I.2
Le HSM ne prête pas, il retient
La fusion matérielle — pourquoi la clé ne quitte jamais le fournisseur
La clé de chiffrement suit une logique voisine, mais avec une contrainte matérielle supplémentaire : dans les trois principaux hyperscalers (AWS, Azure, Google Cloud), la clé de chiffrement générée par défaut par le service de gestion de clés managé n'est, par conception, jamais exportable en clair.
◆ La matérialité empirique — le cas AWS KMS
La documentation technique d'AWS KMS précise explicitement qu'une clé dont l'origine (le paramètre Origin) est AWS_KMS ne peut en aucun cas être extraite, exportée ou visualisée en dehors du module matériel de sécurité (HSM) qui la détient — seule la partie publique d'une clé asymétrique fait exception. La documentation confirme également que le format des chiffrés symétriques produits par AWS KMS n'est pas publié et qu'aucun autre système, y compris un autre HSM, ne peut déchiffrer un contenu chiffré par cette clé.
◆ La matérialité empirique — le cas Azure Key Vault
La documentation officielle Microsoft confirme qu'une clé protégée par les HSM d'Azure Key Vault (offre Premium, puces nCipher/Thales, validation FIPS 140-2 Level 2) ne peut jamais être exportée : la clé d'échange (Key Exchange Key) générée à l'intérieur du HSM n'existe sous aucune forme en clair à l'extérieur de celui-ci, et aucune version déchiffrée de la clé cliente ne peut être restituée par Microsoft une fois le transfert effectué. L'identité applicative associée (Managed Identity) reste elle-même adossée à un principal de service Entra ID, valable uniquement dans l'annuaire du tenant Azure d'origine.
◆ La matérialité empirique — le cas Google Cloud KMS
La documentation officielle Google Cloud confirme qu'une clé créée avec un niveau de protection HSM (paramètre ProtectionLevel=HSM) est générée, encapsulée et utilisée exclusivement à l'intérieur de HSM certifiés FIPS 140-2 Level 3 : la conception même du service garantit que la clé ne peut être ni désencapsulée ni utilisée hors du HSM, ni extraite de celui-ci. La fédération d'identité de charge de travail (Workload Identity Federation), qui permet d'éviter la création de clés de compte de service exportables, reste elle-même une fonctionnalité du plan de contrôle IAM de Google Cloud, activée et révocable depuis ce seul plan de contrôle.
◆ Ce que cette symétrie établit
Les trois hyperscalers convergent vers la même architecture : la clé de chiffrement générée par leur service managé natif ne quitte jamais leurs HSM, quelle que soit la certification FIPS précise (Level 2 pour Azure Key Vault Premium, Level 3 pour AWS CloudHSM et Google Cloud HSM). Le mécanisme documenté au Chapitre I n'est donc pas une particularité d'un seul fournisseur, mais une convention architecturale commune aux trois principaux acteurs du marché.
◆ Ce que cela signifie concrètement pour une organisation
Une organisation qui souhaite changer de fournisseur cloud sans perdre l'accès à ses données déjà chiffrées doit soit ré-chiffrer l'intégralité du volume de données concerné avec une nouvelle clé avant la bascule — opération dont le coût croît linéairement avec le volume de données déjà accumulé — soit accepter de rester dépendante du service de clés du fournisseur d'origine pour déchiffrer ce qui a déjà été chiffré chez lui, même après la bascule de l'infrastructure de calcul elle-même.
◆ Ce que ce mécanisme ne prétend pas
Ce chapitre ne prétend pas que l'import de clé externe (Bring Your Own Key) résout ce mécanisme : cette fonctionnalité, disponible chez les trois hyperscalers, déplace la génération de la clé hors du fournisseur mais ne modifie ni l'attestation matérielle du HSM qui l'utilise, ni la dépendance à l'API propriétaire pour chaque opération de déchiffrement. Le mécanisme documenté ici porte sur l'usage opérationnel de la clé, pas seulement sur son origine.