SlideShare une entreprise Scribd logo
Sécurité opérationnelle
Gestion et implantation de la sécurité
dans les projets d'intelligence d’affaires (BI)

                                      Youssef Loudiyi
                                       BI Expertise
Gestion et implantation de la sécurité dans les
                      projets d'intelligence d'affaires

 La problématique
  • Démocratisation et opérationnalisation du BI
   => comment sécuriser les environnements et les
  systèmes BI
  • Un enjeu, ne fournir à chaque employé que
  l’information pertinente compte tenu de son profil
  •Problématique des environnements de
  développements et de tests
  •Basée sur des exemples réels, une approche et une
  méthodologie permettant de bâtir un modèle de
  sécurité robuste, efficace et évolutif pour les
  applications BI ainsi que des « best pratices » pour
  gérer les environnements BI.
Gestion et implantation de la sécurité dans les
                    projets d'intelligence d'affaires


 Conférencier
  •15 ans en TI, SAP R/3 & BW, PeopleSoft,
  JD Edwards
  •10 ans en Business Intelligence,
  (Datawarehousing, Enterprise Information
  Integration, Enterprise Performance
  Management, etc …)
  •Spécialisation ces 4 dernières années en
  BI dans le domaine des services financiers
  et bancaires
                          Youssef Loudiyi
                           BI Expertise
Gestion et implantation de la sécurité dans les
                   projets d'intelligence d'affaires


 Agenda
  •Obligations légales
  •Rappel sur les systèmes BI
  •Planifier la Sécurité et la confidentialité
  •Gestion du projet BI
  •Gestion des environnements BI


                         Youssef Loudiyi
                          BI Expertise
Gestion et implantation de la sécurité
                 dans les projets d'intelligence d'affaires

 Pourquoi sécuriser le BI ?
• Obligations légales (HIPAA, SOX-C198, CNIL, …)
• Risque d’affaires (externe)
   – ex:divulgation des objectifs à la concurrence
• Risque organisationnel (interne)
   – ex:divulgation des salaires
• Risque réputationnel
   – ex:divulgation des données clients
• Risque opérationnel
   – ex: corruption des données

                           BI Expertise
Gestion et implantation de la sécurité
                               dans les projets d'intelligence d'affaires

 Pourquoi sécuriser le BI ?
       Name of Regulation            Type                                   Purpose
 Gramm-Leach-Bliley (Privacy                       Provide customers with privacy notices on the financial
                                  Federal
 Rule)                                             institution’s information collection and sharing practices
 Gramm-Leach-Bliley (Safeguards                    Protect the confidentiality and integrity of personal
                                  Federal
 Rule)                                             information
 HIPAA                            Federal          Ensure the privacy of medical information
                                  State            Disclose any breach of security involving computerized
 SB 1386
                                  (California)     customer data to the affected individual
                                  State            Protect personal information in a computerized medium
 AB 1950
                                  (California)     from unauthorized access, use, etc.
                                  State            Protect the unauthorized listing of customer’s mobile
 HR 3558 (pending)
                                  (California)     phone numbers in a wireless directory
 EU data protection laws—         European         Enforces the fundamental rights and freedoms of
 Directive 95/46/EC               Union            European citizens, especially the right to privacy


           Summary of privacy regulations – (Raymond J. Elson and Rey LeClerc)




                                                 BI Expertise
Gestion et implantation de la sécurité
                     dans les projets d'intelligence d'affaires

 Pourquoi sécuriser le BI ?
• Un exemple au Québec
• Exigences minimales relatives à la sécurité des
  dossiers informatisés des usagers du réseau de la
  Santé et des Services sociaux (AVRIL 1992)
• La confidentialité des renseignements nominatifs
  et leur communication
   – Le dossier des usagers est soumis à la plus stricte
     confidentialité. L’article 53 de la Loi sur l'accès et l’article
     19 de la Loi sur les services de santé et les services sociaux
     stipulent qu’aucun renseignement ne peut être tiré du
     dossier sans le consentement de l’individu concerné.


                                  BI Expertise
Intelligence d’affaires

 Évolution ou Révolution …



            Youssef Loudiyi
             BI Expertise
Un exemple:
   le reporting financier
Un processus bien souvent manuel …
Un processus Manuel
              Règles d’affaire




Grand Livre                       Utilisateur
               Règles d’affaire

                                                                EXCEL Files
                                                                Temporaires              Consolidation
Facturation
              Règles d’affaire Utilisateur



                                                  Règles d’affaire
  Autres
 systèmes                           Utilisateur




  65 % des grandes organisations
  utilisent un processus manuel                                       Fichiers EXCEL Finaux
  pour des composantes critiques
                                                                              Weekly
  du reporting financier                                                      Monthly
                                                                              Yearly
  -AMR Research 02#2005-
Reporting Manuel - Problématique

• Processus d’extraction
    –   Propriétaire
    –   Requête SQL spécifique
    –   Inconsistent
    –   Dépendant de l’utilisateur
    –   Non-reproductible
• Gestion des Règles d’affaire
    –   Enfouies dans les requêtes SQL
    –   Mais aussi dans les fichiers Excel
    –   Instables et maintenues manuellement
    –   Dépendant de l’utilisateur
• Processus coûteux en ressources et temps
    – 1 à 10 FTE
• Presentation and publication process
    – Excel
    – E-mail
Intelligence d’affaires
 Définitions
- « Business Intelligence is a set of tools (…)
enabling the delivery of information to decision
makers » (Meta Group)

- « The processes, technologies and tools needed
to turn data into information, information into
knowledge, and knowledge into plans that drive
profitable business action » (TDWI)
Intelligence d’affaires
 Définitions
  • Entrepôt(s) de données
  • Analyse multidimensionnelle
  • Requêtes ad hoc & reporting
  • Statistiques & Analyse prédictive
  • Alertes & notifications
  • Dashboards & Scorecards
  •Gestion de la Performance
Intelligence d’affaires
 Le marché

                           Source : METAspectrum
                           META Group, 2004
Intelligence d’affaires
 Le marché
    Magic Quadrant for Business Intelligence Platforms, 2008




                                            Source:
                                            Gartner (January 2008)
Intelligence d’affaires
 Le marché
    Magic Quadrant for Business Intelligence Platforms, 2008

                                         Hyperion  Oracle
                                         ProClarity  Microsoft
                                         Cognos  IBM
                                         Business Objects  SAP



                                          Source:
                                          Gartner (January 2008)
Intelligence d’affaires
 Cadre d’analyse
 - utilisateurs                               - données
                          Stratégique


                           Scorecards
                           Dashboards
                           Statistiques
                         Analyse prédictive

                              Analyse
                        multidimensionnelle
                             Alertes
                           Notifications
                           Reporting
 + utilisateurs         Requêtes ad hoc       + données
                         Opérationnel
Évolution de l’Intelligence d’affaires


 Une brève histoire...
- Enjeux historiques :

   - Référentiel unique
   - Homogène et fiable
   - Historique
   - Orienté utilisateur
Évolution de l’Intelligence d’affaires
 Une brève histoire...
Les systèmes décisionnels dans le temps :

  •   Infocentres
  •   Entrepôts de données
  •   Bases multidimensionnelles
  •   Data Mining
Intelligence d’affaires
 Acronymes
- OLTP : On Line Transaction Processing
- OLAP : On Line Analytical Processing
- ODS : Operational Data Store
- DWH : Data Warehouse
- DM : Data Mart
- EIS : Executive Information Systems
- BPM : Business Performance Measurement
- CPM : Corporate Performance Management
Un processus Manuel
              Règles d’affaire




Grand Livre                       Utilisateur
               Règles d’affaire

                                                                EXCEL Files
                                                                Temporaires              Consolidation
Facturation
              Règles d’affaire Utilisateur



                                                  Règles d’affaire
  Autres
 systèmes                           Utilisateur




  65 % des grandes organisations
  utilisent un processus manuel                                       Fichiers EXCEL Finaux
  pour des composantes critiques
                                                                              Weekly
  du reporting financier                                                      Monthly
                                                                              Yearly
  -AMR Research 02#2005-
L’intelligence d’affaire: une solution
                                            Reporting Corporatif & Analyses adhoc         Gestion
        Tableau de bord
                                            •Standardisation                                des
      Métriques Financières                                  •Analyses détaillées       Métadonnées
•Vue Consolidée                             des rapports        •Drill-down
•Visibilité en temps réel                   •Environnement      •Drill-through
                                            collaboratif
•Alertes sur les exceptions ou Écarts
                                            •Accès sécurisé
                                                                                       Définitions
                                                                                       Règles d’affaire
                            Entrepôt de données corporatif
                                                                                       Contrôles
                      •Consolidation des données de sources multiples
                                                                                       Rapports
                      •Gestion des flux de données
                      •Intégration des données
                      •Gestion de la qualité des données




                             Comptes                                 Autres Systèmes
 Grand Livre                                      Facturation
                            Fournisseurs                             Transactionnels


                                Source: Infosys Research
Un exemple de plateforme
                                   d’intelligence d’affaires
 SYSTEMES                                           PLATEFORME DE
                   ENTREPOT DE                       PRÉSENTATION      UTILISATEURS
OPERATIONELS
                     DONNÉES          DATA MARTS       DIFFUSION      INTRANET WEB




  Grand Livre

                                       DATA MARTs
                  DATA WAREHOUSE




                                                        BUSINESS
  Facturation
                                                      INTELLIGENCE
                                                         SERVER



                       ETL                                            RAPPORTS CORPORATIFS
                                                                      ANALYSES
Gestion Clients
                                                                          Drill-down
                     Extraction
                                                                          Drill-through
                   Transformation
                                                                          Incident causes
                    Chargement        CUBES OLAP       RÉFÉRENTIEL        Trends
Planifier la sécurité dans le domaine
     de l’Intelligence d’Affaires
     Quelle approche choisir ?
Sécurité et Intelligence d’affaires
                    Conformité aux
                différentes législations




Flexibilité nécessaire                  Procédures de
 aux applications BI                   sécurité efficaces
Sécurité et Intelligence d’affaires


 5 axes de travail

 Définition d’une politique de sécurité
 Des procédures de sécurité efficaces
 Gestion de la sécurité logique
 Gestion de la sécurité physique
 Revue périodique des contrôles internes

        D’après Raymond J. Elson and Rey LeClerc - TDWI
Sécurité et Intelligence d’affaires
 5 Axes de travail

 Établir des politiques efficaces de confidentialité et
  de sécurité de l’information au niveau corporatif
    Authentification des utilisateurs
    Contrôle des accès
    Utilisation du cryptage
 Limiter l’accès physique aux serveurs
 Mettre en place des revues périodiques des
  contrôles internes de sécurité et de
 confidentialité
Sécurité et Intelligence d’affaires
 Définition d’une politique de sécurité(1)

 Implication de la Haute Direction
 Idéalement, mise en place d’une politique de
  la sécurité de l’information signée par le CEO
 Définition des exigences minimales de
  sécurité et de confidentialité pour la
  conception, l’implémentation, administration et
  utilisation de l’intelligence d’affaires au sein
  de l’organisation.
Sécurité et Intelligence d’affaires
 Définition d’une politique de sécurité (2)

 Elle doit définir clairement l’approche de
  l’organisation en termes de confidentialité de
  l’information client.
 La tolérance zéro devrait être la règle pour toute
  divulgation non-autorisée.
 Tous les membres de l’organisation doivent avoir
  pris connaissance de la politique de sécurité =>
  implications et responsabilisation au niveau
  individuel.
Sécurité et Intelligence d’affaires

 Définition d’une politique de sécurité (3)
 Communication claire: Intranet par exemple.
 Alignée sur la gestion des risques au niveau
  corporatif.
 Focus sur les risques associés à la sécurité et la
  confidentialité
 Évaluation des menaces potentielles
 Évaluation des faiblesses et vulnérabilités de
  l’organisation
 Conformité avec les obligations légales au
niveau local, régional, national et international.
Sécurité et Intelligence d’affaires

 Sécurité Logique

   Garantir l’accès aux seules personnes
   autorisées et uniquement à l’information qui
   leur est destinées.

   3 axes de travail:
     Authentification de l’utilisateur
     Contrôle des accès
     Cryptage des données
Sécurité et Intelligence d’affaires

 Sécurité Logique: Authentification

   On privilégera une approche SSO (Single-Sign-
   On)
   Il faut s’assurer que le serveur BI de
   présentation et de diffusion est compatible avec
   l’annuaire d’entreprise
      LDAP
      Active Directory
      Etc …
   Extranet: + risques
Sécurité et Intelligence d’affaires

 Sécurité Logique: contrôle des accès
   Read-only vs Insert, update, delete
   Au niveau de l’OS, de la base de données et de
   l’application BI
   Plusieurs technologies Row Level Security
   (RLS):
     Oracle VPD
     Business Objects (universe)
     Cognos …
Sécurité et Intelligence d’affaires
 Sécurité Logique: contrôle des accès et RLS
   Row Level Security (RLS):
     Permet de restreindre les lignes
     visibles par l’utilisateur
     Peut affecter la performance
     Requiert un critère granulaire pour
     pouvoir discriminer les lignes
     concernées
     Propre à chaque fournisseur
Sécurité et Intelligence d’affaires


 Sécurité Logique: gestion des mots de passe

     Si Web , utiliser des mots de passe d’une
     complexité adéquate
     Changement requis tous les 60-90 jours
     Déconnexion si inactivité (20 mn)
Sécurité et Intelligence d’affaires

 Sécurité Logique: cryptage des données(1)
     Une des meilleures défenses de
     l’environnement BI
     Utilisation à plusieurs niveaux
     particulièrement si c’est un accès web
     Confidentialité, intégrité et certification
     de l’information
Sécurité et Intelligence d’affaires
 Sécurité Logique: cryptage des données(2)
     Indispensable dans le domaine de la santé
     Utilisation à plusieurs niveaux , colonne,
     lignes, sert de défense dans le cas d’une
     attaque passive.
     Un exemple, le dossier patient, un
     numéro de carte de crédit, NAS, etc …
     Utilisation de clés privées
     ou publiques
Sécurité et Intelligence d’affaires

 Sécurité Logique: cryptage des données(3)
     Indispensable dans le domaine de la santé
     Mise en place en environnement de
     développement et test
     Prérequis pour le projet BI
     Prototype (POC) si c’est la première
     implantation
     Implémenter en amont de l’entrepôt de
     données pour minimiser le risque
     Délicat à gérer en maintenance
Sécurité et Intelligence d’affaires

 Sécurité Physique
     Concerne les serveurs et postes clients
     Particulièrement les data centers
     Les postes clients utilisés pour administrer
     et gérer les applications BI
     particulièrement les base de données BI.
Sécurité et Intelligence d’affaires
 Contrôles internes périodiques
     Vérificateur interne pour valider
     périodiquement la validité de la sécurité des
     environnements et applicatifs BI.
     Valider que la politique de confidentialité est
     connue et appliquer par tous les employés
     Les procédures de sécurité sont adéquates et
     efficaces
     Les failles de sécurité du BI sont surveillées
      et gérées dans les délais impartis.
     Les données clients sont protégées
     correctement
Sécurité et Intelligence d’affaires
 Les défis actuels en sécurité dans le BI
     Les informations des environnements BI sont
     devenues disponibles à partir de multiples
     applications clientes: laptop, téléphones
     cellulaires, blackberry, etc ….
     Les caches (Excel ?) utilisés par ces applications
     ainsi que la mobilité des utilisateurs augmentent
     le risque de façon inégalée.
     Toute organisation doit évaluer ce risque avant
     d’ouvrir les applications BI à ce type de
     terminaux
Un exemple de plateforme
                                   d’intelligence d’affaires
 SYSTEMES                                           PLATEFORME DE
                   ENTREPOT DE                       PRÉSENTATION      UTILISATEURS
OPERATIONELS
                     DONNÉES          DATA MARTS       DIFFUSION      INTRANET WEB




                    Cryptage


  Grand Livre
                                                                       Cryptage
                                       DATA MARTs
                  DATA WAREHOUSE




                                                        BUSINESS
  Facturation
                                                      INTELLIGENCE
                                                         SERVER



                       ETL                                            RAPPORTS CORPORATIFS
                                                                      ANALYSES
Gestion Clients
                                                                          Drill-down
                     Extraction
                                                                          Drill-through
                   Transformation
                                                                          Incident causes
                    Chargement        CUBES OLAP       RÉFÉRENTIEL        Trends
Youssef Loudiyi

yl@biexpertise.com

www.biexpertise.com
Merci de votre attention !
Architecture proposée




      Source: DM Review 2004

Contenu connexe

Tendances

Business Intelligence : introduction to datawarehouse
Business Intelligence : introduction to datawarehouseBusiness Intelligence : introduction to datawarehouse
Business Intelligence : introduction to datawarehouse
Alexandre Equoy
 

Tendances (20)

Chap1 2 dw (1)
Chap1 2 dw (1)Chap1 2 dw (1)
Chap1 2 dw (1)
 
Big Data et Business Intelligence de A… Azure
Big Data et Business Intelligence de A… AzureBig Data et Business Intelligence de A… Azure
Big Data et Business Intelligence de A… Azure
 
Competitic simplifiez le pilotage de votre entreprise avec la business inte...
Competitic   simplifiez le pilotage de votre entreprise avec la business inte...Competitic   simplifiez le pilotage de votre entreprise avec la business inte...
Competitic simplifiez le pilotage de votre entreprise avec la business inte...
 
Bddwdm
BddwdmBddwdm
Bddwdm
 
Business Intelligence : Offres du marché et benchmarking
Business Intelligence : Offres du marché et benchmarkingBusiness Intelligence : Offres du marché et benchmarking
Business Intelligence : Offres du marché et benchmarking
 
La Business Intelligence
La Business Intelligence La Business Intelligence
La Business Intelligence
 
Business Intelligence au coeur de la décision
Business Intelligence au coeur de la décisionBusiness Intelligence au coeur de la décision
Business Intelligence au coeur de la décision
 
Bi agile : Réinventer le décisionnel d’entreprise pour répondre au plus près ...
Bi agile : Réinventer le décisionnel d’entreprise pour répondre au plus près ...Bi agile : Réinventer le décisionnel d’entreprise pour répondre au plus près ...
Bi agile : Réinventer le décisionnel d’entreprise pour répondre au plus près ...
 
Conception datawarehouse
Conception datawarehouseConception datawarehouse
Conception datawarehouse
 
Business Intelligence : Transformer les données en information.
Business Intelligence : Transformer les données en information.Business Intelligence : Transformer les données en information.
Business Intelligence : Transformer les données en information.
 
Présentation offre SmartBigData 2012
Présentation offre SmartBigData 2012Présentation offre SmartBigData 2012
Présentation offre SmartBigData 2012
 
Présentation 6 IT 2016
Présentation 6 IT 2016Présentation 6 IT 2016
Présentation 6 IT 2016
 
Présentation bi 1.0
Présentation bi 1.0Présentation bi 1.0
Présentation bi 1.0
 
Chp2 - Les Entrepôts de Données
Chp2 - Les Entrepôts de DonnéesChp2 - Les Entrepôts de Données
Chp2 - Les Entrepôts de Données
 
Resume de BI
Resume de BIResume de BI
Resume de BI
 
Business Intelligence : Faire parler les informations.
Business Intelligence : Faire parler les informations.Business Intelligence : Faire parler les informations.
Business Intelligence : Faire parler les informations.
 
Business Intelligence : introduction to datawarehouse
Business Intelligence : introduction to datawarehouseBusiness Intelligence : introduction to datawarehouse
Business Intelligence : introduction to datawarehouse
 
Comment Choisir Votre Solution BI
Comment Choisir Votre Solution BIComment Choisir Votre Solution BI
Comment Choisir Votre Solution BI
 
Etat de l’art approche et outils BI
Etat de l’art approche et outils BIEtat de l’art approche et outils BI
Etat de l’art approche et outils BI
 
Business intelligence
Business intelligenceBusiness intelligence
Business intelligence
 

Similaire à Gestion et implantation de la sécurité dans les projets d\'intelligence d\'affaires

Big Data, Charles Huot, Aproged,février 2013
Big Data, Charles Huot, Aproged,février 2013Big Data, Charles Huot, Aproged,février 2013
Big Data, Charles Huot, Aproged,février 2013
ADBS
 
Bluemix Paris Meetup : Big data et Analytics - 15 avril 2015
Bluemix Paris Meetup :  Big data et Analytics - 15 avril 2015Bluemix Paris Meetup :  Big data et Analytics - 15 avril 2015
Bluemix Paris Meetup : Big data et Analytics - 15 avril 2015
IBM France Lab
 
1 intro-id-2013
1 intro-id-20131 intro-id-2013
1 intro-id-2013
flomerie
 
wskhlfdm,dsl,sfl
wskhlfdm,dsl,sflwskhlfdm,dsl,sfl
wskhlfdm,dsl,sfl
coconimal
 

Similaire à Gestion et implantation de la sécurité dans les projets d\'intelligence d\'affaires (20)

IBM Data lake
IBM Data lakeIBM Data lake
IBM Data lake
 
Matinales performance 2010
Matinales performance 2010Matinales performance 2010
Matinales performance 2010
 
Quel est l'avenir des stratégies de données?
Quel est l'avenir des stratégies de données?Quel est l'avenir des stratégies de données?
Quel est l'avenir des stratégies de données?
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
 
#NSD14 - La sécurité autour du Big Data
#NSD14 - La sécurité autour du Big Data#NSD14 - La sécurité autour du Big Data
#NSD14 - La sécurité autour du Big Data
 
Introduction aux systèmes d’information des entreprises
Introduction aux systèmes d’information des entreprisesIntroduction aux systèmes d’information des entreprises
Introduction aux systèmes d’information des entreprises
 
Big Data, Charles Huot, Aproged,février 2013
Big Data, Charles Huot, Aproged,février 2013Big Data, Charles Huot, Aproged,février 2013
Big Data, Charles Huot, Aproged,février 2013
 
Bluemix Paris Meetup : Big data et Analytics - 15 avril 2015
Bluemix Paris Meetup :  Big data et Analytics - 15 avril 2015Bluemix Paris Meetup :  Big data et Analytics - 15 avril 2015
Bluemix Paris Meetup : Big data et Analytics - 15 avril 2015
 
Big data en (ré)assurance régis delayet
Big data en (ré)assurance   régis delayetBig data en (ré)assurance   régis delayet
Big data en (ré)assurance régis delayet
 
1 intro-id-2013
1 intro-id-20131 intro-id-2013
1 intro-id-2013
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
 
Pilotage & Performance 2012
Pilotage & Performance 2012Pilotage & Performance 2012
Pilotage & Performance 2012
 
wskhlfdm,dsl,sfl
wskhlfdm,dsl,sflwskhlfdm,dsl,sfl
wskhlfdm,dsl,sfl
 
Décisionnel Agile : les conditions du succès
Décisionnel Agile : les conditions du succèsDécisionnel Agile : les conditions du succès
Décisionnel Agile : les conditions du succès
 
Réinventez votre stratégie de données en 2021 avec la Data Virtualization
Réinventez votre stratégie de données en 2021 avec la Data VirtualizationRéinventez votre stratégie de données en 2021 avec la Data Virtualization
Réinventez votre stratégie de données en 2021 avec la Data Virtualization
 
[Fr] Information builders - MDM et Big Data
[Fr] Information builders - MDM et Big Data[Fr] Information builders - MDM et Big Data
[Fr] Information builders - MDM et Big Data
 
Matinales du MDM 2011
Matinales du MDM 2011Matinales du MDM 2011
Matinales du MDM 2011
 
Business intelligence QLIKVIEW
Business intelligence QLIKVIEWBusiness intelligence QLIKVIEW
Business intelligence QLIKVIEW
 
Une Introduction Au Bpm 1.1
Une Introduction Au Bpm 1.1Une Introduction Au Bpm 1.1
Une Introduction Au Bpm 1.1
 
Chap1et2-IntroED (2 aaaaaaaaaaaaaaaa).pdf
Chap1et2-IntroED (2 aaaaaaaaaaaaaaaa).pdfChap1et2-IntroED (2 aaaaaaaaaaaaaaaa).pdf
Chap1et2-IntroED (2 aaaaaaaaaaaaaaaa).pdf
 

Gestion et implantation de la sécurité dans les projets d\'intelligence d\'affaires

  • 1. Sécurité opérationnelle Gestion et implantation de la sécurité dans les projets d'intelligence d’affaires (BI) Youssef Loudiyi BI Expertise
  • 2. Gestion et implantation de la sécurité dans les projets d'intelligence d'affaires  La problématique • Démocratisation et opérationnalisation du BI => comment sécuriser les environnements et les systèmes BI • Un enjeu, ne fournir à chaque employé que l’information pertinente compte tenu de son profil •Problématique des environnements de développements et de tests •Basée sur des exemples réels, une approche et une méthodologie permettant de bâtir un modèle de sécurité robuste, efficace et évolutif pour les applications BI ainsi que des « best pratices » pour gérer les environnements BI.
  • 3. Gestion et implantation de la sécurité dans les projets d'intelligence d'affaires  Conférencier •15 ans en TI, SAP R/3 & BW, PeopleSoft, JD Edwards •10 ans en Business Intelligence, (Datawarehousing, Enterprise Information Integration, Enterprise Performance Management, etc …) •Spécialisation ces 4 dernières années en BI dans le domaine des services financiers et bancaires Youssef Loudiyi BI Expertise
  • 4. Gestion et implantation de la sécurité dans les projets d'intelligence d'affaires  Agenda •Obligations légales •Rappel sur les systèmes BI •Planifier la Sécurité et la confidentialité •Gestion du projet BI •Gestion des environnements BI Youssef Loudiyi BI Expertise
  • 5. Gestion et implantation de la sécurité dans les projets d'intelligence d'affaires  Pourquoi sécuriser le BI ? • Obligations légales (HIPAA, SOX-C198, CNIL, …) • Risque d’affaires (externe) – ex:divulgation des objectifs à la concurrence • Risque organisationnel (interne) – ex:divulgation des salaires • Risque réputationnel – ex:divulgation des données clients • Risque opérationnel – ex: corruption des données BI Expertise
  • 6. Gestion et implantation de la sécurité dans les projets d'intelligence d'affaires  Pourquoi sécuriser le BI ? Name of Regulation Type Purpose Gramm-Leach-Bliley (Privacy Provide customers with privacy notices on the financial Federal Rule) institution’s information collection and sharing practices Gramm-Leach-Bliley (Safeguards Protect the confidentiality and integrity of personal Federal Rule) information HIPAA Federal Ensure the privacy of medical information State Disclose any breach of security involving computerized SB 1386 (California) customer data to the affected individual State Protect personal information in a computerized medium AB 1950 (California) from unauthorized access, use, etc. State Protect the unauthorized listing of customer’s mobile HR 3558 (pending) (California) phone numbers in a wireless directory EU data protection laws— European Enforces the fundamental rights and freedoms of Directive 95/46/EC Union European citizens, especially the right to privacy Summary of privacy regulations – (Raymond J. Elson and Rey LeClerc) BI Expertise
  • 7. Gestion et implantation de la sécurité dans les projets d'intelligence d'affaires  Pourquoi sécuriser le BI ? • Un exemple au Québec • Exigences minimales relatives à la sécurité des dossiers informatisés des usagers du réseau de la Santé et des Services sociaux (AVRIL 1992) • La confidentialité des renseignements nominatifs et leur communication – Le dossier des usagers est soumis à la plus stricte confidentialité. L’article 53 de la Loi sur l'accès et l’article 19 de la Loi sur les services de santé et les services sociaux stipulent qu’aucun renseignement ne peut être tiré du dossier sans le consentement de l’individu concerné. BI Expertise
  • 8.
  • 9. Intelligence d’affaires Évolution ou Révolution … Youssef Loudiyi BI Expertise
  • 10. Un exemple: le reporting financier Un processus bien souvent manuel …
  • 11. Un processus Manuel Règles d’affaire Grand Livre Utilisateur Règles d’affaire EXCEL Files Temporaires Consolidation Facturation Règles d’affaire Utilisateur Règles d’affaire Autres systèmes Utilisateur 65 % des grandes organisations utilisent un processus manuel Fichiers EXCEL Finaux pour des composantes critiques Weekly du reporting financier Monthly Yearly -AMR Research 02#2005-
  • 12. Reporting Manuel - Problématique • Processus d’extraction – Propriétaire – Requête SQL spécifique – Inconsistent – Dépendant de l’utilisateur – Non-reproductible • Gestion des Règles d’affaire – Enfouies dans les requêtes SQL – Mais aussi dans les fichiers Excel – Instables et maintenues manuellement – Dépendant de l’utilisateur • Processus coûteux en ressources et temps – 1 à 10 FTE • Presentation and publication process – Excel – E-mail
  • 13. Intelligence d’affaires  Définitions - « Business Intelligence is a set of tools (…) enabling the delivery of information to decision makers » (Meta Group) - « The processes, technologies and tools needed to turn data into information, information into knowledge, and knowledge into plans that drive profitable business action » (TDWI)
  • 14. Intelligence d’affaires  Définitions • Entrepôt(s) de données • Analyse multidimensionnelle • Requêtes ad hoc & reporting • Statistiques & Analyse prédictive • Alertes & notifications • Dashboards & Scorecards •Gestion de la Performance
  • 15. Intelligence d’affaires  Le marché Source : METAspectrum META Group, 2004
  • 16. Intelligence d’affaires  Le marché Magic Quadrant for Business Intelligence Platforms, 2008 Source: Gartner (January 2008)
  • 17. Intelligence d’affaires  Le marché Magic Quadrant for Business Intelligence Platforms, 2008 Hyperion  Oracle ProClarity  Microsoft Cognos  IBM Business Objects  SAP Source: Gartner (January 2008)
  • 18. Intelligence d’affaires  Cadre d’analyse - utilisateurs - données Stratégique Scorecards Dashboards Statistiques Analyse prédictive Analyse multidimensionnelle Alertes Notifications Reporting + utilisateurs Requêtes ad hoc + données Opérationnel
  • 19. Évolution de l’Intelligence d’affaires  Une brève histoire... - Enjeux historiques : - Référentiel unique - Homogène et fiable - Historique - Orienté utilisateur
  • 20. Évolution de l’Intelligence d’affaires  Une brève histoire... Les systèmes décisionnels dans le temps : • Infocentres • Entrepôts de données • Bases multidimensionnelles • Data Mining
  • 21. Intelligence d’affaires  Acronymes - OLTP : On Line Transaction Processing - OLAP : On Line Analytical Processing - ODS : Operational Data Store - DWH : Data Warehouse - DM : Data Mart - EIS : Executive Information Systems - BPM : Business Performance Measurement - CPM : Corporate Performance Management
  • 22. Un processus Manuel Règles d’affaire Grand Livre Utilisateur Règles d’affaire EXCEL Files Temporaires Consolidation Facturation Règles d’affaire Utilisateur Règles d’affaire Autres systèmes Utilisateur 65 % des grandes organisations utilisent un processus manuel Fichiers EXCEL Finaux pour des composantes critiques Weekly du reporting financier Monthly Yearly -AMR Research 02#2005-
  • 23. L’intelligence d’affaire: une solution Reporting Corporatif & Analyses adhoc Gestion Tableau de bord •Standardisation des Métriques Financières •Analyses détaillées Métadonnées •Vue Consolidée des rapports •Drill-down •Visibilité en temps réel •Environnement •Drill-through collaboratif •Alertes sur les exceptions ou Écarts •Accès sécurisé Définitions Règles d’affaire Entrepôt de données corporatif Contrôles •Consolidation des données de sources multiples Rapports •Gestion des flux de données •Intégration des données •Gestion de la qualité des données Comptes Autres Systèmes Grand Livre Facturation Fournisseurs Transactionnels Source: Infosys Research
  • 24. Un exemple de plateforme d’intelligence d’affaires SYSTEMES PLATEFORME DE ENTREPOT DE PRÉSENTATION UTILISATEURS OPERATIONELS DONNÉES DATA MARTS DIFFUSION INTRANET WEB Grand Livre DATA MARTs DATA WAREHOUSE BUSINESS Facturation INTELLIGENCE SERVER ETL  RAPPORTS CORPORATIFS  ANALYSES Gestion Clients  Drill-down Extraction  Drill-through Transformation  Incident causes Chargement CUBES OLAP RÉFÉRENTIEL  Trends
  • 25. Planifier la sécurité dans le domaine de l’Intelligence d’Affaires Quelle approche choisir ?
  • 26. Sécurité et Intelligence d’affaires Conformité aux différentes législations Flexibilité nécessaire Procédures de aux applications BI sécurité efficaces
  • 27. Sécurité et Intelligence d’affaires  5 axes de travail  Définition d’une politique de sécurité  Des procédures de sécurité efficaces  Gestion de la sécurité logique  Gestion de la sécurité physique  Revue périodique des contrôles internes D’après Raymond J. Elson and Rey LeClerc - TDWI
  • 28. Sécurité et Intelligence d’affaires  5 Axes de travail  Établir des politiques efficaces de confidentialité et de sécurité de l’information au niveau corporatif Authentification des utilisateurs Contrôle des accès Utilisation du cryptage  Limiter l’accès physique aux serveurs  Mettre en place des revues périodiques des contrôles internes de sécurité et de  confidentialité
  • 29. Sécurité et Intelligence d’affaires  Définition d’une politique de sécurité(1)  Implication de la Haute Direction  Idéalement, mise en place d’une politique de la sécurité de l’information signée par le CEO  Définition des exigences minimales de sécurité et de confidentialité pour la conception, l’implémentation, administration et utilisation de l’intelligence d’affaires au sein de l’organisation.
  • 30. Sécurité et Intelligence d’affaires  Définition d’une politique de sécurité (2)  Elle doit définir clairement l’approche de l’organisation en termes de confidentialité de l’information client.  La tolérance zéro devrait être la règle pour toute divulgation non-autorisée.  Tous les membres de l’organisation doivent avoir pris connaissance de la politique de sécurité => implications et responsabilisation au niveau individuel.
  • 31. Sécurité et Intelligence d’affaires  Définition d’une politique de sécurité (3)  Communication claire: Intranet par exemple.  Alignée sur la gestion des risques au niveau corporatif.  Focus sur les risques associés à la sécurité et la confidentialité  Évaluation des menaces potentielles  Évaluation des faiblesses et vulnérabilités de l’organisation  Conformité avec les obligations légales au niveau local, régional, national et international.
  • 32. Sécurité et Intelligence d’affaires  Sécurité Logique Garantir l’accès aux seules personnes autorisées et uniquement à l’information qui leur est destinées. 3 axes de travail: Authentification de l’utilisateur Contrôle des accès Cryptage des données
  • 33. Sécurité et Intelligence d’affaires  Sécurité Logique: Authentification On privilégera une approche SSO (Single-Sign- On) Il faut s’assurer que le serveur BI de présentation et de diffusion est compatible avec l’annuaire d’entreprise LDAP Active Directory Etc … Extranet: + risques
  • 34. Sécurité et Intelligence d’affaires  Sécurité Logique: contrôle des accès Read-only vs Insert, update, delete Au niveau de l’OS, de la base de données et de l’application BI Plusieurs technologies Row Level Security (RLS): Oracle VPD Business Objects (universe) Cognos …
  • 35. Sécurité et Intelligence d’affaires  Sécurité Logique: contrôle des accès et RLS Row Level Security (RLS): Permet de restreindre les lignes visibles par l’utilisateur Peut affecter la performance Requiert un critère granulaire pour pouvoir discriminer les lignes concernées Propre à chaque fournisseur
  • 36. Sécurité et Intelligence d’affaires  Sécurité Logique: gestion des mots de passe Si Web , utiliser des mots de passe d’une complexité adéquate Changement requis tous les 60-90 jours Déconnexion si inactivité (20 mn)
  • 37. Sécurité et Intelligence d’affaires  Sécurité Logique: cryptage des données(1) Une des meilleures défenses de l’environnement BI Utilisation à plusieurs niveaux particulièrement si c’est un accès web Confidentialité, intégrité et certification de l’information
  • 38. Sécurité et Intelligence d’affaires  Sécurité Logique: cryptage des données(2) Indispensable dans le domaine de la santé Utilisation à plusieurs niveaux , colonne, lignes, sert de défense dans le cas d’une attaque passive. Un exemple, le dossier patient, un numéro de carte de crédit, NAS, etc … Utilisation de clés privées ou publiques
  • 39. Sécurité et Intelligence d’affaires  Sécurité Logique: cryptage des données(3) Indispensable dans le domaine de la santé Mise en place en environnement de développement et test Prérequis pour le projet BI Prototype (POC) si c’est la première implantation Implémenter en amont de l’entrepôt de données pour minimiser le risque Délicat à gérer en maintenance
  • 40. Sécurité et Intelligence d’affaires  Sécurité Physique Concerne les serveurs et postes clients Particulièrement les data centers Les postes clients utilisés pour administrer et gérer les applications BI particulièrement les base de données BI.
  • 41. Sécurité et Intelligence d’affaires  Contrôles internes périodiques Vérificateur interne pour valider périodiquement la validité de la sécurité des environnements et applicatifs BI. Valider que la politique de confidentialité est connue et appliquer par tous les employés Les procédures de sécurité sont adéquates et efficaces Les failles de sécurité du BI sont surveillées et gérées dans les délais impartis. Les données clients sont protégées correctement
  • 42. Sécurité et Intelligence d’affaires  Les défis actuels en sécurité dans le BI Les informations des environnements BI sont devenues disponibles à partir de multiples applications clientes: laptop, téléphones cellulaires, blackberry, etc …. Les caches (Excel ?) utilisés par ces applications ainsi que la mobilité des utilisateurs augmentent le risque de façon inégalée. Toute organisation doit évaluer ce risque avant d’ouvrir les applications BI à ce type de terminaux
  • 43. Un exemple de plateforme d’intelligence d’affaires SYSTEMES PLATEFORME DE ENTREPOT DE PRÉSENTATION UTILISATEURS OPERATIONELS DONNÉES DATA MARTS DIFFUSION INTRANET WEB Cryptage Grand Livre Cryptage DATA MARTs DATA WAREHOUSE BUSINESS Facturation INTELLIGENCE SERVER ETL  RAPPORTS CORPORATIFS  ANALYSES Gestion Clients  Drill-down Extraction  Drill-through Transformation  Incident causes Chargement CUBES OLAP RÉFÉRENTIEL  Trends
  • 45. Merci de votre attention !
  • 46. Architecture proposée Source: DM Review 2004