Big Data & contrôle des données

1 619 vues

Publié le

Retrouvez mon atelier de la journée stratégique du CLUSIS sur le contrôle des données à l'heure du Big Data.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 619
Sur SlideShare
0
Issues des intégrations
0
Intégrations
808
Actions
Partages
0
Téléchargements
10
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • La fiction dépasse t’elle la réalité ? Depuis 2004, et pendant de nombreuses années, les experts nous surprenait à chaque épisode grâce aux technologies de pointe et la science mise au service de la justice pour élucider des crimes en moins de 45 minutes. Aujourd’hui, cela ne surprend plus grand monde que des traces ADN soient conservées dans des banques de données, que les informations soient croisées entre différentes agences plus ou moins gouvernementale.
  • En 2013, on change de registre en imaginant qu’un citoyen pourrait se retourner contre son propre pays pour commettre des actes terroristes au nom d’une religion. Morale de l’histoire, malgré tout le renseignement disponible, l’inévitable ne peut être évité… Après les attentats de ces derniers mois, la fiction semble dépassée.
  • Alors que penser de la série actuellement en vogue: Person of interest dans laquelle un super logiciel est capable de corréler une multitude de données dans le but d’anticiper des crimes ? A l’heure du Big Data, est-ce une utopie ou une façon déguiser de nous préparer à une certaine réalité ?
  • Les données sont l’élément vital de l’économie digitale. Les enjeux économiques et politiques sont colossaux ce qui explique pourquoi des cybercriminels de haut vol sont bien déterminés à voler ses données.
    On peut catégoriser les acteurs en trois groupes.
    Les gouvernements qui espionnent, neutralisent ou sabotent des données dans une quête de plus de pouvoir ou du maintient de celui-ci.
    Ceux qui hackent des systèmes au nom d’idéaux
    Et ceux qui font ça pour le fric.

    L’atelier que je vous propose aujourd’hui va traiter de cette dernière catégorie. Et j’ai choisi de vous parler des victimes plutôt que des auteurs.
  • Avant de renter dans le vif du sujet, il me semble intéressant de relever un trend qui se confirme d’année en année. Les attaque de hackers restent la catégorie de cause la plus importante concernant la perte de données. Par contre, ce qui est nouveau, c’est que si j’additionne les trois causes suivantes que l’on peut regrouper sur des causes internes, on constate qu’elle dépasse de loin les incidents externes.

    Quel est l’impact de ceci ? Cela signifie tout simplement pour l’entreprise qu’elle ne peut pas simplement rejeter la faute sur des tiers externes. Sa propre responsabilité peut être engagée dans près de 2 cas sur 3 !

  • «Ma réaction peut-elle changer la réalité ?»
    Sommes-nous de taille pour lutter contre des gouvernements ? – Non
    Ai-je les moyens d’influencer notablement des idéalistes prêt à tout sacrifier pour une cause ? – Non
    Puis-je améliorer le contrôle et la protection des données de mon organisation ? – Oui !

    Et c’est ce que je vous propose de tenter dans les quelques minutes qui nous sont imparties, à savoir : comment protéger les données sensibles dissimulées dans des petabytes de données.
  • A priori des questions simples…. Mais pour lesquelles il est préférable d’avoir réfléchi préalablement.

    En effet, répondre par oui ou par non à la première comporte des risques. Répondre par la négative pourrait vous mettre en doute votre crédibilité au sein l’entreprise. Quand a affirmer que tout est sous contrôle, cela pourrait éventuellement vous faire passer quelques nuits d’angoisse si tel ne devait pas être le cas.

    Pour répondre à la seconde, cela implique d’avoir une mesure de l’efficacité et de la valeur de vos efforts en matière de protection de l’information,.

    Quels sont les moyens à notre disposition pour y répondre, c’est ce sur quoi je vous propose de réfléchir ensemble.
  • Environnement de l’organisation/entreprise:
    Aujourd’hui, nos entreprises ne parlent plus en gigabytes, mais en terabytes et pour certaines en petabytes. Nous générons des données tous les jours et il devient de plus en plus compliqués de vouloir protéger un gigantesque volume de données dont on ne sait même pas forcément où elles sont stockées.
    En effet, avec le cloud et la mobilité si chère à nos utilisateurs, le périmètre à protéger est devenu flou.
    Enfin, il est devenu difficile également de rester à jour avec toutes les exigences légales ou contraintes règlementaires en matière de protection des données. La conformité est un thème récurrent mais très complexe à mettre en œuvre, ce d’autant plus si votre entreprise est présente internationalement.
  • A l’interne, il n’est pas évident de susciter l’intérêt (sans parler encore de motivation) quand on évoque la compliance.
  • En tout premier lieu, si votre entreprise est confrontée à une perte massive de données, cela peut sévèrement compliqué le business. La couverture médiatique qui accompagne ce genre d’incident n’est pas de celle que l’on recherche. Et pour peu que l’entreprise communique mal, les dégâts peuvent être très importants et à long terme.

    Le vol de données n’est pas un crime sans victime.
    Si le client interprète que l’entreprise porte une certaine responsabilité dans le vol d’informations le concernant
    (et je vous rappelle ici la proportion d’incidents internes), il y a de grandes chances qu’il se tournera vers la concurrence. A ce sujet, une étude comparative menée aux US et EU sur la sensibilité des consommateurs au respect de la protection des données montre des résultats intéressants:
  • On constate qu’à une exception près (partage de contenu), les américains sont plus sensibles à la protection de leurs données que les européens. Mais concrètement, cela permet de se poser quelques questions :
    ACHATS EN LIGNE
    1.- Protégeons-nous suffisamment les données de cartes de crédits et identifiants de nos clients ?
    IDENTIFICATION SUR UN SITE
    2.- Ne collectons-nous pas (conservons) plus d’information que nous n’en avons réellement besoin ?
    TELECHARGEMENT D’APPLICATIONS
    3.- La sécurité de nos applications est-elle suffisante ? Est-ce que la politique de respect de la confidentialité des données est-elle en adéquation avec le comportement réel de l’application ?

     A l’heure où les équipes de ventes et de marketing rencontrent des défis toujours plus importants pour gagner des parts de marché, il est tout aussi important de ne pas perdre de clients en les laissant filer à la concurrence pour ce type de problème.
  • Last but not least… protéger les actifs de l’entreprise liés à la propriété intellectuelle.

    Nos entreprises investissent par centaines de milliers de francs pour se prémunir d’attaques externes, mais s’en remettent à l’espérance et la foi quand il s’agit de traiter les menaces internes. Quelle est bien souvent la seule mesure de sécurité visant à protéger les données de la fraude? Une charte, ou règlement d’utilisation des outils informatiques…. Nous ne vivons plus dans le monde des bisounours !!!
  • Le vol de plans, design et autre propriété intellectuelle permet à un fabricant chinois d’économise jusqu’à $315 millions sur le développement d’un nouveau véhicule.
  • Je n’ai volontairement pas abordé les enjeux de risques pour les clients en matière d’exploitation subséquente de leurs données. Notamment parce que les intervenants suivant auront je pense l’occasion de le faire quand nous parlerons du secteur de la santé.

    Mais aussi et surtout parce que je pense qu’il faut que les responsables sécurité arrivent à mieux interpeller et travailler avec leurs collègues en évoquant des sujets qui les concernent au premier plan. Rappelez-vous, business just wand to do business. Alors parlons business. Le CEO se soucie de l’image, le marketing et les ventes de ses clients, la production / développement de son IP.
    Il faut que nous arrivions avec une proposition qui leur apporte si ce n’est de la valeur, à tout le moins la préservation de ce qui a été chèrement acquis ou construit.

  • Objectif

    Constater sur le mur que nous avons trois types de données: toxique radioactive, tout le reste

    Propriétés de chacune :
    Toxique  généralement structurées
    Radioactive  non structurée
  • En fait, il n’a fondamentalement que deux types de données. Celles que l’on veut vous voler et toutes les autres.
    Les premières sont des données toxiques que l’on peut facilement identifier à l’aide de l’équation.
  • Quand on lâche le mot ‘Classification’, on se heurte très rapidement à des résistances car on pense immédiatement à l’immensité de la tâche. C’est un peu comme si on voulait réchauffer l’océan.

    Certes, je ne prétends pas que le tâche est aisée, mais j’affirme qu’elle importante et réalisable.
  • Pourquoi importante.
    Comprendre et connaître vos données constituent les fondations de votre plan de sécurité de l’information.
    Il serait stupide de construire une maison sur du sable et de s’étonner lorsque qu’elle s’effondre, non ?

    Et bien ce que font les entreprises et organisations aujourd’hui en matière de protection des données. On empile des technologies sans savoir ce qu’elles vont réellement protéger.

    Ajouter la classification va amener une énorme valeur à vos mesures de sécurité en permettant la création d’attributs aux données tout au long de leur cycle de vie. Et donner des attributs équivaut à fournir une identify «Data ID» aux données. Ceci va servir tant aux technologies qu’aux personnes à prendre les bonnes décisions sur la manière de traiter telle ou telle information.

    Mais je vous l’accorde, la classification est plus facile à dire qu’à faire. Pourquoi ?
    Qu’est-ce qui rend si difficile la classification de l’information ?
  • Comme nous l’avons vu dans notre exercice de toute à l’heure, un schéma de classification à trois niveaux doit amplement permettre de classifier les données. Cela simplifie en outre grandement la vie de l’utilisateur qui doit décider du niveau de classification à apposer.

    Je reviendrai toute à l’heure plus en détail comme appliquer concrètement ce schéma.
    Mais pour l’instant, j’aimerais encore mettre en évidence un point fondamental qui change la donne pour vous en tant que responsable de sécurité.
  • Vous vous souvenez quand vous étiez enfant et jouiez à retrouver Charlie ?

    Et bien c’est un peu la même chose avec la classification. Imaginez Charlie comme une données sensible et la plage comme votre système d’information. En matière de sécurité, deux options:
    A- sécuriser la plage, tout en étant conscient que Charlie sera peut-être en ville dans deux heures
    B – Protéger Charlie lui-même

    Ce qui change la donne, c’est qu’avec les technologies actuelles de e-discovery, il devient aisé de retrouver Charlie car c’est le seul sur le dessin à porter à la fois un jeans bleu, un t-shirt rayé rouge et blanc, des lunettes, un bonnet et une canne. Tout ces attributs lui donne une identité. De la même manière que la classification va renseigner vos données et permettre de les suivre tout au long de leur cycle de vie.
  • .
  • .
  • .
  • .
  • .
  • At the time of creation, the data creator tags the data as toxic or nontoxic, and sends it off to the data
    environment (a location where the data is stored and used). Data users then proceed to use this data as
    they normally would. Data owners validate this tagging, and data users provide feedback as to whether
    the classification is correct. Through these actions, data owners and data users provide an audit
    mechanism for data classification. This part of the workflow and feedback loop is largely a manual
    process aided by tools, providing much-needed context and identification information for data.

    Automation also has a place in dynamic data classification. It automates another feedback and audit
    loop between tools like DLP, the data, and classification tags that data owners put in place. You must
    involve data owners with the implementation of any tool for automation to help feed and tune these
    tools with the necessary information to build this system.
  • Discussions avec vos pairs, implication du legal, HR, Business, compliance… Objectif = dresser l’inventaire des exigences tant légales qu’opérationnelles ayant un impact sur les données identifiées comme sensibles.
  • Il nous reste à voir la dernière étape. Celle qui consiste à défendre. Et la fondamentalement, il n’y a que 4 composants essentiels à considérer.
    - L’accès qui consiste à ce que les bonnes personnes puissent accéder à la bonne donnée au bon moment.
    Des règles permettant de contrôle l’usage des données doivent être mise en place
    Plutôt que de tout garder ad eternam, des règles relatives à l’archivage doivent être prévues afin de limiter la responsabilité vis-à-vis de données devenues inutiles
    Par «Tuer l’information» je fais référence à la notion de réduction des bénéfices attendus en cas de vol ou de perte. Concrètement, la rendre inutilisable par le chiffrement, l’anonymisation, la tokenization à toute personne non autorisée.
  • Et pour cette dernière étape, rien ne sert de réinventer la roue. Pour créer vos propres règles, il n’y a qu’à s’inspirer des standards de protection et contrôles des données tel que ISO 270002, PCI, etc..
  • Pour répondre à la seconde, cela implique d’avoir une mesure de l’efficacité et de la valeur de vos efforts en matière de protection de l’information,.

    Quels sont les moyens à notre disposition pour y répondre, c’est ce sur quoi je vous propose de réfléchir ensemble.
  • For DLP to be successful, you need time and well defined processes.

    Most companies fail in achieving DLP success because they don’t define the necessary process and policies before their deployment. DLP tools are not «automagical».
    This upfront work must be done for several reasons:

    YOU NEED TIME TO BUILD CONCENSUS, CHANGE INTERNAL PROCEDURES AND TRAIN USERS
    For the entire history of IT, users were allowed to use data however they choose. Now, privacy concerns, compliance obligations and industrial cyberespionage have changed the rules.



    DISCOVER
    Data discover tools scan endpoints or corporate network assets to identify ressources that could contain sensitive information

    CLASSIFY
    Data classification tools analyse structured and unstructured data looking for sensitive information that matches predefined patterns or custom policies establish by the business.
    Once matched, data classification tools apply security labels to the data so that tools such as DLP can later protect it.

    It is very important that classification and classification criteria is done in collaboration with cross functionnal team of business representatives and security professionals.

    CONSOLIDATE

    Objective is to reduce the number of locations that you need to protect. The process consists in taking discovered data and aggregating it so that it exist in fewer places. It may also include archiving or deleting data according to company retention policy.
    Data consolidation limits your company’s exposure to data theft and potentially reduces the scope of compliance.
    An option could also be to consider creating « Data free zones » using virtual desktop infrastructure, encryption or tokenization. By limiting where toxic data can be stored, companies simplify the deployment of technology without worrying about potential data loss. This is especially helpful as mobile devices proliferate and IT becomes consumerized.

    DESIGN
    Policy design is the process of creating actionable policies that map together data types, classification levels and DLP tools. The idea is to decide what should be protected with which tool. For example, use encryption for radioactive data and DLP for toxic data.

    ENFORCE
    Is the process of actually implementing the policy enforcement rules on DLP solutions. For DLP to be truly effective, the DLP tools must proactively enforce the policies defined in the design phase of the project. DLP policy enforcement efficacy can be tracked by leveraging the reports generated by security information management or governance risks and compliance (GRC) tools.
    These reports can demonstrate to business leaders that a DLP system is working properly,
  • Treat data as living, not static.

    Classification is a dynamic and circular process that involves both manual and automated processes. It is composed of two feedback loops that make it dynamic.

    The workflow for data classification starts at the point of data creationand align with the three levels of classification.
  • Big Data & contrôle des données

    1. 1. Journée stratégique CLUSIS 23.01.2015 © UDITIS SA @SDroxler Atelier Big Data - Contrôle des données
    2. 2. Cybercriminalité Pouvoir Idéalisme Argent
    3. 3. 34.40% 28.50% 27.30% 5.90% 2.40% 1.60% Hackers Publication accidentelle Perte de laptop / DD Fraude interne Inconnu Fraude externe Principales causes de pertes de données (nombre d’incidents) Source: Internet Security Threat Report 2014, Symantec 61.7%
    4. 4. CEO  CISO Sommes-nous protégés ? Que font nos concurrents ?
    5. 5. Challenges RISQUE ET SECURITE CONFIDENTIAL
    6. 6. Challenges Business just wants to do business
    7. 7. Enjeux Réputation Clients
    8. 8. Enjeux 49% 47% 45% 40% 39% 25% 35% 38% 37% 44% 36% 20% Achats en ligne Participer à un concours / sondage en ligne S'idenitifer sur un site web Partager infos pour accéder à du contenu en ligne (ex NYTimes.com) Ouvrir une pub email Télécharger une application A quel point êtes-vous sensible à vos données personnelles, leur sécurité et protection lorsque vous faîtes l’une des actions suivantes: (participants ayant répondu 4 ou 5 sur une échelle de 1 [pas du tout préoccupé] à 5 [très concerné] US EU-7 Source: North American Technographics Online Benchmark Survey Q3-12 & European Technographics Consumer Technology Online Survey Q4-12
    9. 9. Enjeux Réputation Clients IP
    10. 10. Enjeux Réputation Clients IP
    11. 11. Une approche en trois étapes 27.01.2015 © UDITIS SA @SDroxler
    12. 12. IDENTIFIER DISSEQUER DEFENDRE
    13. 13. Enjeux 3’ Données sensibles traitées au sein de votre entreprise ?
    14. 14. Démarche 3P + IP = TD PCI PHI PII Intellectual property Toxic Data Source: Forrester Research Inc, « Strategy Deep Dive: Define your Data »
    15. 15. Démarche IDENTIFIER Découverte Classification Data ID Source: Forrester Research Inc, « Strategy Deep Dive: Define your Data »
    16. 16. Schéma typique de classification Source: Forrester Research Inc, « Strategy Deep Dive: Define your Data » # Level Description 1 Public Anything not company-internal 2 Internal Internal but not for public release 3 Confidential Not for distribution (memos, plans, strategy, …) … Additional classifcation levels as appropriate X Restricted Highly compartimentalized (salaries, regulatory information, …)
    17. 17. Radioactive Toxic Unclassified Classification à trois niveaux Source: Forrester Research Inc, « Strategy Deep Dive: Define your Data »
    18. 18. Rôles Créateur Propriétaire Utilisateur Auditeur Comment ça marche? Intéressé à en savoir plus. Les cinq slides suivants sont disponibles sur simple demande à: stephane.droxler@uditis.ch ou @SDroxler
    19. 19. Démarche IDENTIFIER DISSEQUER Découverte Classification Data ID Analyse Principes audit Renseignement Implications Managers Aligner priorités et investissements Technologies disponibles (eDiscovery, DLP, NAV, encryption, classification, …)
    20. 20. Créateur / propriétaire Entreprise - Partenaires - Clients Relation à la donnée Propriété Gardien Risque Perte engendrerait un dégât stratégique Contractuel, légal Conséquence Perte de revenus Coûts supplémentaires Question clé Qui doit savoir ? Pourquoi la donnée circule t’elle ? Priorité - Maîtriser la circulation - Réduire les abus - Bloquer la circulation - Réduire l’usage Protection Chiffrement Data Loss Prevention Adapted fromby: Forrester Research Inc, « Strategy Deep Dive: Define your Data » Principe d’audit
    21. 21. Démarche IDENTIFIER DISSEQUER DEFENDRE Découverte Classification Data ID Analyse Protection & contrôle données Principes audit Analyse Implications Accès Usage Archivage ‘Kill’
    22. 22. DEFENDRE Accès Usage Archivage ‘Kill’ PCI DSS Reqs 7,8,9 ISO 27002 § 11 PCI DSS Req 10 ISO 27002 § 10.10 PCI DSS Req 3 ISO 27002 § 9.2.6 § 10.7.2 § 15.1.3 PCI DSS Reqs 3,4 ISO 27002 § 12.3 § 10.5.1 § 15.1.6
    23. 23. CEO  CISO Sommes-nous protégés ?
    24. 24. IDENTIFIER DISSEQUER DEFENDRE Découverte Classification Data ID Analyse Protection & contrôle données Principes audit Analyse Implications Accès Usage Archivage ‘Kill’ On sait… What we have Why + Where we have it & Who is using it How to protect it
    25. 25. CEO  CISO Que font nos concurrents ?
    26. 26. Grille de maturité InfoSec DiU DiM DaR DISCOVER CLASSIFY CONSOLIDATE DESIGN ENFORCE Non adressé Ponctuel, non consistent Répétable, non documenté, occasionnel Défini, documenté, prévisible Mesuré, formalisé, automatisé Optimisé, proactif
    27. 27. Stéphane Droxler Associé UDITIS SA Executive Master in Economic Crime Investigation Economiste d’entreprise ESCEA Tél. +41 32 557 55 01 / Mobile +41 79 458 43 69 stephane.droxler@uditis.ch http://www.uditis-forensic.blogspot.ch http://ch.linkedin.com/in/stephanedroxler/

    ×