🛡️ Confidential Computing

TEE · Intel TDX/SGX · AMD SEV-SNP · ARM CCA · NVIDIA H100 · RFC 9334 RATS · Gramine · Enarx · CCC Linux Foundation

← Retour Actualités IT++ 🔒 TPM →

📐 Définition — les 3 états des données

Le Confidential Computing désigne un paradigme de sécurité qui protège les données en cours de traitement (data in use) en les isolant dans un environnement d'exécution sécurisé matériellement — un TEE (Trusted Execution Environment). Il ferme le troisième vecteur d'attaque laissé ouvert par les approches traditionnelles : même un administrateur système, un hyperviseur compromis ou un accès physique au serveur ne peuvent pas lire les données pendant leur traitement.

💿

Data at Rest

Chiffrement des disques — BitLocker, LUKS, dm-crypt. Protégé depuis longtemps.

🌐

Data in Transit

Chiffrement des communications — TLS 1.3, mTLS, VPN. Protégé depuis longtemps.

Data in Use

Données en mémoire pendant le calcul. Vecteur d'attaque ouvert jusqu'au Confidential Computing.

Un TEE est une enclave matérielle isolée du reste du système. Le code et les données qui s'exécutent à l'intérieur sont protégés en confidentialité et en intégrité, même vis-à-vis du système d'exploitation hôte, de l'hyperviseur ou d'un acteur disposant d'un accès physique à la machine. Cette isolation est garantie par le CPU lui-même (chiffrement mémoire on-die, contrôle d'accès aux pages mémoire, anti-side-channel).

🏛️ Confidential Computing Consortium (CCC)

Fondé en 2019 sous l'égide de la Linux Foundation, le CCC regroupe plus de 50 membres en 2026 (contre 7 membres fondateurs). Il standardise la définition du Confidential Computing, développe des outils open source, et accélère l'adoption en entreprise.

Membres : Intel, AMD, ARM, NVIDIA, Google, Microsoft, Red Hat, IBM, Alibaba, Huawei, Baidu, ByteDance, VMware, Cisco, Meta.

📊 Marché — IDC nov. 2025

Rapport IDC commandé par le CCC
5,8 milliards USD en 2025. Taux de croissance annuel composé de 38%. Projection : 28 milliards USD d'ici 2030.
Rapport IDC ↗

🔎 Gartner — Top 10 2026 2026

Strategic Technology Trends 2026
Gartner a classé le Confidential Computing parmi ses 10 tendances technologiques stratégiques de 2026 — signal fort d'adoption enterprise imminente.

📦 Projets open source CCC

Sous gouvernance Linux Foundation
Gramine, Enarx, Occlum, Open Enclave SDK, Veracruz, Keystone (RISC-V). Le CCC héberge, finance et coordonne ces projets inter-architectures.
GitHub CCC ↗

🦹 Technologies TEE

Intel SGX — Software Guard Extensions

2015 (Skylake) · Process-level · Enclaves mémoire
Architecture process-level : crée des enclaves mémoire isolées (EPC — Enclave Page Cache). L'application doit être réécrite pour utiliser des appels TEE spécifiques. TCB minimal — seule la logique de l'enclave est dans le périmètre. Attestation via DCAP ou Intel Attestation Service. Disponible sur Xeon Scalable (serveurs) ; arrêté sur processeurs grand public depuis 11e gen.
Intel SGX ↗

Intel TDX — Trust Domain Extensions GA

Xeon 4e gen (2023) · VM-level · Lift-and-shift
Architecture VM-level : toute une VM devient une Trust Domain isolée. L'application n'a pas besoin d'être modifiée. Protection via TME (Total Memory Encryption) + SEAM (Secure Arbitration Mode). Attestation via Intel Trust Authority. Azure TDX en GA Q1 2026. Google Cloud C3 en GA.
Intel Trust Authority ↗

AMD SEV-SNP — Secure Encrypted Virtualization GA

Zen 3+ (EPYC Milan 2021) · VM-level · RMP
Évolution SEV → SEV-ES → SEV-SNP : intégrité des pages mémoire via le Reverse Map Table (RMP), empêchant les attaques hyperviseur. Compatible lift-and-shift. Attestation via AMD KDS. Overhead généralement <5%. Google Cloud N2D en GA, Azure SEV-SNP avec vTPM.
AMD SEV ↗

ARM TrustZone & CCA

TrustZone depuis 2004 · CCA depuis ARMv9 (2021)
TrustZone : architecture bipartite statique (Secure World / Normal World) — présente dans presque tous les SoC ARM, massivement utilisée dans les smartphones (biométrie, DRM, paiement). ARM CCA (Confidential Compute Architecture) : nouveau "Realm" pour concurrencer Intel/AMD dans le cloud, dépasse les limitations de TrustZone.

IBM Secure Execution

IBM z15 / LinuxONE III (2020) · Mainframes · CC EAL 5+
Isole des Secure Execution Guests (VMs chiffrées) de l'hyperviseur z/VM ou KVM. Certifications CC EAL 5+ — très haute sécurité pour workloads bancaires et financiers critiques. Attestation via IBM Trusted Attestation Service.

RISC-V Keystone Open Source

UC Berkeley / MIT · Embarqué · Edge computing
TEE open source pour n'importe quelle implémentation RISC-V standard. TCB de quelques milliers de lignes de code seulement (contre des millions pour TrustZone). Nécessite core RISC-V standard + stockage sécurisé de clés + bootloader sécurisé.
GitHub Keystone ↗

NVIDIA H100/H200 — Confidential Computing CUDA 12.4

Preview juil. 2023 · GA CUDA 12.4 (2024)
Premier GPU à supporter le Confidential Computing nativement. Hardware Root of Trust on-die H100. Fonctionne conjointement avec AMD SEV-SNP ou Intel TDX (CPU TEE obligatoire). NVIDIA Secure AI : Protected PCIe sur HGX H100/H200 8-GPU. Overhead <5% sur LLMs pour l'inférence en production.
NVIDIA Blog ↗

Comparaison TDX vs SEV-SNP (2024–2025)

Critère AMD SEV-SNP Intel TDX
ArchitectureVM-level (Zen 3+)VM-level (Xeon 4e gen+)
Performance overheadPlus faibleLégèrement plus élevé
Maturité cloudPlus répandu (disponible plus tôt)En rattrapage rapide
Service d'attestationAMD KDSIntel Trust Authority
Modification app requiseNon (lift-and-shift)Non (lift-and-shift)
Disponibilité cloudGoogle N2D, AzureGoogle C3, Azure (GA Q1 2026)
Cas d'usage privilégiéFinance, healthcareGouvernement, IA haute sécurité

🔐 Attestation distante — RFC 9334 RATS

L'attestation distante permet à un TEE de prouver cryptographiquement à une partie distante : (1) qu'il tourne sur un matériel authentique certifié, (2) que le code en cours d'exécution est bien celui attendu (hash vérifié), (3) que le TEE n'a pas été compromis.

Le standard IETF RATS (Remote ATtestation procedureS) est formalisé dans le RFC 9334 (janvier 2023). Il définit les rôles : Attester, Verifier, Relying Party et le protocole de preuve.

TEE (Attester) → Evidence → Verifier (ex. Intel Trust Authority) → Attestation Result → Relying Party

Veraison Open Source

Linux Foundation / CCC · Multi-architectures
Framework de vérification d'attestation multi-architectures. Supporte SGX, TDX, SEV-SNP, TPM. Standard de facto pour l'attestation inter-opérable dans l'écosystème CCC.
GitHub Veraison ↗

Intel Trust Authority

Service cloud managé · TDX + SGX
Service cloud d'attestation managé pour Intel TDX et SGX. Lancé en 2023, permet une attestation sans nécessiter d'infrastructure d'attestation propre. DCAP pour les environnements on-premise.
Docs Intel ↗

AMD KDS

Key Distribution Service · SEV-SNP
Service d'attestation AMD pour SEV-SNP. Rapports d'attestation signés par la puce — la partie distante peut vérifier l'authenticité de la VM confidentielle via les certificats AMD.

Keylime Open Source

Red Hat · TPM + Kubernetes
Framework d'attestation continue basé sur TPM pour Linux. Intégration Kubernetes pour l'attestation de noeuds. Utilisé en production chez Red Hat / OpenShift. Voir aussi la page TPM.
GitHub Keylime ↗

📦 Projets open source

Gramine (ex Graphene-SGX) v1.0

Library OS · SGX + TDX · CCC
Library OS permettant d'exécuter des applications non modifiées dans Intel SGX via une PAL (Platform Adaptation Layer). Gramine 1.0 : première version production-ready, déclarée par le CCC comme première implémentation mature. Gramine-TDX (CCS 2024) : kernel OS léger pour Confidential VMs Intel TDX, ring 0 avec applications en ring 3, TCB minimisé.
Docs ↗ Paper CCS 2024 ↗

Enarx Open Source

WebAssembly · Multi-TEE · Architecture-agnostique
Système de déploiement d'applications dans des TEEs indépendant de l'architecture. Utilise WebAssembly (Wasm) comme format intermédiaire : un même binaire Wasm s'exécute dans SGX, SEV-SNP ou TDX sans recompilation. Gère attestation et livraison dans un runtime "Keep". Extension du framework en 2025 pour la mesure d'intégrité des applications (Springer Nature 2025).
GitHub Enarx ↗

Occlum Open Source

Library OS multi-processus · Intel SGX · Memory-safe
Library OS multi-processus memory-safe pour Intel SGX. Objectif : exécuter des applications non modifiées dans SGX avec un modèle multi-processus. Selon les benchmarks 2024, Gramine-SGX surpasse Occlum-SGX en performance et consommation de ressources.
GitHub Occlum ↗

Open Enclave SDK

Microsoft · SGX + TrustZone · API unifiée
SDK unifié développé par Microsoft pour construire des applications d'enclave portables. Abstrait les différences matérielles (SGX, TrustZone). API unifiée pour cloud et IoT — un même code peut cibler plusieurs architectures TEE.
GitHub OE SDK ↗

Veracruz

ARM Research · MPC · Multi-parties TEE
Framework pour le calcul multi-parties confidentiel. Permet à plusieurs parties de collaborer sur des données sans qu'aucune ne voie les données des autres. Basé sur TEE pour garantir l'isolation et l'attestation de chaque participant.

Keystone Open Source

UC Berkeley / MIT · RISC-V · Embarqué
Framework open source pour TEEs sur RISC-V standard. TCB de quelques milliers de lignes seulement. Nécessite uniquement un core RISC-V standard + stockage sécurisé de clés + bootloader sécurisé. Principalement orienté embarqué et edge computing.
GitHub Keystone ↗

💼 Cas d'usage principaux

☁️ Cloud Multi-Tenant

Problème : dans un cloud public, le fournisseur (CSP) est techniquement capable d'accéder aux données client. Solution : Confidential VMs — le CSP ne peut plus voir les données en mémoire, même avec accès physique. Exemple : une banque déploie ses algorithmes propriétaires sur Azure/GCP sans risque d'espionnage industriel par l'opérateur cloud.

🤖 IA Confidentielle (Confidential AI)

Protection des modèles : poids d'un LLM propriétaire protégés lors de l'inférence chez un tiers. Protection des données d'entraînement : données médicales ou financières traitables sans exposition. Federated Learning confidentiel : agrégation sécurisée de modèles sur données sensibles distribuées. NVIDIA H100 CC : overhead <5% sur LLMs.

🔗 MPC & Blockchain

Contrats intelligents s'exécutant dans un TEE pour garantir leur confidentialité. Agrégation de données concurrentes (enchères scellées entre entreprises concurrentes). Calcul d'analytiques sur des datasets combinés sans que les parties ne voient les données des autres.

🏥 Healthcare & Finance

Partage de données médicales inter-établissements pour la recherche sans violation du RGPD. Prédiction et diagnostic via federated learning confidentiel (cancer, diabète, cardiovasculaire). Conformité EU DORA (Digital Operational Resilience Act) pour le secteur financier. IBM Secure Execution pour workloads bancaires critiques sur mainframes Z.

🏂 Acteurs principaux

Acteur Technologie TEE Rôle / Contribution
IntelSGX / TDXSGX (2015), TDX (Xeon 4e gen), Intel Trust Authority, DCAP
AMDSEV / SEV-ES / SEV-SNPFamille SEV depuis 2016, AMD PSP, Key Distribution Service
ARMTrustZone / CCATrustZone (2004), ARM CCA (Realm Management Extension, ARMv9)
NVIDIAH100/H200 CCConfidential Computing GPU, Secure AI, Protected PCIe
Google CloudSEV-SNP + TDXConfidential VMs N2D (SEV-SNP), C3 (TDX GA), Shielded VMs
Microsoft AzureSEV-SNP + TDXConfidential VMs, TDX GA Q1 2026, Azure Attestation Service
AWSNitro EnclavesNitro Enclaves, Nitro TPM, isolation KVM-based
IBMSecure ExecutionIBM z15/LinuxONE, CC EAL 5+, workloads financiers critiques
Red HatKeylime · LinuxKeylime, contributions kernel Linux, OpenShift Confidential Computing
CanonicalUbuntuSupport Ubuntu pour Confidential VMs multi-plateformes
Linux Foundation / CCCStandardisationStandardisation, financement projets open source, guides d'adoption

📰 Actualités 2024–2026

2026-02 FOSDEM 2026 — Track dédié aux défis de l'attestation distante pour le Confidential Computing
Une conférence entière dédiée aux "Challenges of Remote Attestation for Confidential Computing Workloads" — signal de maturité du domaine.
2026-01 Microsoft Azure TDX Confidential VMs en disponibilité générale (GA) — Q1 2026, NA + Europe
Azure TDX passe en GA en Amérique du Nord et en Europe. Intel TDX sur Xeon 5e gen. Milestone majeur pour l'adoption enterprise.
2026-01 Gartner — Confidential Computing dans le Top 10 Strategic Technology Trends 2026
Première fois que le Confidential Computing atteint cette liste Gartner — signal fort d'adoption enterprise imminente, notamment dans les secteurs régulés.
2025-11 Rapport IDC (commandé par le CCC) — Marché Confidential Computing à 5,8 milliards USD en 2025
Taux de croissance annuel composé de 38%, projection 28 milliards USD d'ici 2030. Rapport de référence pour les décisions d'investissement enterprise.
2025-06 NVIDIA Secure AI en disponibilité générale — Protected PCIe sur HGX H100 et H200 8-GPU
GA de NVIDIA Secure AI — overhead <5% sur les LLMs. Ouvre le Confidential Computing aux workloads IA haute performance en production cloud.
2025-02 Google Cloud — Correctif sécurité pour Confidential VMs SEV-SNP N2D, expansion Confidential Accelerators
Correctif Google pour les Confidential VMs SEV-SNP N2D. Annonce parallèle de l'expansion des Confidential Accelerators GPU H100 pour les workloads IA.
2024-10 ACM CCS 2024 — "Gramine-TDX: A Lightweight OS Kernel for Confidential VMs"
Tournant technique majeur : Gramine-TDX présenté à ACM CCS 2024. Kernel OS léger pour TDX, ring 0 avec apps en ring 3, TCB minimisé. Architecture de référence pour les Confidential VMs TDX.
2024-10 ACM SIGMETRICS 2024 — Analyse empirique de AMD SEV-SNP vs Intel TDX
"Confidential VMs Explained: An Empirical Analysis of AMD SEV-SNP and Intel TDX" — étude de référence comparant les deux principales technologies en conditions réelles cloud.
2024-07 NVIDIA H100 Confidential Computing — GA sur CUDA 12.4
Passage en GA du Confidential Computing sur H100. Hardware Root of Trust on-die, chiffrement CPU↔GPU via bounce buffer chiffré. Premier GPU en production à supporter CC nativement.
2024-04 Google Cloud — Confidential VMs TDX sur C3 en disponibilité générale
GA des Confidential VMs Intel TDX sur les machines C3 (Xeon 4e gen). Google Cloud est le premier grand CSP à mettre TDX en GA, devançant Azure d'environ 2 ans.
2024-01 IET 2024 — Survey de la recherche sur le Confidential Computing
Survey académique complet de l'état de l'art du Confidential Computing — revue de la littérature sur les TEEs, l'attestation, les projets open source et les cas d'usage industriels.
2023-01 IETF RFC 9334 — RATS Architecture (Remote ATtestation procedureS) publiée
Publication du standard IETF de référence pour l'attestation distante. Définit les rôles Attester, Verifier, Relying Party — base de tous les systèmes d'attestation modernes.

📚 Ressources & liens

Confidential Computing Consortium

Site officiel ↗ GitHub ↗

Standards & RFCs

RFC 9334 RATS ↗ CCC RATS explainer ↗

Projets open source

Gramine docs ↗ Enarx ↗ Occlum ↗

Lecture académique

SEV-SNP vs TDX ACM 2024 ↗ Gramine-TDX CCS 2024 ↗ Survey IET 2024 ↗