Protéger les données au repos : disque, base, sauvegarde

Couvrir le stockage chiffré depuis le disque jusqu’au champ applicatif, en incluant bases de données, archives, sauvegardes, recherche et enveloppe de chiffrement.

Chapitre 29 Débutant · Intermédiaire · Expert 22 pages

Objectif du chapitre

Couvrir le stockage chiffré depuis le disque jusqu’au champ applicatif, en incluant bases de données, archives, sauvegardes, recherche et enveloppe de chiffrement.

Notions à couvrir

Full disk encryption, volumes, secteurs, snapshots et limites si système ouvert
Chiffrement de fichiers, archives et sauvegardes
Chiffrement applicatif champ par champ, séparation des privilèges et envelope encryption
Protection cryptographique de bases de données
Recherche sur données chiffrées, index chiffrés, fuites contrôlées, chiffrement de format et chiffrement paramétrable
Destruction de données par perte de clé et restauration testée

Sous-sections

Ce que signifie au repos [Débutant]

Disque
Base
Objet cloud
Backup
Archive
Snapshot

Couches de chiffrement [Intermédiaire]

Disque
Fichier
Base
Champ
Application
Client

Recherche et formats [Expert]

Chiffrement cherchable
FPE / chiffrement de format
Chiffrement paramétrable / tweakable encryption
Fuite
Index
Contraintes métier

Sauvegarde et destruction [Intermédiaire]

Clé de backup
Test de restauration
Rétention
Perte irréversible
Rotation

Exemples et ateliers

Chiffrer un champ sensible avec enveloppe
Concevoir une sauvegarde restaurable
Analyser les fuites d’un index chiffré
Écrire un runbook de perte de clé

Pièges classiques

Clé stockée dans la même base
Confondre FDE et protection contre l’application
Ne jamais tester les backups
Faire de la recherche chiffrée sans modèle de fuite

À ne pas confondre

Chiffrement disque et chiffrement applicatif
Recherche chiffrée et confidentialité totale
FPE et anonymisation
Perte de clé et suppression réglementaire

Points à vérifier

à vérifier : exigences légales de conservation et destruction selon secteur.