Quand vous confiez vos données à un prestataire cloud, vous lui faites confiance pour les protéger. Mais cette confiance repose sur une promesse contractuelle, pas sur une garantie technique.

La plupart des services cloud chiffrent vos données au repos. Le problème : ils détiennent aussi les clés. Techniquement, ils peuvent lire vos fichiers à tout moment. Ils promettent de ne pas le faire — rien ne les en empêche.

Le chiffrement Zero-Knowledge change cette équation. Vous détenez les clés. Le prestataire stocke des données qu'il ne peut pas déchiffrer — ni pour lui, ni sur réquisition, ni en cas de faille.

Le chiffrement classique vs le Zero-Knowledge

Comment fonctionne le chiffrement classique

Avec la plupart des services cloud :

  1. Vous envoyez vos données au serveur du prestataire
  2. Le prestataire les chiffre avec sa clé
  3. Les données sont stockées chiffrées sur ses serveurs
  4. Quand vous y accédez, il les déchiffre avec sa clé et vous les renvoie

C'est du chiffrement au repos. Vos données sont protégées contre un attaquant qui volerait les disques du datacenter. Mais le prestataire, lui, a accès aux données en clair à tout moment.

L'analogie : c'est un coffre-fort dans une banque où le directeur garde un double de chaque clé. Il protège contre les cambrioleurs, mais peut ouvrir le coffre quand il veut — ou céder sous la contrainte.

Comment fonctionne le Zero-Knowledge

  1. Vous chiffrez vos données sur votre appareil, avec votre clé
  2. Les données chiffrées partent vers le serveur du prestataire
  3. Le prestataire ne stocke que du contenu illisible — il n'a pas la clé
  4. À la récupération, le déchiffrement se fait sur votre appareil

Le prestataire ne voit que des blocs chiffrés. Il ne peut pas les lire — ni pour lui-même, ni pour un tiers, ni sur injonction d'une autorité.

L'analogie : vous scellez vos documents dans votre propre coffre portable, dont vous seul connaissez la combinaison, puis vous déposez ce coffre à la banque. Même le directeur ne peut pas l'ouvrir.

Schéma comparatif des flux de données entre chiffrement cloud classique, où le serveur détient la clé, et chiffrement Zero-Knowledge, où seul l'utilisateur possède la clé de déchiffrement.

Pourquoi le Zero-Knowledge devient un prérequis en 2026

1. La menace a changé d'échelle

L'ANSSI a traité 4 386 événements de sécurité majeurs en 2024, en hausse de 15 % sur un an. La CNIL a enregistré 5 629 notifications de violations de données, soit 15 déclarations par jour ouvré. Résultat : 67 % des entreprises françaises déclarent avoir subi au moins une cyberattaque en 2024.

Les attaquants ne se contentent plus de chiffrer vos postes. Ils pratiquent la double extorsion : ils exfiltrent vos données avant de les chiffrer, puis menacent de les publier si vous ne payez pas. Le coût moyen direct pour une PME française atteint 58 600 €, auxquels s'ajoute une rançon moyenne de 25 700 €. Et 60 % des entreprises victimes d'une attaque majeure déposent le bilan dans les 18 mois.

Avec un chiffrement classique, une faille chez votre prestataire cloud expose vos données en clair — et les attaquants peuvent les monétiser. Avec le Zero-Knowledge, ils ne récupèrent que des blocs chiffrés inexploitables. La sauvegarde externalisée redevient une cible stérile.

2. RGPD et NIS2 : l'obligation de résultat

L'article 32 du RGPD impose des mesures techniques « adaptées au risque » et mentionne explicitement le chiffrement. En cas de violation, le responsable du traitement doit notifier la CNIL sous 72 heures. Si les données exfiltrées étaient protégées par du Zero-Knowledge, vous pouvez démontrer à l'autorité de contrôle qu'aucune donnée lisible n'a fuité — ce qui réduit drastiquement l'impact juridique et financier de l'incident.

La directive NIS2, transposée en droit français en 2025-2026, élargit le cercle des entreprises concernées à plus de 15 000 entités françaises réparties sur 18 secteurs. Deux catégories :

  • Entités Essentielles (santé, énergie, banques, transports) : seuils ≥ 250 salariés ou 50 M€ de CA. Amende max 10 M€ ou 2 % du CA mondial.
  • Entités Importantes (chimie, agroalimentaire, services postaux, recherche) : seuils ≥ 50 salariés ou 10 M€ de CA. Amende max 7 M€ ou 1,4 % du CA mondial.

Nouveauté majeure : la responsabilité personnelle des dirigeants est engageable, avec possibilité d'interdiction temporaire d'exercer. Une PME sous-traitante d'une entité assujettie est, elle aussi, dans le périmètre.

3. Cloud Act : la souveraineté par les mathématiques

Le Cloud Act américain (2018) autorise les autorités US à exiger la communication de données stockées par tout prestataire soumis à leur juridiction — y compris quand les serveurs sont en Europe. Le Data Act européen et le référentiel SecNumCloud de l'ANSSI tentent d'atténuer ce risque côté contractuel.

Mais la seule réponse technique réellement opposable, c'est le Zero-Knowledge. Les autorités peuvent saisir les serveurs du prestataire : elles n'y trouveront que des blocs chiffrés, et le prestataire lui-même est dans l'incapacité matérielle de fournir les clés.

4. Secret professionnel : une obligation déontologique

Pour les avocats, le Conseil National des Barreaux (CNB) rappelle que l'hébergement cloud ne doit jamais constituer une brèche dans le secret professionnel. Or, chez un prestataire classique, les administrateurs ont techniquement accès aux dossiers.

Pour les experts-comptables, le Conseil Supérieur de l'Ordre (CSOEC) insiste sur la confidentialité des bilans, fiches de paie et RIB — la profession étant une cible privilégiée pour la fraude au virement. Les deux ordres convergent vers la même conclusion : seule une architecture où le prestataire ne peut pas accéder au contenu respecte l'obligation par construction.

Trois scénarios où le Zero-Knowledge change l'issue

Illustration représentant trois menaces typiques d'une PME (phishing reçu par un stagiaire, vol d'un ordinateur portable, intrusion administrateur) neutralisées par une barrière cryptographique figurant le Zero-Knowledge.

La vraie valeur d'une architecture se mesure face à des attaques concrètes. Voici trois situations typiques pour une PME française.

Scénario 1 — L'hameçonnage du stagiaire

Thomas, stagiaire aux RH, ouvre une pièce jointe piégée. Un rançongiciel chiffre son poste et exfiltre les fichiers partagés vers un serveur contrôlé par les attaquants.

  • Sans Zero-Knowledge : les données exfiltrées sont lisibles. Double extorsion : rançon + menace de publication des dossiers RH (salaires, contrats). Notification CNIL obligatoire, impact réputationnel lourd.
  • Avec Zero-Knowledge : les archives de sauvegarde exfiltrées ne sont que des blocs chiffrés. Invendables sur le dark web, inexploitables pour le chantage. L'entreprise peut démontrer à la CNIL qu'aucune donnée lisible n'a fuité.

Scénario 2 — Le vol du portable en déplacement

Sophie, commerciale, se fait voler son ordinateur en gare. Tarifs, contrats clients et jetons d'accès au cloud y sont stockés.

  • Le risque : le voleur extrait les tokens OAuth de la session pour se connecter à l'espace cloud de l'entreprise.
  • La parade ZK : la clé de déchiffrement est dérivée du mot de passe mémorisé par Sophie, jamais stocké sur la machine. Sans ce secret, les sauvegardes cloud restent verrouillées, même avec les tokens en main.

Scénario 3 — L'administrateur système compromis

Des attaquants usurpent les identifiants de l'admin IT et cherchent à supprimer les sauvegardes puis à exfiltrer la propriété intellectuelle.

  • La parade combinée : Zero-Knowledge + stockage immuable (WORM). Le ZK bloque la lecture des archives, l'immuabilité bloque leur effacement. Les deux mécanismes sont complémentaires, pas interchangeables — et c'est la combinaison qui fait la défense anti-ransomware complète.

Comment ça fonctionne techniquement (sans jargon)

Principe 1 : la clé reste chez vous

Votre clé de chiffrement est dérivée d'une phrase secrète que vous seul connaissez. Elle n'est jamais envoyée au serveur — elle est recalculée localement à chaque connexion.

Les solutions sérieuses utilisent aujourd'hui Argon2id, vainqueur de la Password Hashing Competition (2015). Son atout : la « dureté en mémoire ». Pour tester un mot de passe, il faut allouer une quantité importante de RAM, ce qui rend les attaques par GPU ou ASIC économiquement prohibitives. Les anciens algorithmes (PBKDF2, bcrypt) ne tiennent plus face au matériel moderne.

Principe 2 : le chiffrement se fait côté client

Tout se passe sur votre appareil, avant même que les données ne quittent votre réseau. Le serveur ne voit jamais rien d'autre que du chiffré.

Principe 3 : le prestataire ne stocke rien qui permette de déchiffrer

Son serveur contient vos données chiffrées + quelques métadonnées techniques (horodatage, taille). Il ne stocke ni votre mot de passe, ni votre clé, ni aucun élément permettant de la reconstruire.

Les fausses protections à ne pas confondre avec du Zero-Knowledge

Beaucoup de fournisseurs cloud mettent en avant des mécanismes qui ressemblent à de la protection forte, mais qui n'en sont pas :

Illustration représentant des mécanismes de protection cloud apparents (corbeille, historique de versions, coffre d'archivage) qui laissent visibles les données en clair auprès du prestataire.

Mécanisme Ce que ça protège vraiment Pourquoi ce n'est pas du ZK
Corbeille (30 jours) Récupération après suppression accidentelle Le prestataire lit toujours vos données en clair
Historique de versions Retour à une version antérieure Toutes les versions sont lisibles par le prestataire
Google Vault / eDiscovery Conservation légale et recherche transverse Par conception, Google doit pouvoir indexer → donc lire
Chiffrement "at rest" AWS/Azure Vol physique de disques durs Les clés KMS sont gérées par le fournisseur
Chiffrement "end-to-end" marketing Variable — à vérifier Si le prestataire peut réinitialiser votre mot de passe, il a les clés

Signal d'alerte numéro un : si un prestataire vous propose de réinitialiser votre mot de passe en cas d'oubli, il a accès à vos clés. Ce n'est pas du vrai Zero-Knowledge.

Les limites à connaître

Le Zero-Knowledge n'est pas une solution magique.

Vous êtes responsable de votre clé. Si vous perdez votre phrase secrète, personne ne peut vous aider. Les bonnes solutions proposent une clé de secours à imprimer et conserver hors ligne — c'est le filet de sécurité indispensable.

Le chiffrement ne remplace pas la sauvegarde. Il protège la confidentialité, pas la disponibilité. Si vous supprimez un fichier, le chiffrement ne le fait pas réapparaître. Une stratégie 3-2-1 reste nécessaire.

Le ZK ne protège pas contre l'effacement. Il rend vos archives illisibles, mais pas inaltérables. Contre les ransomwares qui ciblent aussi les sauvegardes, combinez le Zero-Knowledge avec du stockage immuable (WORM) — les deux couches sont complémentaires.

Le MFA reste essentiel. Si un attaquant obtient votre mot de passe par phishing, il peut déchiffrer comme vous. L'authentification multifacteur ferme cette porte.

Les performances. Le chiffrement local consomme du CPU. Sur de gros volumes, l'impact se ressent — les solutions modernes l'optimisent, mais c'est à anticiper.

Six questions à poser à votre prestataire

Question Bonne réponse
Où le chiffrement a-t-il lieu ? Sur mon appareil, avant toute transmission
Qui détient la clé ? Moi seul
Pouvez-vous réinitialiser mon mot de passe ? Non
Quel algorithme de dérivation de clé ? Argon2id (ou équivalent moderne)
Quel algorithme de chiffrement ? AES-256-GCM, XSalsa20-Poly1305 ou ChaCha20-Poly1305
L'architecture cryptographique est-elle publique ? Oui, documentée et auditable

Si une seule réponse ne correspond pas, ce n'est pas du Zero-Knowledge — c'est du chiffrement classique avec une étiquette marketing.

En résumé

Chiffrement classique Zero-Knowledge
Qui chiffre Le prestataire Vous (côté client)
Qui a la clé Le prestataire Vous seul
Le prestataire peut lire vos données Oui Non
Faille chez le prestataire Données exposées Données illisibles
Cloud Act / réquisition judiciaire Données communicables Données inexploitables
Preuve RGPD art. 32 post-incident À démontrer Opposable techniquement
Perte de mot de passe Réinitialisation possible Clé de secours obligatoire

Le chiffrement Zero-Knowledge transfère le contrôle de la confidentialité du prestataire vers vous, le propriétaire des données. Dans un paysage où 15 violations de données sont déclarées chaque jour ouvré à la CNIL, où NIS2 engage la responsabilité personnelle des dirigeants, et où le Cloud Act ignore les frontières européennes, ce n'est plus un luxe. C'est le niveau de base d'une externalisation responsable en 2026.

Vos données vous appartiennent vraiment — pas seulement en théorie, mais par construction mathématique.

BackHub chiffre vos sauvegardes sur votre appareil avant tout envoi, avec Argon2id pour la dérivation de clé et XSalsa20-Poly1305 pour le chiffrement. Nos serveurs sont hébergés en France. Même nous ne pouvons pas lire vos données. Découvrir BackHub