En architecture cloud, la gestion des clés de chiffrement est un point crucial pour la conformité (RGPD, SecNumCloud, HDS) et la souveraineté des données. Azure et GCP proposent des services matures avec des concepts proches… mais des noms différents.
🎯 L’essentiel à retenir :
PMK / CMEK = clés gérées par le cloud (Microsoft ou Google)
CMK / CSEK = clés gérées par le client (vous)
BYOK / External keys = clés générées hors du cloud puis importées
PMK / CMEK = clés gérées par le cloud (Microsoft ou Google)
CMK / CSEK = clés gérées par le client (vous)
BYOK / External keys = clés générées hors du cloud puis importées
🔑 Les concepts fondamentaux
| Concept | Azure | GCP | Qui contrôle ? |
|---|---|---|---|
| Clé gérée par la plateforme | PMK (Platform-Managed Key) | CMEK (par défaut, clé Google) | Microsoft / Google |
| Clé gérée par le client | CMK (Customer-Managed Key) | CSEK (Customer-Supplied Encryption Key) ou CMEK avec clé externe | Vous (via Key Vault / Cloud KMS) |
| Clé importée (BYOK) | BYOK (Bring Your Own Key) | External keys | Vous (génération hors cloud) |
| Coffre-fort dédié | Managed HSM | Cloud HSM | HSM single-tenant (max de sécurité) |
☁️ Azure Key Vault
Les types de clés sur Azure
- PMK (Platform-Managed Key) : Microsoft gère tout. Clés créées, stockées, renouvelées automatiquement. Transparent, sans effort. Idéal pour la majorité des cas.
- CMK (Customer-Managed Key) : Vous contrôlez la clé maître (KEK) dans votre Key Vault. Microsoft l’utilise pour chiffrer vos données. Rotation, révocation, audit à votre main.
- BYOK (Bring Your Own Key) : Vous générez la clé dans votre propre HSM (on-premise ou tiers) et l’importez dans Key Vault. Souveraineté maximale.
- Managed HSM : Version single-tenant de Key Vault avec HSMs dédiés. Pour les plus hautes exigences (SecNumCloud, HDS).
Où utiliser des CMK sur Azure ?
- Azure Storage (Blob, Files, Disks)
- Azure SQL Database / Cosmos DB
- Azure Kubernetes Service (AKS) avec secrets encryption
- Azure Data Lake / Synapse Analytics
- Azure Machine Learning
💡 Bonne pratique Azure : Activez la suppression réversible et la protection contre la purge sur votre Key Vault pour éviter les suppressions accidentelles.
☁️ Google Cloud KMS (Key Management Service)
Les types de clés sur GCP
- CMEK (Customer-Managed Encryption Key) par défaut : Google génère et gère la clé pour vous. Équivalent du PMK Azure.
- CMEK avec clé externe : Vous gérez la clé dans Cloud KMS (équivalent du CMK Azure).
- CSEK (Customer-Supplied Encryption Key) : Pour Google Cloud Storage uniquement. Vous fournissez la clé à chaque requête (moins flexible).
- External keys (BYOK) : Vous gérez la clé hors de GCP, Cloud KMS la référence. Souveraineté maximale.
- Cloud HSM : HSM single-tenant, certificé FIPS 140-2 Level 3.
Où utiliser CMEK sur GCP ?
- Cloud Storage
- BigQuery
- Cloud SQL / Firestore / Spanner
- Compute Engine (disques persistants)
- Vertex AI
- Pub/Sub
⚠️ Spécificité GCP : Les clés CSEK ne sont supportées que sur Cloud Storage. Pour les autres services, utilisez CMEK.
📊 Tableau comparatif Azure vs GCP
| Fonctionnalité | Azure Key Vault | Google Cloud KMS |
|---|---|---|
| Clé gérée par défaut | PMK | CMEK (clé Google) |
| Clé gérée par le client | CMK | CMEK avec clé externe |
| Clé importée (BYOK) | BYOK | External keys |
| Clé fournie à la demande | – | CSEK (Cloud Storage only) |
| HSM single-tenant | Managed HSM | Cloud HSM |
| Rotation automatique | ✅ Oui (CMK) | ✅ Oui (CMEK) |
| Révocation immédiate | ✅ Oui | ✅ Oui |
| Intégration principaux services | ✅ Large | ✅ Large |
🎯 Quand choisir quel type de clé ?
- PMK / CMEK par défaut : Usage standard (coût minimal, aucune gestion).
- CMK / CMEK externe : Données sensibles, besoin d’audit, de rotation maîtrisée.
- BYOK / External keys : Souveraineté maximale, clé générée hors du cloud (réglementation forte).
- Managed HSM / Cloud HSM : Conformité stricte (SecNumCloud, HDS, PCI-DSS).
- CSEK (GCP) : Cloud Storage uniquement, si vous voulez fournir la clé à chaque appel (cas rare).
📌 En résumé : La gestion des clés est un levier de sécurité majeur. Azure et GCP offrent des services équivalents, avec des noms différents. Maîtrisez les concepts : PMK/CMK/BYOK/HSM, et vous pourrez sécuriser n’importe quelle architecture cloud.
✅ Checklist pour un projet sensible
- ☐ Choisir le bon type de clé (CMK / CMEK externe)
- ☐ Stocker les clés dans un coffre dédié (Key Vault / Cloud KMS)
- ☐ Activer la rotation automatique (30-90 jours)
- ☐ Configurer la suppression réversible et la protection contre la purge
- ☐ Journaliser tous les accès aux clés (Diagnostics logs / Cloud Audit Logs)
- ☐ Limiter l’accès aux clés avec RBAC / IAM strict
- ☐ Tester la révocation (crypto-effacement) en conditions contrôlées
- ☐ Documenter la stratégie de clés (rôles, rotation, récupération)