FOCUS SOLUCOM 
BIG DATA et securité : 
PROTéGER SANS FREINER ! 
ncore au sommet du peak of expectations 
du Gartner l’anné...
• Variété : il n’y a théoriquement pas 
de limites aux types de données qu’il 
va falloir sécuriser. Il peut s’agir de 
do...
le big data, createur de nouveaux 
risques 
L e s g r a n d s r i s q u e s 
s o n t l i é s à l a d o n n é e . . . 
Bien...
C o m m e n t s e pr é pa r er à 
l’arrivée des mégadonnées 
Les fonctions de sécurité actuelles ne 
répondent qu’à une pa...
Prochain SlideShare
Chargement dans…5
×

Big Data et sécurité: protéger sans freiner !

351 vues

Publié le

Encore au sommet du peak of expectationsdu Gartner l’année dernière, le « Big Data » est toujours l’un des sujets d’intérêt majeur de 2014. Il ne se passe pas une
semaine sans qu’un nouvel acteur présente une solution Big Data innovante, ou qu’un géant de l’informatique annonce un partenariat avec une start-up spécialisée dans le sujet, si ce n’est son rachat. Difficile dans ce contexte de savoir quelle position adopter… Pour le Responsable Sécurité ou le Risk Manager, il est pourtant possible voire nécessaire de se préparer à un phénomène qui a d’ores et déjà dépassé le stade du discours marketing.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
351
Sur SlideShare
0
Issues des intégrations
0
Intégrations
5
Actions
Partages
0
Téléchargements
14
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Big Data et sécurité: protéger sans freiner !

  1. 1. FOCUS SOLUCOM BIG DATA et securité : PROTéGER SANS FREINER ! ncore au sommet du peak of expectations du Gartner l’année dernière, le « Big Data » est toujours l’un des sujets d’inté-rêt majeur de 2014. Il ne se passe pas une semaine sans qu’un nouvel acteur pré-sente e une solution Big Data innovante, ou qu’un géant de l’informatique annonce un partenariat avec une start-up spécialisée dans le sujet, si ce n’est son rachat. Difficile dans ce contexte de savoir quelle posi-tion adopter… Pour le Responsable Sécurité ou le Risk Manager, il est pourtant possible voire néces-saire de se préparer à un phénomène qui a d’ores et déjà dépassé le stade du discours marketing. Le Big Data, un concept aux frontières encore mouvantes Tout le monde s’accorde aujourd’hui sur une définition du Big Data qui tourne autour du critère dit « des 3V » (pour volume, variété, vélocité). Du point de vue de la sécurité, on peut les analyser de la manière suivante : • Volume : la quantité de données à stocker, traiter et protéger tout au long de leur cycle de vie est d’un ordre nouveau par rapport aux bases de données actuelles. Nous sommes entrés dans l’ère du zettaoctet, soit 1012 gigaoctets. AUTEUR CHADI hantouche Manager au sein de la practice Risk Management et Sécurité. Depuis 8 ans, il se spécialise dans la protection des infrastructures, des terminaux et des applications. Il est intervenu auprès de nombreux grands comptes, notamment pour définir leur schéma directeur de sécurité, ainsi que sur des problématiques de cybersécu-rité, de mobilité ou de Cloud computing. chadi.hantouche@solucom.fr @ChadiHantouche
  2. 2. • Variété : il n’y a théoriquement pas de limites aux types de données qu’il va falloir sécuriser. Il peut s’agir de documents, messages sous des formats textes, audios, vidéos… qui proviennent de sources aussi diverses que l’entreprise, le gouvernement, des bases Open Data, etc. • Vélocité : les données vont être traitées à la volée pour fournir des résultats « instantanés », et vont donc devoir être protégées en temps réel. Pour compléter cette définition, certains recommandent d’ajouter un certain nombre de « V » (Valeur, Véracité, Visibilité…) aux précédents. Ces trois termes constituent néanmoins une base partagée. Du marketing, mais aussi des mises en oeuvre concrètes Un grand nombre d’acteurs du marché affirment aujourd’hui vendre des solutions de Big Data ou faire un usage « révolutionnaire » de ces technologies dans leurs produits. Dans de nombreux cas, il ne s’agit que d’un argument de vente afin de mettre en avant leur capacité à traiter un grand volume d’information et à les modéliser différemment… sans pour autant qu’il ne s’agisse d’une « révolution ». Cependant, plusieurs projets viennent aujourd’hui confirmer l’existence d’opportunités véritablement innovantes. Les secteurs de la banque et de l’assurance s’intéressent de plus en plus au comportement de leurs clients et recoupent les données des utilisateurs provenant de différents médias ou systèmes pour en affiner la compréhension. Dans l’industrie et le transport, ce sont plutôt les objets connectés qui génèrent la collecte de mégadonnées sur la consommation des clients ou leurs habitudes. Le moteur de recherche Google est un exemple d’utilisation réussie : s’il domine sans partage le marché, c’est parce qu’il fait usage, depuis plus de dix ans, de technologies Big Data qui permettent d’offrir des résultats convaincants aux utilisateurs. Dans tous les cas, l’objectif des traitements est double : mieux comprendre les usages de ses clients pour optimiser la pertinence du service et l’expérience utilisateur, mais aussi (et surtout !) monétiser les informations collectées, soit en proposant de nouveaux usages, soit en les revendant à des tiers. Motivés à la fois par ces réussites et par le marketing des éditeurs de solutions, des projets « Big Data », dont la finalité n’est pas toujours claire, émergent dans les entreprises. Les Directions Métiers demandent parfois des installations de solutions de Big Data afin d’en évaluer les potentiels usages, sans en comprendre le fonctionnement ni en avoir mesuré la pertinence. Ne pas attendre la maturité du marché pour se préparer Plusieurs années seront encore nécessaires pour avoir une vision complète sur la sécurité du Big Data (voir figure 1). En effet, si les technologies peuvent aujourd’hui être considérées comme disponibles - certaines, comme le framework Hadoop, sont même passées sous licences libres, encourageant les entreprises à expérimenter - un certain nombre d’éléments clés sont encore en cours de structuration. Dans un premier temps, il va falloir démultiplier les compétences de Data Science. Des établissements d’enseignement supérieur se sont d’ores et déjà lancés dans l’aventure, en proposant des filières spécialisées, ou des formations complémentaires pour les professionnels souhaitant se mettre à niveau. Par ailleurs, les réflexions sur la donnée sont amenées à évoluer et à intégrer le Big Data. Le marché va également poursuivre sa consolidation – on le constate déjà à travers des annonces de rachats ou de partenariats entre les acteurs. La réglementation, enfin, va devoir clarifier les possibilités et surtout les limites d’utilisation de ces données ! BIG DATA « Du Big Data ? Mais j’en fais depuis longtemps ! » C’est le discours que l’on entend parfois, notamment au sein d’organisations qui font de la Business Intelligence depuis des années. S’il est vrai que le fait de traiter des données en respectant un ou deux des « 3 V » n’est pas nouveau en soi, il est tout de même rare de cumuler les trois. En effet, les technologies permettant ces traitements sont récentes, et leur maîtrise encore à démontrer… sans même parler des besoins de stockage massif ! FIGURE 1 : ÉTAPES VERS LA MATURITÉ DU BIG DATA
  3. 3. le big data, createur de nouveaux risques L e s g r a n d s r i s q u e s s o n t l i é s à l a d o n n é e . . . Bien entendu, les risques classiquement liés aux données sont toujours présents et même amplifiés dans le cas du Big Data : la perte ou le vol de données à cause d’une mauvaise maîtrise des nouvelles solutions, la dépendance à des fournisseurs, des applications ou des technologies jeunes et mouvantes, l’interception de données, ou encore la perte des infrastructures informatiques. Ma i s d e n o u v e a u x t y p e s d e risques apparaissent également : Liés à l’acquisition de données : si celles-ci sont de mauvaise qualité ou malicieuses, le traitement pourrait être loin des résultats escomptés, voire porter atteinte au système d’information de l’entreprise. Des questions se posent également quant à la propriété intellectuelle de ces données, notamment sur le droit qu’a une entreprise de les utiliser ou non. Liés aux réglementations : il s’agit du risque de réaliser des traitements non-conformes au regard de la loi. En particulier, il très facile de « désanonymiser » des données initialement anonymes, en croisant diverses sources. Ce type « d’inférence » doit faire l’objet d’une attention toute particulière. Par ailleurs, un système Big Data rend plus probable la réalisation d’un traitement illégal, sans même l’avoir initialement recherché. Liés à la vie de la donnée : les systèmes de Big Data fonctionnent largement de manière répartie, avec des données décentralisées et dupliquées. Beaucoup de fournisseurs se basent d’ailleurs sur des systèmes de Cloud computing : autant d’éléments qui peuvent rendre la donnée plus difficile à identifier et à supprimer efficacement. …et les contre-mesures sont donc à mettre en oeuvre tout au long de son cycle de vie Là aussi, les mesures de protection classiques sont toujours valables dans le cas du Big Data. Cependant, de nouvelles mesures complémentaires doivent aussi être envisagées (voir figure 2). Un point essentiel ne doit pas être négligé dans leur mise en oeuvre : certaines sont du ressort de la DSI, d’autres doivent être prises en compte par les Métiers demandeurs, et plusieurs questions nécessiteront l’intervention de juristes spécialistes du sujet. FIGURE 2 : CONTREMESURES DE SÉCURITÉ SPÉCIFIQUES AU BIG DATA Il est très facile de « désanonymiser » des données initialement anonymes, en croisant diverses sources. Ce type « d’inférence » doit faire l’objet d’une attention toute particulière.
  4. 4. C o m m e n t s e pr é pa r er à l’arrivée des mégadonnées Les fonctions de sécurité actuelles ne répondent qu’à une partie de la problématique. Il est nécessaire aujourd’hui de disposer de protections spécifiques au Big Data, sur toute la chaîne de traitement de la donnée : contrôle d’accès, anonymisation, t raça b i l i t é , t ra n s fe r t sécurisé… Malheureusement, la maturité des solutions de Big Data est très variable : dans la plupart des cas, aucun moyen de protection n’est offert nativement. Les produits les plus avancés intègrent des options intéressantes, mais rarement adaptées à l’échelle d’une grande entreprise. De nombreux éditeurs innovants proposent aujourd’hui des solutions permettant d’ajouter des fonctions de sécurité aux principales architectures de Big Data, que l’on peut classer en trois grandes catégories : La gestion des plateformes : les solutions aujourd’hui centralisées vont aller vers une décentralisation, d’une part du fait de la nature distribuée des systèmes Big Data, d’autre part à travers l’utilisation intensive du Cloud computing. Cette décentralisation nécessitera pourtant une harmonisation en termes de sécurité. La gestion des identités et des accès : actuellement plutôt basée sur la notion de « rôles » des utilisateurs RBAC (Role Based Access Control), celle-ci va progressivement s’appuyer sur les « attributs » de la donnée ABAC (Attribute Based Access Control) afin de déterminer qui peut accéder à quoi. La protection de la donnée : le chiffrement intégral, très répandu aujourd’hui, permet de protéger indifféremment les données d’un grand nombre d’utilisateurs (par exemple, toute une base de données). Pour protéger des niveaux de sensibilité différents et appartenant à différents propriétaires, il va être nécessaire d’opter pour un chiffrement très ciblé (par exemple, une cellule de la base Big Data). Plus concrètement, nous avons imaginé trois chantiers que les responsables sécurité peuvent lancer dès maintenant. Traiter avec les Métiers les risques liés à la perte d’anonymisation et aux sources de données En réévaluant les risques existants à la lumière des nouveautés apportées par le Big Data, ce sont ceux qui apparaissent comme les plus complexes à traiter aujourd’hui : il convient de s’en préoccuper, en les abordant de concert avec les Métiers et les juristes de l’entreprise. Maquetter les 1ères solutions de gestion des accès aux systèmes Big Data Le marché est encore balbutiant, et les acteurs se multiplient, bien qu’une certaine consolidation se poursuive. Il apparaît donc prudent de ne pas surinvestir dans une technologie de sécurisation qui pourrait être rapidement abandonnée ou dépassée. Pour autant, la question des identités et des accès aux bases Big Data mérite d’être explorée, par exemple en testant des solutions de type ABAC. BIG DATA Explorer les possibilités du Big Data pour la sécurité Le Big Data est de plus en plus utilisé pour fournir des systèmes de sécurité pertinents, qu’il peut être intéressant d’évaluer. On peut citer l’exemple des solutions d’antivirus ou de SIEM permettant de corréler ses évènements avec ceux d’autres entreprises afin de détecter une attaque avec plus de fiabilité. A terme, nous verrons probablement apparaître des systèmes de sécurité « statistiques », permettant par exemple de décider en temps réel d’ouvrir ou non un chemin réseau, en se basant sur un nombre immense de critères : position de l’expéditeur dans l’entreprise, nom et entreprise du destinataire, réputation de ceux-ci, contenu du flux, comportement des autres flux, attaques connues, date et heure… Les déploiements de systèmes Big Data sont amenés à se multiplier dans les prochaines années, pour atteindre leur pic sous 5 à 10 ans selon les études. L’explosion de l’internet des objets, les enjeux de personnalisation de la relation clients et les changements de modèles de vente entraîneront l’apparition de nouveaux cas d’usage. Même si tous les contextes ne s’y prêtent pas, il s’agit pour beaucoup d’organisations d’une mine d’informations dont la valeur n’est pas encore complètement exploitée. Il est important pour la sécurité de s’emparer dès aujourd’hui du sujet pour préparer l’avenir sereinement et être prête, le moment venu, à garantir les déploiements. Tour Franklin, 100-101 Terrasse Boieldieu, La Défense 8 - 92042 Paris La Défense Cedex Tél. : 01 49 03 20 00 - Fax. : 01 49 03 20 01 www.solucom.fr Il est prudent de ne pas surinvestir dans une technologie de sécurisation Big Data qui pourrait être rapidement dépassée.

×