Encore au sommet du peak of expectationsdu Gartner l’année dernière, le « Big Data » est toujours l’un des sujets d’intérêt majeur de 2014. Il ne se passe pas une
semaine sans qu’un nouvel acteur présente une solution Big Data innovante, ou qu’un géant de l’informatique annonce un partenariat avec une start-up spécialisée dans le sujet, si ce n’est son rachat. Difficile dans ce contexte de savoir quelle position adopter… Pour le Responsable Sécurité ou le Risk Manager, il est pourtant possible voire nécessaire de se préparer à un phénomène qui a d’ores et déjà dépassé le stade du discours marketing.
1. FOCUS SOLUCOM
BIG DATA et securité :
PROTéGER SANS FREINER !
ncore au sommet du peak of expectations
du Gartner l’année dernière, le « Big
Data » est toujours l’un des sujets d’inté-rêt
majeur de 2014. Il ne se passe pas une
semaine sans qu’un nouvel acteur pré-sente
e
une solution Big Data innovante, ou qu’un géant
de l’informatique annonce un partenariat avec une
start-up spécialisée dans le sujet, si ce n’est son rachat.
Difficile dans ce contexte de savoir quelle posi-tion
adopter… Pour le Responsable Sécurité ou le
Risk Manager, il est pourtant possible voire néces-saire
de se préparer à un phénomène qui a d’ores
et déjà dépassé le stade du discours marketing.
Le Big Data, un concept aux frontières encore mouvantes
Tout le monde s’accorde aujourd’hui sur une définition du Big Data qui
tourne autour du critère dit « des 3V » (pour volume, variété, vélocité). Du
point de vue de la sécurité, on peut les analyser de la manière suivante :
• Volume : la quantité de données à stocker, traiter et protéger tout au long de
leur cycle de vie est d’un ordre nouveau par rapport aux bases de données
actuelles. Nous sommes entrés dans l’ère du zettaoctet, soit 1012 gigaoctets.
AUTEUR
CHADI hantouche
Manager au sein de la practice
Risk Management et Sécurité.
Depuis 8 ans, il se spécialise dans la
protection des infrastructures, des
terminaux et des applications. Il est
intervenu auprès de nombreux grands
comptes, notamment pour définir leur
schéma directeur de sécurité, ainsi que
sur des problématiques de cybersécu-rité,
de mobilité ou de Cloud computing.
chadi.hantouche@solucom.fr
@ChadiHantouche
2. • Variété : il n’y a théoriquement pas
de limites aux types de données qu’il
va falloir sécuriser. Il peut s’agir de
documents, messages sous des formats
textes, audios, vidéos… qui proviennent de
sources aussi diverses que l’entreprise, le
gouvernement, des bases Open Data, etc.
• Vélocité : les données vont être
traitées à la volée pour fournir des
résultats « instantanés », et vont donc
devoir être protégées en temps réel.
Pour compléter cette définition, certains
recommandent d’ajouter un certain nombre
de « V » (Valeur, Véracité, Visibilité…)
aux précédents. Ces trois termes
constituent néanmoins une base partagée.
Du marketing, mais aussi des mises
en oeuvre concrètes
Un grand nombre d’acteurs du marché
affirment aujourd’hui vendre des solutions de
Big Data ou faire un usage « révolutionnaire »
de ces technologies dans leurs produits. Dans
de nombreux cas, il ne s’agit que d’un argument
de vente afin de mettre en avant leur capacité
à traiter un grand volume d’information et
à les modéliser différemment… sans pour
autant qu’il ne s’agisse d’une « révolution ».
Cependant, plusieurs projets viennent
aujourd’hui confirmer l’existence
d’opportunités véritablement innovantes.
Les secteurs de la banque et de l’assurance
s’intéressent de plus en plus au comportement
de leurs clients et recoupent les données des
utilisateurs provenant de différents médias ou
systèmes pour en affiner la compréhension.
Dans l’industrie et le transport, ce sont
plutôt les objets connectés qui génèrent
la collecte de mégadonnées sur la
consommation des clients ou leurs habitudes.
Le moteur de recherche Google est un
exemple d’utilisation réussie : s’il domine
sans partage le marché, c’est parce qu’il
fait usage, depuis plus de dix ans, de
technologies Big Data qui permettent d’offrir
des résultats convaincants aux utilisateurs.
Dans tous les cas, l’objectif des traitements
est double : mieux comprendre les usages
de ses clients pour optimiser la pertinence
du service et l’expérience utilisateur, mais
aussi (et surtout !) monétiser les informations
collectées, soit en proposant de nouveaux
usages, soit en les revendant à des tiers.
Motivés à la fois par ces réussites et par le
marketing des éditeurs de solutions, des
projets « Big Data », dont la finalité n’est pas
toujours claire, émergent dans les entreprises.
Les Directions Métiers demandent parfois
des installations de solutions de Big Data
afin d’en évaluer les potentiels usages,
sans en comprendre le fonctionnement
ni en avoir mesuré la pertinence.
Ne pas attendre la maturité du
marché pour se préparer
Plusieurs années seront encore nécessaires
pour avoir une vision complète sur la
sécurité du Big Data (voir figure 1).
En effet, si les technologies peuvent
aujourd’hui être considérées comme
disponibles - certaines, comme le framework
Hadoop, sont même passées sous licences
libres, encourageant les entreprises à
expérimenter - un certain nombre d’éléments
clés sont encore en cours de structuration.
Dans un premier temps, il va falloir
démultiplier les compétences de Data Science.
Des établissements d’enseignement supérieur
se sont d’ores et déjà lancés dans l’aventure,
en proposant des filières spécialisées, ou
des formations complémentaires pour les
professionnels souhaitant se mettre à niveau.
Par ailleurs, les réflexions sur la donnée sont
amenées à évoluer et à intégrer le Big Data.
Le marché va également poursuivre
sa consolidation – on le constate déjà
à travers des annonces de rachats
ou de partenariats entre les acteurs.
La réglementation, enfin, va devoir
clarifier les possibilités et surtout les
limites d’utilisation de ces données !
BIG DATA
« Du Big Data ?
Mais j’en fais depuis
longtemps ! »
C’est le discours que l’on
entend parfois, notamment
au sein d’organisations
qui font de la Business
Intelligence depuis des années.
S’il est vrai que le fait de traiter
des données en respectant un
ou deux des « 3 V » n’est pas
nouveau en soi, il est tout de
même rare de cumuler les trois.
En effet, les technologies
permettant ces traitements sont
récentes, et leur maîtrise encore
à démontrer… sans même parler
des besoins de stockage massif !
FIGURE 1 : ÉTAPES VERS LA MATURITÉ DU BIG DATA
3. le big data, createur de nouveaux
risques
L e s g r a n d s r i s q u e s
s o n t l i é s à l a d o n n é e . . .
Bien entendu, les risques classiquement
liés aux données sont toujours présents
et même amplifiés dans le cas du Big
Data : la perte ou le vol de données à
cause d’une mauvaise maîtrise des
nouvelles solutions, la dépendance à
des fournisseurs, des applications ou
des technologies jeunes et mouvantes,
l’interception de données, ou encore la
perte des infrastructures informatiques.
Ma i s d e n o u v e a u x t y p e s d e
risques apparaissent également :
Liés à l’acquisition de données : si celles-ci
sont de mauvaise qualité ou malicieuses, le
traitement pourrait être loin des résultats
escomptés, voire porter atteinte au système
d’information de l’entreprise. Des questions
se posent également quant à la propriété
intellectuelle de ces données, notamment sur
le droit qu’a une entreprise de les utiliser ou non.
Liés aux réglementations : il s’agit du risque
de réaliser des traitements non-conformes
au regard de la loi. En particulier, il très
facile de « désanonymiser » des données
initialement anonymes, en croisant diverses
sources. Ce type « d’inférence » doit faire
l’objet d’une attention toute particulière.
Par ailleurs, un système Big Data rend plus
probable la réalisation d’un traitement illégal,
sans même l’avoir initialement recherché.
Liés à la vie de la donnée : les systèmes de
Big Data fonctionnent largement de manière
répartie, avec des données décentralisées
et dupliquées. Beaucoup de fournisseurs
se basent d’ailleurs sur des systèmes de
Cloud computing : autant d’éléments qui
peuvent rendre la donnée plus difficile à
identifier et à supprimer efficacement.
…et les contre-mesures sont
donc à mettre en oeuvre tout
au long de son cycle de vie
Là aussi, les mesures de protection
classiques sont toujours valables dans le
cas du Big Data. Cependant, de nouvelles
mesures complémentaires doivent
aussi être envisagées (voir figure 2).
Un point essentiel ne doit pas être négligé
dans leur mise en oeuvre : certaines sont du
ressort de la DSI, d’autres doivent être prises
en compte par les Métiers demandeurs,
et plusieurs questions nécessiteront
l’intervention de juristes spécialistes du sujet.
FIGURE 2 : CONTREMESURES DE SÉCURITÉ SPÉCIFIQUES AU BIG DATA
Il est très facile de « désanonymiser » des
données initialement anonymes, en croisant
diverses sources. Ce type « d’inférence » doit
faire l’objet d’une attention toute particulière.
4. C o m m e n t s e pr é pa r er à
l’arrivée des mégadonnées
Les fonctions de sécurité actuelles ne
répondent qu’à une partie de la problématique.
Il est nécessaire aujourd’hui de disposer
de protections spécifiques au Big Data,
sur toute la chaîne de traitement de la
donnée : contrôle d’accès, anonymisation,
t raça b i l i t é , t ra n s fe r t sécurisé…
Malheureusement, la maturité des
solutions de Big Data est très variable :
dans la plupart des cas, aucun moyen de
protection n’est offert nativement. Les
produits les plus avancés intègrent des
options intéressantes, mais rarement
adaptées à l’échelle d’une grande entreprise.
De nombreux éditeurs innovants proposent
aujourd’hui des solutions permettant
d’ajouter des fonctions de sécurité aux
principales architectures de Big Data, que
l’on peut classer en trois grandes catégories :
La gestion des plateformes : les
solutions aujourd’hui centralisées vont
aller vers une décentralisation, d’une
part du fait de la nature distribuée des
systèmes Big Data, d’autre part à travers
l’utilisation intensive du Cloud computing.
Cette décentralisation nécessitera pourtant
une harmonisation en termes de sécurité.
La gestion des identités et des accès :
actuellement plutôt basée sur la notion de
« rôles » des utilisateurs RBAC (Role Based
Access Control), celle-ci va progressivement
s’appuyer sur les « attributs » de la donnée
ABAC (Attribute Based Access Control) afin
de déterminer qui peut accéder à quoi.
La protection de la donnée : le chiffrement
intégral, très répandu aujourd’hui, permet
de protéger indifféremment les données d’un
grand nombre d’utilisateurs (par exemple,
toute une base de données). Pour protéger des
niveaux de sensibilité différents et appartenant
à différents propriétaires, il va être nécessaire
d’opter pour un chiffrement très ciblé (par
exemple, une cellule de la base Big Data).
Plus concrètement, nous avons imaginé
trois chantiers que les responsables
sécurité peuvent lancer dès maintenant.
Traiter avec les Métiers les risques
liés à la perte d’anonymisation
et aux sources de données
En réévaluant les risques existants à la lumière
des nouveautés apportées par le Big Data, ce
sont ceux qui apparaissent comme les plus
complexes à traiter aujourd’hui : il convient de
s’en préoccuper, en les abordant de concert
avec les Métiers et les juristes de l’entreprise.
Maquetter les 1ères solutions de gestion
des accès aux systèmes Big Data
Le marché est encore balbutiant, et les
acteurs se multiplient, bien qu’une certaine
consolidation se poursuive. Il apparaît donc
prudent de ne pas surinvestir dans une
technologie de sécurisation qui pourrait
être rapidement abandonnée ou dépassée.
Pour autant, la question des identités et des accès
aux bases Big Data mérite d’être explorée, par
exemple en testant des solutions de type ABAC.
BIG DATA
Explorer les possibilités du
Big Data pour la sécurité
Le Big Data est de plus en plus utilisé pour
fournir des systèmes de sécurité pertinents,
qu’il peut être intéressant d’évaluer. On peut
citer l’exemple des solutions d’antivirus ou de
SIEM permettant de corréler ses évènements
avec ceux d’autres entreprises afin de
détecter une attaque avec plus de fiabilité. A
terme, nous verrons probablement apparaître
des systèmes de sécurité « statistiques »,
permettant par exemple de décider en temps
réel d’ouvrir ou non un chemin réseau, en se
basant sur un nombre immense de critères :
position de l’expéditeur dans l’entreprise, nom
et entreprise du destinataire, réputation de
ceux-ci, contenu du flux, comportement des
autres flux, attaques connues, date et heure…
Les déploiements de systèmes Big Data sont
amenés à se multiplier dans les prochaines
années, pour atteindre leur pic sous 5 à
10 ans selon les études. L’explosion de l’internet
des objets, les enjeux de personnalisation de la
relation clients et les changements de modèles
de vente entraîneront
l’apparition de nouveaux
cas d’usage. Même si tous
les contextes ne s’y prêtent
pas, il s’agit pour beaucoup
d’organisations d’une
mine d’informations dont
la valeur n’est pas encore
complètement exploitée.
Il est important pour la
sécurité de s’emparer dès
aujourd’hui du sujet pour
préparer l’avenir sereinement et être prête,
le moment venu, à garantir les déploiements.
Tour Franklin, 100-101 Terrasse Boieldieu,
La Défense 8 - 92042 Paris La Défense Cedex
Tél. : 01 49 03 20 00 - Fax. : 01 49 03 20 01
www.solucom.fr
Il est prudent de ne pas surinvestir dans une
technologie de sécurisation Big Data qui pourrait
être rapidement dépassée.