La sécurité fait partie intégrante de Snowflake depuis la création de l’entreprise. Grâce aux fonctionnalités de sécurité configurables par le client de Snowflake Horizon Catalog, nous permettons aux administrateurs de sécurité et aux Chief Information Security Officers (CISO) de mieux protéger leurs environnements et de centraliser la surveillance des menaces et les contrôles d'accès basés sur les rôles sur tous les clouds. Nous avons récemment renforcé notre engagement à rendre Snowflake encore plus sûre en signant le Cybersecurity and Infrastructure Security Agency (CISA) Secure by Design Pledge, un engagement à prendre des mesures spécifiques et mesurables conformément aux principes Secure by Design de la CISA pour les produits et services logiciels d’entreprise. 

Conformément à cet engagement, nous faisons évoluer notre modèle de responsabilité partagée en matière de sécurité vers un modèle de destinée partagée. Dans ce modèle, nous jouons un rôle plus proactif pour aider nos clients à sécuriser leurs comptes. Cette approche révisée aura un impact évident sur nos priorités pour cette année :

• Plus d’options pour l’authentification multifactorielle : nos clients utilisent un large éventail de méthodes d’authentification et s’attendent à ce qu’elles soient disponibles dans Snowflake. Nous visons à prendre en charge des passkeys (WebAuthn) et des applications d’authentification (TOTP), en plus de nos authentificateurs Duo SMS et push existants, afin de permettre aux utilisateurs une expérience de connexion plus sécurisée, plus résistante au hameçonnage et plus fluide.

• Plus d’options pour un accès programmatique sécurisé : les cas d’usage programmatiques représentent une part significative du trafic vers Snowflake. En commençant par les tokens d'accès programmatiques (PAT; en private preview), nous visons à prendre en charge des moyens plus conviviaux pour les développeurs pour que les workloads s'authentifient en toute sécurité sur Snowflake. Les PAT offrent un remplacement sécurisé et ergonomique des mots de passe, des flux d’informations d’identification des clients OAuth et plus encore. Au-delà des PAT, nous avons l’intention d’étendre nos capacités OAuth/OIDC pour prendre en charge l’authentification directe des identités des workloads de la plateforme et ainsi éliminer entièrement le besoin de gestion des informations d’identification.  

• Authentification par défaut plus sécurisée : nous avons récemment annoncé que Snowflake bloquera les connexions à facteur unique par mot de passe à partir de novembre 2025. Les fonctionnalités d’authentification étendues décrites dans les points précédents aideront les clients à migrer de l’authentification par mot de passe uniquement vers des solutions plus sécurisées.

• Services de surveillance cloud plus complets : une authentification plus forte permet de réduire la surface d'attaque, mais elle ne remplace pas les services de surveillance pour détecter les attaques et y répondre. Notre objectif est d’étendre notre suite de fonctionnalités de détection des menaces toujours actives afin d’informer nos clients des connexions anormales et des comportements suspects de leur compte. 

Le modèle de destin partagé sera basé sur les bases de sécurité existantes de Snowflake, à savoir :

• Cross-cloud : Snowflake offre des contrôles de sécurité simples à utiliser pour la gestion des identités et des accès, le networking et le chiffrement entre les fournisseurs de services cloud (CSP). Cela permet à nos clients d’adopter une stratégie multi-cloud transparente avec des contrôles uniformes sur l’ensemble de leur empreinte CSP, ce qui réduit considérablement leur coût total de possession. 

• Facilité d’utilisation : Snowflake offre des contrôles de sécurité intégrés par défaut et la facilité de configuration pour ajouter des contrôles de sécurité supplémentaires pour les cas d'usage uniques de nos clients. Le Trust Center aide également nos clients dans la bonne direction en identifiant les mauvaises configurations de sécurité et les sujets de préoccupation et de risque. 

• Data-centric : avec Snowflake, nos clients peuvent sécuriser les données entre le stockage et le calcul dès leur ingestion dans Snowflake et tout au long de leur cycle de vie, en réalisant des analyses, des informations, des expériences d’IA générative/LLM et bien plus encore.

• Complet : nos clients peuvent sécuriser l’ensemble de leur écosystème de données dans Snowflake, y compris les applications, les services et les modèles de ML.

Il existe trois catégories de contrôles de sécurité dans Snowflake Horizon Catalog : la gestion des identités et des accès, le networking et le chiffrement.

Gestion des identités et des accès

Snowflake offre des contrôles d’authentification et d’autorisation sophistiqués. Par exemple, Snowflake offre une grande flexibilité dans la création et la gestion des utilisateurs, soit directement avec Snowflake, soit par synchronisation depuis un autre fournisseur d’identité (IDP) via SCIM. De même, Snowflake offre plusieurs options d’identification d’utilisateur :

• Provisionné par un IDP tiers (authentification unique, ou SSO) : il s'agit du type d'informations d'identification recommandé par Snowflake, où une ou plusieurs entités externes fournissent une authentification indépendante des informations d'identification des utilisateurs. Snowflake prend en charge les normes du secteur avec SAML ou OAuth pour configurer l'authentification fédérée. 

• Provisionné par Snowflake (informations d'identification statiques) : ciblant principalement l’accès Break-glass, l’accès temporaire ou l’accès pour les clients sans IDP propre, Snowflake fournit des informations d’identification statiques (paire de clés, mots de passe avec authentification Duo multifactorielle) et des PAT, avec d’autres authentificateurs à venir comme mentionné précédemment. 

Snowflake offre à ses clients des moyens intuitifs de distinguer les utilisateurs humains des utilisateurs de services. Cela est crucial compte tenu des différences fondamentales dans la façon dont ces utilisateurs accèdent à Snowflake. Par exemple, Snowflake impose que seuls les utilisateurs humains puissent activer l’authentification MFA ou que les utilisateurs de services ne puissent pas utiliser de mots de passe pour se connecter à Snowflake ou avoir accès à l’interface utilisateur Snowflake. 

Pour la gestion des accès, Snowflake prend en charge le contrôle d'accès basé sur les rôles (RBAC). Ce qui rend le RBAC de Snowflake unique est son intégration étroite à nos contrôles de gouvernance des données, offrant un contrôle granulaire sur l’accès aux données (par exemple, les Row Access Policies dans les tables). L’ensemble des fonctionnalités Snowflake est intégré RBAC, ce qui permet un modèle de sécurité uniforme dans un écosystème de données (par exemple, Snowflake Model Registry, Snowflake Cortex AI, données hébergées dans des tables externes pour entraîner des modèles ou pour l’analyse, Snowpark Container Services, référentiel d’images et services, etc.). Cette prise en charge cross-cloud omniprésente du RBAC Snowflake simplifie la gouvernance, la conformité et l’audit avec Snowflake.  

Outre le RBAC, Snowflake proposera bientôt des autorisations basées sur les utilisateurs (bientôt disponibles en private preview), ce qui permettra d’attribuer des privilèges directement aux utilisateurs pour les objets sécurisables. Cette approche simplifie le partage de produits analytiques, comme les applications Streamlit, en permettant aux data scientists et AI scientists de partager leurs travaux directement avec leur public cible sans dépendre de rôles prédéfinis. Associé au concept de base de données personnelle (disponible en public preview), qui prend en charge la propriété basée sur l’utilisateur des objets sécurisables, Snowflake rationalise la création et le partage de produits analytiques, rendant le processus plus intuitif et familier.

Networking

Pour une meilleure confidentialité, vous pouvez configurer une connectivité privée aux services Snowflake, à Streamlit et aux stagings internes afin que votre trafic vers Snowflake ne transite jamais sur l’Internet public. De même, pour la connectivité sortante, vous pouvez créer des points de terminaison privés dans Snowflake pour accéder à la plateforme cloud en utilisant la solution de connectivité privée de la plateforme plutôt que de passer par l’Internet public. Snowflake facilite la configuration de ces connexions privées.

Snowflake propose également des politiques réseau pour contrôler l’accès entrant/sortant aux services Snowflake et stagings internes, telles que la restriction des utilisateurs à certaines plages d’IP. Ces politiques sont configurées cross-cloud et peuvent être rattachées à un compte entier ou à des utilisateurs individuels ou à des intégrations, ce qui donne une flexibilité significative aux administrateurs pour déterminer la politique appropriée en fonction du comportement des utilisateurs ou du compte.

Chiffrement

Toutes les données stockées dans les stagings internes de Snowflake sont chiffrées par défaut avec un modèle de clé hiérarchique enraciné dans un module de sécurité matériel. Les clés de chiffrement sont automatiquement renouvelées tous les 30 jours. En option, Snowflake offre Tri-Secret Secure, qui permet aux clients de composer une clé principale de compte (utilisée pour chiffrer toutes les clés de la hiérarchie) à partir d’une combinaison d’une clé gérée par Snowflake et d’une clé gérée par le client. Cette fonctionnalité permet aux clients de contrôler la capacité de Snowflake à accéder à leurs données et à révoquer cet accès quand ils le décident.

En savoir plus

• Examinez la position de sécurité de votre compte avec le benchmark Snowflake CIS. 

• Vérifiez votre conformité de façon programmatique en utilisant le pack scanner Trust Center CIS.

• Lisez ce livre blanc et regardez notre vidéo d’accompagnement sur la migration vers des informations d’identification sécurisées.  

• Visitez le hub CISO Snowflake pour connaître toutes les dernières mises à jour de sécurité. 

Déclarations prévisionnelles 

Cet article contient des déclarations prévisionnelles expresses et implicites, y compris des déclarations concernant (i) la stratégie commerciale de Snowflake, (ii) les produits, services et offres technologiques de Snowflake, y compris ceux qui sont en cours de développement ou pas encore disponibles pour tous nos clients, (iii) la croissance du marché, les tendances et les considérations concurrentielles et (iv) l’intégration, l’interopérabilité et la disponibilité des produits de Snowflake avec et sur des plateformes tierces. Ces déclarations prévisionnelles sont soumises à un certain nombre de risques, d’incertitudes et d’hypothèses, y compris ceux décrits sous le titre « Facteurs de risque » et ailleurs dans les rapports trimestriels sur le formulaire 10-Q et les rapports annuels sur le formulaire 10-K que Snowflake dépose auprès de la Securities and Exchange Commission. À la lumière de ces risques, incertitudes et hypothèses, les résultats réels pourraient différer matériellement et négativement de ceux anticipés ou supposés dans les déclarations prévisionnelles. Par conséquent, vous ne devez considérer aucune déclaration prévisionnelle comme une prédiction d’événements futurs.