« Vos données sont chiffrées » — oui, mais par qui et avec quelle clé ?

Ou : la différence entre « personne ne peut lire mes fichiers » et « personne sauf le fournisseur, ses sous-traitants, et toute autorité capable de les y forcer ».

Tous les fournisseurs de cloud affichent « chiffrement » quelque part sur leur page marketing. C’est devenu un mot aussi vide que « naturel » sur un pot de yaourt — techniquement pas faux, pratiquement sans garantie. Un fichier peut être « chiffré » en transit entre votre navigateur et le serveur (TLS, comme n’importe quel site web en 2026), « chiffré au repos » sur le disque dur du datacenter (AES-256, standard depuis une décennie), ou « chiffré bout-en-bout » de votre appareil à celui du destinataire — et ces trois niveaux sont des réalités radicalement différentes. Si vous avez lu le comparatif des clouds souverains européens qui sert de cadre à ce guide, vous savez que la souveraineté juridique est la première couche de protection. Le chiffrement est la deuxième.

La question fondamentale n’est pas « est-ce que mes données sont chiffrées ? » — en 2026, elles le sont forcément, au minimum en transit. La question est : qui détient la clé de déchiffrement ? Si c’est le fournisseur, alors le chiffrement vous protège des hackers mais pas du fournisseur lui-même, ni de toute autorité qui peut le contraindre à coopérer. Si c’est vous, alors le chiffrement vous protège de tout le monde — y compris de vous-même le jour où vous perdez votre clé.

Ce guide décompose les mécanismes de sécurité d’un stockage cloud en neuf questions concrètes, de la différence entre chiffrement en transit et au repos à la protection contre les ransomwares, en passant par le concept de « zero-knowledge » que certains fournisseurs brandissent comme un bouclier marketing.

Ce que « sécurisé » veut dire quand on regarde sous le capot

La sécurité d’un cloud n’est pas un interrupteur on/off. C’est un empilement de couches — réseau, stockage, authentification, autorisation, audit, reprise après incident — dont chacune peut être solide ou poreuse indépendamment des autres. Un cloud avec un excellent chiffrement au repos mais une authentification mono-facteur est comme un coffre-fort dont la porte est blindée mais dont le code est « 1234 ».

Le chiffrement en transit vs au repos : deux protections, deux menaces

Le chiffrement en transit (TLS/SSL) protège vos données pendant qu’elles voyagent entre votre appareil et le serveur. Le chiffrement au repos (AES-256) protège vos données quand elles sont stockées sur les disques du datacenter. Ce sont deux protections contre deux menaces différentes, et avoir l’une sans l’autre est comme fermer la porte d’entrée en laissant les fenêtres ouvertes. La distinction complète entre chiffrement en transit et au repos explique ce que chacun couvre et ce que chacun laisse exposé.

Le chiffrement bout-en-bout : la promesse et ses limites

Le chiffrement bout-en-bout (E2EE) est le Graal de la confidentialité : personne entre l’expéditeur et le destinataire ne peut lire le contenu, pas même le fournisseur. Proton Drive le fait par défaut, kDrive le propose en option sur certains espaces. Mais l’E2EE a un coût fonctionnel que personne ne met en avant : pas de recherche plein texte côté serveur, pas de prévisualisation en ligne de certains formats, pas d’édition collaborative native. Le chiffrement bout-en-bout expliqué sans jargon pèse le pour et le contre.

Zero-knowledge : quand le fournisseur ne peut pas lire vos données

« Zero-knowledge » signifie que le fournisseur n’a techniquement aucun moyen de déchiffrer vos données — il ne détient pas votre clé de chiffrement. C’est un engagement plus fort que le chiffrement au repos standard (où le fournisseur détient la clé). Sync.com, Tresorit et certaines offres pCloud sont zero-knowledge. Ce que zero-knowledge veut dire en pratique explique les implications concrètes, y compris ce qui se passe quand vous perdez votre mot de passe (spoiler : vos données aussi).

Qui gère la clé ? Vous ou le fournisseur ?

La gestion des clés de chiffrement est le sujet le plus technique et le plus important de ce guide. Bring Your Own Key (BYOK), clés gérées par le fournisseur, HSM dédiés — chaque modèle a des implications sur qui peut accéder à vos données et dans quelles conditions. Le guide de la gestion des clés de chiffrement traduit ces concepts en décisions pratiques.

L’authentification à deux facteurs : le minimum vital

Le 2FA n’est pas une fonctionnalité premium. C’est un minimum vital. Un compte cloud protégé par un seul mot de passe est un compte cloud en sursis — les fuites de bases de données et le credential stuffing rendent le mot de passe seul insuffisant depuis des années. L’authentification à deux facteurs sur le cloud compare les méthodes (TOTP, WebAuthn/FIDO2, SMS) et leur niveau de protection réel.

Politiques de mots de passe pour les équipes

Quand cinq personnes partagent un espace cloud d’entreprise, la sécurité du maillon le plus faible détermine la sécurité de l’ensemble. Forcer des mots de passe complexes, imposer le 2FA, expirer les sessions inactives — ce sont des politiques que le cloud doit permettre et que l’administrateur doit activer. Les politiques de mots de passe pour équipes cloud fait le tour des options.

Journaux d’accès et audit : qui a touché à quoi ?

La traçabilité est une obligation réglementaire (RGPD article 30) et une nécessité opérationnelle. Savoir qui a accédé à quel fichier, quand, depuis quelle adresse IP, c’est ce qui permet de détecter une compromission après qu’elle s’est produite — et c’est ce qui manque chez la plupart des clouds grand public. La journalisation des accès et l’audit de sécurité compare ce que les fournisseurs proposent réellement.

Ransomware : comment le cloud vous protège (ou pas)

Un ransomware qui chiffre votre disque local peut aussi chiffrer vos fichiers synchronisés dans le cloud — si la synchronisation est en temps réel et sans versioning, le ransomware gagne. La protection dépend entièrement du mécanisme de versioning et de la possibilité de restaurer une version antérieure à l’attaque. La protection contre les ransomwares dans le cloud explique quels clouds résistent et lesquels propagent le problème.

Après l’attaque : restaurer ses fichiers

Quand la prévention a échoué, il reste la restauration. Les snapshots automatiques, l’historique de versions, les sauvegardes immuables — ce sont les mécanismes qui permettent de revenir à un état sain après un incident. Restaurer ses fichiers après une attaque donne la procédure concrète pour kDrive et ses concurrents.

Sur le même sujet

• Alternatives à Google Drive — la sécurité comme critère de choix entre les clouds
• Souveraineté, RGPD et cloud européen — le chiffrement ne remplace pas la juridiction
• Prix, plans et ROI du cloud — le chiffrement avancé a-t-il un surcoût ?
• Migration vers un nouveau cloud — sécuriser le transfert pendant la migration
• Collaboration en équipe et partage — partager sans compromettre la sécurité
• Synchronisation multi-device — sécurité de la sync sur appareils multiples
• Écosystème kSuite et intégrations — la sécurité de la suite complète
• Usages spécifiques du cloud — HDS, données de santé, obligations sectorielles
• Réversibilité et portabilité — exporter des données chiffrées sans perdre la protection