AnnoncePrésentation de MongoDB 8.0, la plus rapide des MongoDB ! En savoir plus >>

NEWTime-series support for Atlas is now available

Chiffrement des données MongoDB

MongoDB offre des fonctionnalités de chiffrement robustes pour protéger les données en transit, au repos et en cours d’utilisation afin de les protéger tout au long de leur cycle de vie.

Démarrer

Centre de sécurité MongoDB

Chiffrement en transit

Le chiffrement en transit sécurise les données lors de leur transmission entre les clients et les serveurs, empêchant ainsi tout accès non autorisé ou toute falsification. Dans MongoDB Atlas, tout le trafic réseau vers les clusters MongoDB est protégé par le protocole Transport Layer Security (TLS), qui est activé par défaut et ne peut pas être désactivé. La version par défaut est TLS 1.2. Les données transmises vers et entre les nœuds du cluster MongoDB sont chiffrées en transit à l’aide de TLS, ce qui garantit une communication sécurisée tout au long du processus.

MongoDB Enterprise Advanced prend également en charge le chiffrement en transit à l’aide de TLS.

En savoir plus sur le chiffrement en transit →

Chiffrement au repos

Le chiffrement au repos garantit que tous les fichiers et données stockés sont chiffrés, ce qui fournit une couche critique de protection au niveau de la base de données. Dans MongoDB Atlas, les données client sont chiffrées au repos automatiquement à l’aide de l’algorithme AES-256 pour protéger tous les volumes de données (disques). Ce processus utilise le chiffrement transparent des disques de votre fournisseur de cloud, lequel se charge d’en gérer les clés. En outre, vous avez la possibilité d’activer le chiffrement au niveau de la base de données, ce qui vous permet d’utiliser vos propres clés de chiffrement via AWS Key Management Service (KMS), Google Cloud KMS ou Azure Key Vault.

MongoDB Enterprise Advanced intègre le chiffrement au repos directement dans son moteur de stockage WiredTiger à l’aide d’AES-256. Vous pouvez configurer le chiffrement au repos dans Enterprise Advanced avec un fournisseur de gestion de clés compatible KMIP.

Chiffrement au repos → MongoDB Enterprise Advanced et MongoDB Atlas

Chiffrement en cours d’utilisation

Le chiffrement appliqué sécurise les données pendant leur traitement. Les données sont chiffrées côté client à l’aide de clés contrôlées par le client avant d’être envoyées, stockées ou extraites de la base de données. Cette approche présente les avantages suivants :

Protection complète des données : les données sont chiffrées tout au long de leur cycle de vie, que ce soit pendant leur utilisation, pendant les sauvegardes, au repos ou en transit.
Garantie de conformité : contribue au respect des exigences strictes concernant la confidentialité des données telles que les réglementations RGPD, HIPAA, PCI DSS, entre autres.
Protection intégrée pour un développement rationalisé : le chiffrement des données en cours d’utilisation est inclus dans MongoDB sans coût supplémentaire, ce qui évite d’avoir à utiliser des solutions de chiffrement tierces et permet aux développeurs de travailler avec MongoDB en s’appuyant sur des modèles de développement intégrés et familiers.

MongoDB dispose de deux fonctionnalités de chiffrement pour répondre à vos besoins en matière de protection des données : le chiffrement au niveau des champs côté client et le chiffrement interrogeable (Queryable Encryption).

Chiffrement au niveau des champs côté client

Le chiffrement au niveau des champs côté client (CSFLE, Client-Side Field-Level Encryption) est une fonctionnalité de chiffrement des données en cours d’utilisation qui permet à une application client de chiffrer des données sensibles avant de les stocker dans la base de données MongoDB. Les données sensibles sont chiffrées de manière transparente et le restent tout au long de leur cycle de vie. Elles ne sont déchiffrées qu’au niveau du client.

En savoir plus → Chiffrement au niveau des champs côté client

Queryable Encryption

Unique en son genre, la technologie de chiffrement Queryable Encryption aide les organisations à protéger les données sensibles lorsqu’elles sont interrogées et utilisées sur MongoDB. Elle permet aux applications de chiffrer les données sensibles côté client, de les stocker en toute sécurité dans la base de données MongoDB et d’effectuer des requêtes d’égalité et de plage directement sur les données chiffrées. La protection des informations sensibles par chiffrement est ainsi renforcée sans sacrifier la possibilité d’effectuer des requêtes expressives sur ces données.

Avantages supplémentaires de la technologie Queryable Encryption :

Technologie révolutionnaire : le Queryable Encryption ou chiffrement interrogeable introduit un algorithme de recherche chiffré inédit dans le secteur, qui utilise des primitives basées sur les normes NIST, telles que AES-256, SHA2 et HMAC. Développée par le MongoDB Cryptography Research Group et entièrement inédite, cette innovation s’appuie sur des décennies d’expertise novatrice en matière de cryptographie et de recherche chiffrée.
Fonctionnalités de requêtes expressives sur des données chiffrées : des requêtes d’égalité et de plage peuvent être effectuées sur des données chiffrées à l’aide de fonctionnalités de requête de préfixe, de suffixe et de sous-chaîne programmées.
Conformité réglementaire renforcée : les données sont conservées chiffrées tout au long de leur cycle de vie pour garantir la conformité avec les réglementations telles que RGPD ou HIPAA, ce qui évite les amendes coûteuses et les problèmes juridiques tout en renforçant la confiance des clients.
Accès à des cas d’utilisation variés : la technique Queryable Encryption réduit considérablement le risque d’exposition des données pour les entreprises et améliore la productivité des développeurs en fournissant des fonctionnalités de chiffrement intégrées pour les workflows d’applications très sensibles comme la recherche de dossiers d’employés, le traitement de transactions financières ou l’analyse de dossiers médicaux, sans nécessiter d’expertise en cryptographie.
Amélioration de l’efficacité opérationnelle : possibilité de maintenir des niveaux élevés de sécurité pour vos données sensibles sans compromettre les performances des applications ni la productivité des développeurs.

En savoir plus → Queryable Encryption

MongoDB 8.0

Avec un débit 36 % plus élevé, un scaling horizontal plus facile et un chiffrement interrogeable étendu, MongoDB est plus rapide et plus sûr que jamais.

Ressources

Queryable Encryption est en disponibilité générale

Détails sur le chiffrement Queryable Encryption et ses avantages pour les clients.

Lire le blog

Chiffrement au repos dans Atlas avec la gestion des clés client

Configurez le chiffrement au repos avec vos clés de chiffrement à l’aide d’AWS KMS, Google Cloud KMS et Azure Key Vault.

Lire la documentation

Chiffrement au repos (Enterprise)

Apprenez-en davantage sur le processus de chiffrement et la configuration du chiffrement au repos.

Lire la documentation

Chiffrement au niveau des champs côté client

Découvrez comment chiffrer les champs sensibles côté client, utiliser les pilotes MongoDB et d’autres fonctionnalités.

Lire la documentation

Cryptography Research Group

Découvrez les recherches de pointe et les dernières innovations en matière de cryptographie et de confidentialité.

Document technique Queryable Encryption

Examen approfondi de la technologie Queryable Encryption, de ses objectifs de conception, de ses modèles de menace et de ses garanties de sécurité.

Télécharger le livre blanc

Pourquoi le chiffrement Queryable Encryption est important

Découvrez pourquoi Queryable Encryption est important pour les développeurs, les équipes de sécurité et les décideurs informatiques.

Lire la présentation

Protégez vos données avec le chiffrement en cours d’utilisation de MongoDB

Découvrez comment les solutions de chiffrement utilisées par MongoDB aident les clients à protéger leurs données.

Lire la fiche technique

FAQ

Où me renseigner pour aider mon organisation à mettre en place des contrôles techniques solides ?

Nous contacter

Il est préférable d’appliquer de manière sélective le chiffrement en cours d’utilisation aux champs de vos documents que vous considérez comme contenant les données les plus sensibles, telles que les informations confidentielles ou les renseignements médicaux personnels.

L’utilisation du chiffrement au niveau des champs côté client associé au chiffrement en transit et au repos permet de chiffrer les données tout au long de leur cycle de vie, en utilisant des approches complémentaires qui renforcent la posture de sécurité pour faire face à différents modèles de menaces.

Le chiffrement en transit protège toutes les données qui traversent le réseau, mais ne chiffre pas les données en cours d’utilisation ou au repos.
Le chiffrement au repos protège toutes les données stockées, mais ne chiffre pas les données en cours d’utilisation ou en transit.

Grâce au chiffrement en cours d’utilisation, vos données les plus sensibles ne quittent jamais votre application en texte brut. Les champs chiffrés côté client ne peuvent pas être déchiffrés par le serveur et restent chiffrés en transit, au repos et en cours d’utilisation, même lorsque les requêtes sont en cours de traitement.

Vos clés de chiffrement peuvent être stockées chez n’importe quel fournisseur de cloud de votre choix et n’ont pas besoin de résider chez le même fournisseur de cloud que vos données. Par exemple, vous pouvez stocker vos données dans Azure mais accéder à vos clés de chiffrement dans AWS KMS, ou les stocker dans AWS mais accéder à vos clés dans GCP Cloud KMS. Cette approche s’applique à la fois au chiffrement au repos et aux fonctionnalités de chiffrement en cours d’utilisation.

MongoDB Enterprise prend en charge les fournisseurs de clés compatibles KMIP pour le chiffrement au repos. Les KMS (Key Management Systems) fournis par le cloud ne sont pas pris en charge.

Plus d'informations et détails sur Queryable Encryption

La technologie Queryable Encryption utilise un algorithme de recherche chiffré rapide pour ajouter des structures de données chiffrées supplémentaires côté serveur, ce qui permet de traiter des requêtes d’égalité et de plage sur des données chiffrées. Comme le traitement des requêtes est effectué par la base de données, il n’est pas nécessaire de renvoyer d’autres résultats au client ni d’écrire du code d’application supplémentaire pour la gestion des requêtes côté client.

Le chiffrement au niveau des champs côté client fournit des fonctionnalités connexes en chiffrant les données côté client avant de les insérer dans la base de données. L’interrogation est limitée aux requêtes d’égalité pour lesquelles le chiffrement déterministe doit être utilisé.

Pour plus d’informations, reportez-vous à notre documentation

La technologie Queryable Encryption prend en charge les requêtes d’égalité et de plage sur les données chiffrées à partir de la version 8.0.

Les types de requête préfixe, suffixe et sous-chaîne seront pris en charge dans de futures versions.

Chiffrement des données MongoDB

Chiffrement en transit

Chiffrement au repos

Chiffrement en cours d’utilisation

Chiffrement au niveau des champs côté client

Queryable Encryption

MongoDB 8.0

Ressources

Queryable Encryption est en disponibilité générale

Chiffrement au repos dans Atlas avec la gestion des clés client

Chiffrement au repos (Enterprise)

Chiffrement au niveau des champs côté client

Cryptography Research Group

Document technique Queryable Encryption

Pourquoi le chiffrement Queryable Encryption est important

Protégez vos données avec le chiffrement en cours d’utilisation de MongoDB

FAQ

Chiffrement des données en cours d’utilisation vs chiffrement en transit et au repos

Les clés de chiffrement fournies par le client et utilisées pour le chiffrement des données au repos dans Atlas doivent-elles être stockées chez le même fournisseur de cloud que les données ?

Puis-je utiliser le KMS du fournisseur cloud pour le chiffrement au repos avec MongoDB Enterprise ?

En quoi le chiffrement Queryable Encryption diffère-t-il du chiffrement au niveau des champs côté client ?

Quels types de requêtes sont pris en charge par le chiffrement Queryable Encryption ?