Rotation des clés (Key Rotation) : définition
La rotation des clés, c’est-à-dire la rotation des clés cryptographiques, est un processus contrôlé consistant à remplacer la clé utilisée jusqu’alors par une nouvelle clé selon un cycle défini ou à la suite d’un événement prédéterminé. En pratique, l’objectif est de limiter la durée pendant laquelle une même clé de chiffrement reste active et de réduire les conséquences d’une éventuelle divulgation, d’un vol ou d’une mauvaise configuration.
Dans le contexte de l’anonymisation de photos et de vidéos, la rotation des clés concerne avant tout la protection des fichiers sources, des fichiers après anonymisation, des copies de travail, des métadonnées, des exports ainsi que de la configuration du système. Il ne s’agit pas du mécanisme de floutage des visages ou des plaques d’immatriculation à proprement parler, mais d’un élément essentiel de la sécurité de l’ensemble du processus de traitement. Si une organisation conserve des images ou des enregistrements avant anonymisation, les clés utilisées pour chiffrer ces données doivent faire l’objet d’un renouvellement périodique conformément à la politique de sécurité.
Du point de vue des normes et des bonnes pratiques, cette notion est liée à la gestion du cycle de vie des clés cryptographiques. Le NIST définit ce domaine dans la publication NIST SP 800-57 Part 1 Rev. 5 de 2020, qui décrit la génération, la distribution, l’utilisation, l’archivage, le retrait et la destruction des clés. De son côté, NIST SP 800-38D précise les exigences applicables au mode AES-GCM, y compris les risques liés à une mauvaise utilisation de paramètres tels que le nonce/IV. Dans les environnements d’entreprise, la rotation des clés est également un élément de conformité avec les normes ISO/IEC 27001:2022 et ISO/IEC 27002:2022, qui imposent des contrôles cryptographiques et des règles formelles de gestion des clés.
Rôle de la rotation des clés dans l’anonymisation des photos et des vidéos
Dans les systèmes d’anonymisation des contenus visuels, les clés cryptographiques ne servent ni à détecter les visages ni à identifier les plaques d’immatriculation. Ces tâches sont assurées par des modèles de détection, généralement fondés sur le deep learning, qui localisent les objets dans l’image. La rotation des clés protège en revanche les données traitées par un tel système.
En pratique, cela couvre plusieurs couches de protection.
- le chiffrement des fichiers d’entrée, c’est-à-dire les contenus avant floutage, qui contiennent des données à caractère personnel,
- le chiffrement des fichiers de sortie, si le résultat peut encore contenir des informations sensibles ou nécessite une protection opérationnelle,
- la protection des bases de données et des métadonnées, par exemple les identifiants de tâches, les statuts de traitement ou les chemins de fichiers,
- la sécurisation des sauvegardes, car les backups conservent souvent les données plus longtemps que le système de production,
- la protection des secrets système, par exemple les clés API, les mots de passe de service ou les clés d’accès aux stockages objet.
Dans un environnement on-premise, la rotation des clés revêt une importance particulière, car l’organisation est elle-même responsable de l’infrastructure, du stockage des contenus et de la configuration des modules de chiffrement. Si le système traite des enregistrements de vidéosurveillance, des éléments de preuve, de la documentation d’incidents ou des photos issues d’audits de terrain, réduire l’exposition d’une clé unique diminue directement le risque d’atteinte à la confidentialité.
Comment fonctionne la rotation des clés en pratique
La rotation des clés peut être mise en œuvre de plusieurs façons. Les différences portent sur le fait de remplacer la clé de chiffrement des données, la clé maîtresse qui protège d’autres clés, ou les deux à la fois. Dans les systèmes traitant des photos et des vidéos, une approche en couches est souvent privilégiée.
Les éléments les plus courants sont les suivants :
- DEK - Data Encryption Key - clé qui chiffre un fichier donné, un lot de fichiers ou un volume de données,
- KEK - Key Encryption Key - clé utilisée pour chiffrer ou envelopper les clés DEK,
- master key - clé maîtresse généralement conservée dans un HSM, un KMS ou un autre composant isolé.
Dans le modèle de chiffrement par enveloppe, la rotation peut ne concerner que la KEK, sans rechiffrement de l’ensemble des fichiers sources. Cela réduit le coût opérationnel. Si toutefois la politique de sécurité impose un remplacement complet du matériel cryptographique, on procède alors à un re-encryption, c’est-à-dire à un rechiffrement des données avec une nouvelle DEK. Ce processus est plus coûteux et exige des contrôles d’intégrité.
La relation peut être représentée de manière simplifiée comme suit :
Données chiffrées = Encrypt(DEK, fichier)
DEK protégée = Wrap(KEK, DEK)
Après une rotation de la KEK, le système déchiffre la DEK précédemment enveloppée puis la protège à nouveau avec la nouvelle KEK. Après une rotation de la DEK, il est nécessaire de rechiffrer les données elles-mêmes.
Paramètres et métriques clés de la rotation des clés
L’évaluation de la bonne exécution d’une rotation des clés ne devrait pas se limiter au constat qu’une clé a été remplacée. Pour un environnement qui traite des images et des enregistrements vidéo, les paramètres techniques, temporels et opérationnels sont essentiels.
Paramètre | Signification | Contexte pratique
|
|---|---|---|
Cryptoperiod | Durée d’utilisation autorisée d’une clé | Le NIST SP 800-57 recommande de définir cette période selon le type de clé, la valeur des données et le niveau de risque |
Mean time to rotate (MTTRotation) | Temps moyen nécessaire pour effectuer une rotation | Influe sur la fenêtre d’exposition après un incident ou un changement de politique |
Re-encryption throughput | Nombre de Go ou de To traités par heure | Important pour les grands volumes d’archives vidéo |
Key version count | Nombre de versions actives et archivées d’une clé | Influe sur la capacité à déchiffrer des contenus plus anciens |
Failure rate | Taux d’échec des opérations de rotation | Doit être surveillé pour les sauvegardes, les référentiels et les exports |
Recovery time | Temps nécessaire pour rétablir l’accès après une erreur de rotation | Critique pour la continuité d’activité et l’audit |
Il n’existe pas de période de rotation universelle adaptée à tous les systèmes. Le NIST indique que la durée du cryptoperiod dépend de l’algorithme, de la longueur de la clé, de l’environnement de menace, du nombre d’opérations et de la valeur des informations protégées. Cela signifie qu’une politique de rotation pour une archive de photos de courte durée peut être différente de celle d’un référentiel de vidéos conservées pendant plusieurs années et présentant une forte sensibilité.
Technologies et normes liées à la rotation des clés
La rotation des clés doit s’appuyer sur des algorithmes éprouvés ainsi que sur des procédures fiables de gestion des clés. En pratique, pour protéger les fichiers vidéo et photo, on utilise le plus souvent un chiffrement symétrique, tandis que le processus de gestion des clés peut être assuré localement ou par un module dédié.
Les références techniques les plus courantes sont les suivantes :
- AES - norme FIPS 197, mise à jour sur le plan rédactionnel par le NIST en 2023,
- AES-GCM - mode de chiffrement authentifié décrit dans le NIST SP 800-38D de 2007,
- NIST SP 800-57 Part 1 Rev. 5 - gestion des clés cryptographiques, 2020,
- ISO/IEC 27001:2022 et ISO/IEC 27002:2022 - exigences et mesures de sécurité pour les organisations,
- FIPS 140-3 - exigences applicables aux modules cryptographiques ; cette norme a été publiée en 2019 et a remplacé la FIPS 140-2 dans les processus de validation du CMVP.
Si l’environnement utilise un HSM ou un système KMS, la rotation des clés peut être partiellement automatisée et traçable pour l’audit. Dans un système on-premise, il est important de séparer les rôles d’administration, le stockage des clés et l’accès aux fichiers vidéo eux-mêmes. Le simple fait de chiffrer les données sans politique de rotation ni gestion des versions de clés ne permet pas d’atteindre l’objectif de sécurité opérationnelle.
Défis et limites de la rotation des clés
La rotation des clés améliore la sécurité, mais si elle est mal conçue, elle peut augmenter le risque de perte de disponibilité des données. Cela concerne en particulier les archives vidéo, qui sont volumineuses, conservées longtemps et souvent soumises à des obligations probatoires ou de contrôle.
Les problèmes les plus fréquents sont les suivants :
- l’absence de correspondance indiquant quel fichier a été chiffré avec quelle clé et dans quelle version,
- une rotation incomplète couvrant uniquement le système de production, sans inclure les sauvegardes ni les environnements de test,
- un re-encryption effectué sans validation de l’intégrité des fichiers après l’opération,
- le maintien d’anciennes clés en usage actif malgré une rotation formellement réalisée,
- l’absence de procédure d’urgence pour les contenus importants du point de vue de l’audit ou d’une enquête interne.
Dans un environnement de traitement d’images, il faut également distinguer la protection des données du fonctionnement des modèles d’IA. Un modèle qui détecte les visages ou les plaques d’immatriculation ne remplace pas les contrôles cryptographiques. Si le contenu d’entrée est conservé sans protection adéquate des clés, le simple floutage effectué ultérieurement n’élimine pas le risque antérieur d’atteinte à la confidentialité.
Importance pour la conformité au RGPD et la sécurité des données
Le RGPD n’impose ni algorithme précis ni calendrier rigide de rotation des clés, mais il exige la mise en place de mesures techniques et organisationnelles appropriées. Les dispositions essentielles à cet égard sont l’article 5, paragraphe 1, point f), ainsi que l’article 32 du RGPD, qui portent sur l’intégrité, la confidentialité et la sécurité du traitement. En pratique, la rotation des clés constitue l’un des mécanismes permettant d’atteindre ces objectifs, en particulier lorsqu’une organisation conserve des contenus avant anonymisation.
Pour le délégué à la protection des données, il est important que la politique de rotation des clés soit documentée et liée à une analyse de risque. Elle devrait préciser au minimum :
- quelles catégories de données sont couvertes par le chiffrement,
- quels types de clés sont utilisés,
- quand intervient la rotation planifiée et la rotation déclenchée par incident,
- qui approuve et exécute l’opération,
- comment sont documentées la version de la clé et l’issue de l’opération.
Dans des systèmes tels que Gallio PRO, la rotation des clés concerne la sécurité de l’environnement de traitement et de stockage des fichiers. Cela ne change pas le fait que la détection automatique porte sur les visages et les plaques d’immatriculation, tandis que d’autres éléments de l’image peuvent nécessiter un travail manuel dans l’éditeur. Du point de vue de la protection de la vie privée, ces deux dimensions sont complémentaires : l’anonymisation réduit l’identifiabilité dans le contenu, tandis que la rotation des clés réduit le risque d’accès non autorisé aux données avant et après traitement.