3 a été publiée par le NIST en 2019 et définit les exigences de sécurité applicables aux modules cryptographiques.

Une architecture typique comprend les éléments suivants :

  • une clé maîtresse - Key Encryption Key - utilisée pour protéger d’autres clés,
  • des clés de travail - Data Encryption Keys - utilisées pour chiffrer les fichiers,
  • des politiques d’accès fondées sur les rôles ou les attributs,
  • des mécanismes de rotation et de gestion des versions des clés,
  • la journalisation de l’utilisation des clés et des événements administratifs.

Dans le traitement des contenus visuels, on utilise souvent le modèle de chiffrement enveloppé (envelope encryption). Il consiste à chiffrer le fichier photo ou vidéo à l’aide d’une clé de données, puis à chiffrer cette clé au moyen d’une clé maîtresse gérée par le KMS. Ce modèle limite les conséquences de la compromission d’une seule clé et facilite la rotation.

Paramètres et métriques clés d’un KMS

L’évaluation d’un Key Management System ne devrait pas se limiter à la simple présence du chiffrement. Les paramètres opérationnels et de sécurité concrets sont essentiels. Dans un environnement d’anonymisation photo et vidéo, ils influencent la disponibilité du processus ainsi que le risque d’exposition des fichiers source.

Paramètre

Signification

Importance pratique

 

Latence des opérations cryptographiques

Temps nécessaire pour accéder à une clé ou exécuter une opération de chiffrement

Influe sur le temps d’ouverture et d’enregistrement des fichiers vidéo volumineux

Disponibilité

Disponibilité du service KMS, généralement exprimée en pourcentage

Une panne du KMS peut bloquer l’accès aux contenus chiffrés

RTO et RPO

Délai de rétablissement du service et perte de données admissible après incident

Crucial lors du traitement de contenus à valeur probatoire ou destinés à l’audit

Intervalle de rotation des clés

Fréquence de rotation des clés

Réduit les conséquences d’une compromission prolongée

Auditabilité

Étendue et qualité des traces d’audit

Facilite la démonstration du contrôle d’accès et l’analyse des incidents

En pratique, il convient également de vérifier les longueurs de clé et les algorithmes. Le NIST SP 800-57 Part 1 Rev. 5 formule des recommandations concernant la robustesse cryptographique et les durées d’utilisation des clés. Pour le chiffrement des données au repos, l’AES-256 est largement utilisé. Pour l’échange de clés et les signatures, on rencontre RSA 2048 ou 3072, ainsi que des courbes elliptiques offrant un niveau de sécurité équivalent, selon la politique de l’organisation et les exigences d’interopérabilité.

Défis et limites du KMS

Un KMS améliore nettement le niveau de sécurité, mais il ne résout pas tous les problèmes liés à la protection de la vie privée dans les images. Si un utilisateur dispose d’un accès légitime à un contenu déchiffré, le KMS à lui seul n’empêchera pas la publication erronée d’un fichier non anonymisé. Il doit donc fonctionner conjointement avec des contrôles d’habilitation, des procédures opérationnelles et des mécanismes de séparation des environnements.

Les limites les plus fréquentes comprennent :

  • un point critique unique - l’indisponibilité du KMS peut interrompre les processus opérationnels,
  • des erreurs de configuration des politiques d’accès - des droits trop étendus annulent les bénéfices du chiffrement,
  • une dépendance à une gestion correcte des sauvegardes des clés,
  • un risque de perte d’accès aux données en cas de rotation incorrecte ou de suppression d’une clé.

Dans les systèmes d’anonymisation d’image, il faut également garder à l’esprit que les performances du KMS peuvent devenir un goulot d’étranglement lors du traitement massif de fichiers volumineux. Cela concerne tout particulièrement les longues vidéos ou les lots comprenant des milliers de photos.

Références normatives et conformité

L’évaluation d’un KMS doit s’appuyer sur des documents sources et des normes, et non uniquement sur les déclarations du fournisseur. Pour les organisations qui traitent des photos et des enregistrements contenant des données à caractère personnel, les normes cryptographiques comme les règles de protection des données sont essentielles.

  • RGPD - article 5, paragraphe 1, point f, et article 32, règlement (UE) 2016/679,
  • NIST SP 800-57 Part 1 Rev. 5 - Recommendation for Key Management: Part 1 - General, 2020,
  • NIST SP 800-130 - A Framework for Designing Cryptographic Key Management Systems, 2013,
  • ISO/IEC 11770 - Information security, cybersecurity and privacy protection - Key management, série de normes ISO/IEC,
  • FIPS 140-3 - Security Requirements for Cryptographic Modules, NIST, 2019.

Du point de vue de l’audit, il est important que l’organisation puisse démontrer quelles clés protègent les fichiers source, qui y a accès, comment la rotation est effectuée et de quelle manière les sauvegardes sont sécurisées. Cela a une importance pratique dans l’analyse des risques ainsi que dans l’évaluation des mesures techniques et organisationnelles.

Voir aussi

Retour au glossaire