SlideShare uma empresa Scribd logo

Big Data et sécurité: protéger sans freiner !

Wavestone
Wavestone

Encore au sommet du peak of expectationsdu Gartner l’année dernière, le « Big Data » est toujours l’un des sujets d’intérêt majeur de 2014. Il ne se passe pas une semaine sans qu’un nouvel acteur présente une solution Big Data innovante, ou qu’un géant de l’informatique annonce un partenariat avec une start-up spécialisée dans le sujet, si ce n’est son rachat. Difficile dans ce contexte de savoir quelle position adopter… Pour le Responsable Sécurité ou le Risk Manager, il est pourtant possible voire nécessaire de se préparer à un phénomène qui a d’ores et déjà dépassé le stade du discours marketing.

Tecnologia
1 de 4
Baixar para ler offline
FOCUS SOLUCOM BIG DATA et securité : PROTéGER SANS FREINER ! ncore au sommet du peak of expectations du Gartner l’année dernière, le « Big Data » est toujours l’un des sujets d’inté-rêt majeur de 2014. Il ne se passe pas une semaine sans qu’un nouvel acteur pré-sente e une solution Big Data innovante, ou qu’un géant de l’informatique annonce un partenariat avec une start-up spécialisée dans le sujet, si ce n’est son rachat. Difficile dans ce contexte de savoir quelle posi-tion adopter… Pour le Responsable Sécurité ou le Risk Manager, il est pourtant possible voire néces-saire de se préparer à un phénomène qui a d’ores et déjà dépassé le stade du discours marketing. Le Big Data, un concept aux frontières encore mouvantes Tout le monde s’accorde aujourd’hui sur une définition du Big Data qui tourne autour du critère dit « des 3V » (pour volume, variété, vélocité). Du point de vue de la sécurité, on peut les analyser de la manière suivante : • Volume : la quantité de données à stocker, traiter et protéger tout au long de leur cycle de vie est d’un ordre nouveau par rapport aux bases de données actuelles. Nous sommes entrés dans l’ère du zettaoctet, soit 1012 gigaoctets. AUTEUR CHADI hantouche Manager au sein de la practice Risk Management et Sécurité. Depuis 8 ans, il se spécialise dans la protection des infrastructures, des terminaux et des applications. Il est intervenu auprès de nombreux grands comptes, notamment pour définir leur schéma directeur de sécurité, ainsi que sur des problématiques de cybersécu-rité, de mobilité ou de Cloud computing. chadi.hantouche@solucom.fr @ChadiHantouche
• Variété : il n’y a théoriquement pas de limites aux types de données qu’il va falloir sécuriser. Il peut s’agir de documents, messages sous des formats textes, audios, vidéos… qui proviennent de sources aussi diverses que l’entreprise, le gouvernement, des bases Open Data, etc. • Vélocité : les données vont être traitées à la volée pour fournir des résultats « instantanés », et vont donc devoir être protégées en temps réel. Pour compléter cette définition, certains recommandent d’ajouter un certain nombre de « V » (Valeur, Véracité, Visibilité…) aux précédents. Ces trois termes constituent néanmoins une base partagée. Du marketing, mais aussi des mises en oeuvre concrètes Un grand nombre d’acteurs du marché affirment aujourd’hui vendre des solutions de Big Data ou faire un usage « révolutionnaire » de ces technologies dans leurs produits. Dans de nombreux cas, il ne s’agit que d’un argument de vente afin de mettre en avant leur capacité à traiter un grand volume d’information et à les modéliser différemment… sans pour autant qu’il ne s’agisse d’une « révolution ». Cependant, plusieurs projets viennent aujourd’hui confirmer l’existence d’opportunités véritablement innovantes. Les secteurs de la banque et de l’assurance s’intéressent de plus en plus au comportement de leurs clients et recoupent les données des utilisateurs provenant de différents médias ou systèmes pour en affiner la compréhension. Dans l’industrie et le transport, ce sont plutôt les objets connectés qui génèrent la collecte de mégadonnées sur la consommation des clients ou leurs habitudes. Le moteur de recherche Google est un exemple d’utilisation réussie : s’il domine sans partage le marché, c’est parce qu’il fait usage, depuis plus de dix ans, de technologies Big Data qui permettent d’offrir des résultats convaincants aux utilisateurs. Dans tous les cas, l’objectif des traitements est double : mieux comprendre les usages de ses clients pour optimiser la pertinence du service et l’expérience utilisateur, mais aussi (et surtout !) monétiser les informations collectées, soit en proposant de nouveaux usages, soit en les revendant à des tiers. Motivés à la fois par ces réussites et par le marketing des éditeurs de solutions, des projets « Big Data », dont la finalité n’est pas toujours claire, émergent dans les entreprises. Les Directions Métiers demandent parfois des installations de solutions de Big Data afin d’en évaluer les potentiels usages, sans en comprendre le fonctionnement ni en avoir mesuré la pertinence. Ne pas attendre la maturité du marché pour se préparer Plusieurs années seront encore nécessaires pour avoir une vision complète sur la sécurité du Big Data (voir figure 1). En effet, si les technologies peuvent aujourd’hui être considérées comme disponibles - certaines, comme le framework Hadoop, sont même passées sous licences libres, encourageant les entreprises à expérimenter - un certain nombre d’éléments clés sont encore en cours de structuration. Dans un premier temps, il va falloir démultiplier les compétences de Data Science. Des établissements d’enseignement supérieur se sont d’ores et déjà lancés dans l’aventure, en proposant des filières spécialisées, ou des formations complémentaires pour les professionnels souhaitant se mettre à niveau. Par ailleurs, les réflexions sur la donnée sont amenées à évoluer et à intégrer le Big Data. Le marché va également poursuivre sa consolidation – on le constate déjà à travers des annonces de rachats ou de partenariats entre les acteurs. La réglementation, enfin, va devoir clarifier les possibilités et surtout les limites d’utilisation de ces données ! BIG DATA « Du Big Data ? Mais j’en fais depuis longtemps ! » C’est le discours que l’on entend parfois, notamment au sein d’organisations qui font de la Business Intelligence depuis des années. S’il est vrai que le fait de traiter des données en respectant un ou deux des « 3 V » n’est pas nouveau en soi, il est tout de même rare de cumuler les trois. En effet, les technologies permettant ces traitements sont récentes, et leur maîtrise encore à démontrer… sans même parler des besoins de stockage massif ! FIGURE 1 : ÉTAPES VERS LA MATURITÉ DU BIG DATA
le big data, createur de nouveaux risques L e s g r a n d s r i s q u e s s o n t l i é s à l a d o n n é e . . . Bien entendu, les risques classiquement liés aux données sont toujours présents et même amplifiés dans le cas du Big Data : la perte ou le vol de données à cause d’une mauvaise maîtrise des nouvelles solutions, la dépendance à des fournisseurs, des applications ou des technologies jeunes et mouvantes, l’interception de données, ou encore la perte des infrastructures informatiques. Ma i s d e n o u v e a u x t y p e s d e risques apparaissent également : Liés à l’acquisition de données : si celles-ci sont de mauvaise qualité ou malicieuses, le traitement pourrait être loin des résultats escomptés, voire porter atteinte au système d’information de l’entreprise. Des questions se posent également quant à la propriété intellectuelle de ces données, notamment sur le droit qu’a une entreprise de les utiliser ou non. Liés aux réglementations : il s’agit du risque de réaliser des traitements non-conformes au regard de la loi. En particulier, il très facile de « désanonymiser » des données initialement anonymes, en croisant diverses sources. Ce type « d’inférence » doit faire l’objet d’une attention toute particulière. Par ailleurs, un système Big Data rend plus probable la réalisation d’un traitement illégal, sans même l’avoir initialement recherché. Liés à la vie de la donnée : les systèmes de Big Data fonctionnent largement de manière répartie, avec des données décentralisées et dupliquées. Beaucoup de fournisseurs se basent d’ailleurs sur des systèmes de Cloud computing : autant d’éléments qui peuvent rendre la donnée plus difficile à identifier et à supprimer efficacement. …et les contre-mesures sont donc à mettre en oeuvre tout au long de son cycle de vie Là aussi, les mesures de protection classiques sont toujours valables dans le cas du Big Data. Cependant, de nouvelles mesures complémentaires doivent aussi être envisagées (voir figure 2). Un point essentiel ne doit pas être négligé dans leur mise en oeuvre : certaines sont du ressort de la DSI, d’autres doivent être prises en compte par les Métiers demandeurs, et plusieurs questions nécessiteront l’intervention de juristes spécialistes du sujet. FIGURE 2 : CONTREMESURES DE SÉCURITÉ SPÉCIFIQUES AU BIG DATA Il est très facile de « désanonymiser » des données initialement anonymes, en croisant diverses sources. Ce type « d’inférence » doit faire l’objet d’une attention toute particulière.
C o m m e n t s e pr é pa r er à l’arrivée des mégadonnées Les fonctions de sécurité actuelles ne répondent qu’à une partie de la problématique. Il est nécessaire aujourd’hui de disposer de protections spécifiques au Big Data, sur toute la chaîne de traitement de la donnée : contrôle d’accès, anonymisation, t raça b i l i t é , t ra n s fe r t sécurisé… Malheureusement, la maturité des solutions de Big Data est très variable : dans la plupart des cas, aucun moyen de protection n’est offert nativement. Les produits les plus avancés intègrent des options intéressantes, mais rarement adaptées à l’échelle d’une grande entreprise. De nombreux éditeurs innovants proposent aujourd’hui des solutions permettant d’ajouter des fonctions de sécurité aux principales architectures de Big Data, que l’on peut classer en trois grandes catégories : La gestion des plateformes : les solutions aujourd’hui centralisées vont aller vers une décentralisation, d’une part du fait de la nature distribuée des systèmes Big Data, d’autre part à travers l’utilisation intensive du Cloud computing. Cette décentralisation nécessitera pourtant une harmonisation en termes de sécurité. La gestion des identités et des accès : actuellement plutôt basée sur la notion de « rôles » des utilisateurs RBAC (Role Based Access Control), celle-ci va progressivement s’appuyer sur les « attributs » de la donnée ABAC (Attribute Based Access Control) afin de déterminer qui peut accéder à quoi. La protection de la donnée : le chiffrement intégral, très répandu aujourd’hui, permet de protéger indifféremment les données d’un grand nombre d’utilisateurs (par exemple, toute une base de données). Pour protéger des niveaux de sensibilité différents et appartenant à différents propriétaires, il va être nécessaire d’opter pour un chiffrement très ciblé (par exemple, une cellule de la base Big Data). Plus concrètement, nous avons imaginé trois chantiers que les responsables sécurité peuvent lancer dès maintenant. Traiter avec les Métiers les risques liés à la perte d’anonymisation et aux sources de données En réévaluant les risques existants à la lumière des nouveautés apportées par le Big Data, ce sont ceux qui apparaissent comme les plus complexes à traiter aujourd’hui : il convient de s’en préoccuper, en les abordant de concert avec les Métiers et les juristes de l’entreprise. Maquetter les 1ères solutions de gestion des accès aux systèmes Big Data Le marché est encore balbutiant, et les acteurs se multiplient, bien qu’une certaine consolidation se poursuive. Il apparaît donc prudent de ne pas surinvestir dans une technologie de sécurisation qui pourrait être rapidement abandonnée ou dépassée. Pour autant, la question des identités et des accès aux bases Big Data mérite d’être explorée, par exemple en testant des solutions de type ABAC. BIG DATA Explorer les possibilités du Big Data pour la sécurité Le Big Data est de plus en plus utilisé pour fournir des systèmes de sécurité pertinents, qu’il peut être intéressant d’évaluer. On peut citer l’exemple des solutions d’antivirus ou de SIEM permettant de corréler ses évènements avec ceux d’autres entreprises afin de détecter une attaque avec plus de fiabilité. A terme, nous verrons probablement apparaître des systèmes de sécurité « statistiques », permettant par exemple de décider en temps réel d’ouvrir ou non un chemin réseau, en se basant sur un nombre immense de critères : position de l’expéditeur dans l’entreprise, nom et entreprise du destinataire, réputation de ceux-ci, contenu du flux, comportement des autres flux, attaques connues, date et heure… Les déploiements de systèmes Big Data sont amenés à se multiplier dans les prochaines années, pour atteindre leur pic sous 5 à 10 ans selon les études. L’explosion de l’internet des objets, les enjeux de personnalisation de la relation clients et les changements de modèles de vente entraîneront l’apparition de nouveaux cas d’usage. Même si tous les contextes ne s’y prêtent pas, il s’agit pour beaucoup d’organisations d’une mine d’informations dont la valeur n’est pas encore complètement exploitée. Il est important pour la sécurité de s’emparer dès aujourd’hui du sujet pour préparer l’avenir sereinement et être prête, le moment venu, à garantir les déploiements. Tour Franklin, 100-101 Terrasse Boieldieu, La Défense 8 - 92042 Paris La Défense Cedex Tél. : 01 49 03 20 00 - Fax. : 01 49 03 20 01 www.solucom.fr Il est prudent de ne pas surinvestir dans une technologie de sécurisation Big Data qui pourrait être rapidement dépassée.

Recomendados

Protection de la vie privée
Protection de la vie privée Protection de la vie privée
Protection de la vie privée Prof. Jacques Folon (Ph.D)
 
(Big) Data, opportunités et défis - Ludovic Levy - Orange - Forum du GFII 2014
(Big) Data, opportunités et défis - Ludovic Levy - Orange - Forum du GFII 2014(Big) Data, opportunités et défis - Ludovic Levy - Orange - Forum du GFII 2014
(Big) Data, opportunités et défis - Ludovic Levy - Orange - Forum du GFII 2014Le_GFII
 
L'impact du Big Data sur les stratégies marketing
L'impact du Big Data sur les stratégies marketingL'impact du Big Data sur les stratégies marketing
L'impact du Big Data sur les stratégies marketingVictor Fremiot
 
#NSD14 - La sécurité et l'Internet des objets
#NSD14 - La sécurité et l'Internet des objets#NSD14 - La sécurité et l'Internet des objets
#NSD14 - La sécurité et l'Internet des objetsNetSecure Day
 
#NSD14 - La sécurité autour du Big Data
#NSD14 - La sécurité autour du Big Data#NSD14 - La sécurité autour du Big Data
#NSD14 - La sécurité autour du Big DataNetSecure Day
 
Géoguichet urbanisme-7- Ajouter un permis de type « Demande de notaire »
Géoguichet urbanisme-7- Ajouter un permis de type « Demande de notaire »Géoguichet urbanisme-7- Ajouter un permis de type « Demande de notaire »
Géoguichet urbanisme-7- Ajouter un permis de type « Demande de notaire »gimwebgis
 
Cuidem la terra
Cuidem la terraCuidem la terra
Cuidem la terraPractiques2
 
III Plan personas Disc 2012 2015. Comunidad de Madrid
III Plan personas Disc 2012 2015. Comunidad de MadridIII Plan personas Disc 2012 2015. Comunidad de Madrid
III Plan personas Disc 2012 2015. Comunidad de MadridPaloma Santiago
 

Recomendados

Protection de la vie privée
Protection de la vie privée Protection de la vie privée
Protection de la vie privée Prof. Jacques Folon (Ph.D)
 
(Big) Data, opportunités et défis - Ludovic Levy - Orange - Forum du GFII 2014
(Big) Data, opportunités et défis - Ludovic Levy - Orange - Forum du GFII 2014(Big) Data, opportunités et défis - Ludovic Levy - Orange - Forum du GFII 2014
(Big) Data, opportunités et défis - Ludovic Levy - Orange - Forum du GFII 2014Le_GFII
 
L'impact du Big Data sur les stratégies marketing
L'impact du Big Data sur les stratégies marketingL'impact du Big Data sur les stratégies marketing
L'impact du Big Data sur les stratégies marketingVictor Fremiot
 
#NSD14 - La sécurité et l'Internet des objets
#NSD14 - La sécurité et l'Internet des objets#NSD14 - La sécurité et l'Internet des objets
#NSD14 - La sécurité et l'Internet des objetsNetSecure Day
 
#NSD14 - La sécurité autour du Big Data
#NSD14 - La sécurité autour du Big Data#NSD14 - La sécurité autour du Big Data
#NSD14 - La sécurité autour du Big DataNetSecure Day
 
Géoguichet urbanisme-7- Ajouter un permis de type « Demande de notaire »
Géoguichet urbanisme-7- Ajouter un permis de type « Demande de notaire »Géoguichet urbanisme-7- Ajouter un permis de type « Demande de notaire »
Géoguichet urbanisme-7- Ajouter un permis de type « Demande de notaire »gimwebgis
 
Cuidem la terra
Cuidem la terraCuidem la terra
Cuidem la terraPractiques2
 
III Plan personas Disc 2012 2015. Comunidad de Madrid
III Plan personas Disc 2012 2015. Comunidad de MadridIII Plan personas Disc 2012 2015. Comunidad de Madrid
III Plan personas Disc 2012 2015. Comunidad de MadridPaloma Santiago
 
Webinar ATN+ - La gestion des ventes en ligne par Sellsy - Retour d'expérienc...
Webinar ATN+ - La gestion des ventes en ligne par Sellsy - Retour d'expérienc...Webinar ATN+ - La gestion des ventes en ligne par Sellsy - Retour d'expérienc...
Webinar ATN+ - La gestion des ventes en ligne par Sellsy - Retour d'expérienc...Association Transition Numérique +
 
Equateur, PUCESI, Ibarra.
Equateur, PUCESI, Ibarra. Equateur, PUCESI, Ibarra.
Equateur, PUCESI, Ibarra. shaulrodriguez
 
C0362012026
C0362012026C0362012026
C0362012026inventionjournals
 
Extranjeros en albaida, palomar, atzeneta y belgida en febrero 2007
Extranjeros en albaida, palomar, atzeneta y belgida en febrero 2007Extranjeros en albaida, palomar, atzeneta y belgida en febrero 2007
Extranjeros en albaida, palomar, atzeneta y belgida en febrero 2007Mediadores Interculturales
 
Redes
RedesRedes
RedesI don't have it
 
Gestion de serveurs avec une plateforme sémantique
Gestion de serveurs avec une plateforme sémantiqueGestion de serveurs avec une plateforme sémantique
Gestion de serveurs avec une plateforme sémantiqueSemWebPro
 
ProEvolution | Brochure Institucional 2010
ProEvolution | Brochure Institucional 2010ProEvolution | Brochure Institucional 2010
ProEvolution | Brochure Institucional 2010ProEvolution
 
TNCD: Cancer du colon métastatique
TNCD: Cancer du colon métastatiqueTNCD: Cancer du colon métastatique
TNCD: Cancer du colon métastatiquebouchaala-walid
 
Les finances
Les financesLes finances
Les financesMuriel Mahé
 
Presentacion san bernardo tv
Presentacion san bernardo tvPresentacion san bernardo tv
Presentacion san bernardo tvJorge Figueroa Ramirez
 
Inequidad..[1]
Inequidad..[1]Inequidad..[1]
Inequidad..[1]fernandoocares
 
Preguntas de investigacion prof
Preguntas de investigacion profPreguntas de investigacion prof
Preguntas de investigacion profjpvg
 
Proyecto de acuerdo
Proyecto de acuerdoProyecto de acuerdo
Proyecto de acuerdoJhon Jairo Osorio Londoño
 
Dossier de production
Dossier de productionDossier de production
Dossier de productionJonathan Sarpaux
 
Img
ImgImg
ImgLucero Yaqueline Rosa Benítez
 
L'Echo des Rizières octobre 2013
L'Echo des Rizières octobre 2013L'Echo des Rizières octobre 2013
L'Echo des Rizières octobre 2013afvsaigon
 
Quemaduras (Por: Forilan Jacome)
Quemaduras (Por: Forilan Jacome)Quemaduras (Por: Forilan Jacome)
Quemaduras (Por: Forilan Jacome)froy1072
 
Personnalisation et technologies numeriques
Personnalisation et technologies numeriquesPersonnalisation et technologies numeriques
Personnalisation et technologies numeriquesPôle Aménagement de la Maison
 
Tom Taddeo CV 2016 (FR) (1)
Tom Taddeo CV 2016 (FR) (1)Tom Taddeo CV 2016 (FR) (1)
Tom Taddeo CV 2016 (FR) (1)Tom Taddeo
 
Présentation du portail sémantique de la FEVIS
Présentation du portail sémantique de la FEVISPrésentation du portail sémantique de la FEVIS
Présentation du portail sémantique de la FEVISSemWebPro
 
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...Wavestone
 
Bank insight n°7 - La valorisation de la donnée
Bank insight n°7 - La valorisation de la donnéeBank insight n°7 - La valorisation de la donnée
Bank insight n°7 - La valorisation de la donnéeWavestone
 

Mais conteúdo relacionado

Destaque

Webinar ATN+ - La gestion des ventes en ligne par Sellsy - Retour d'expérienc...
Webinar ATN+ - La gestion des ventes en ligne par Sellsy - Retour d'expérienc...Webinar ATN+ - La gestion des ventes en ligne par Sellsy - Retour d'expérienc...
Webinar ATN+ - La gestion des ventes en ligne par Sellsy - Retour d'expérienc...Association Transition Numérique +
 
Equateur, PUCESI, Ibarra.
Equateur, PUCESI, Ibarra. Equateur, PUCESI, Ibarra.
Equateur, PUCESI, Ibarra. shaulrodriguez
 
Extranjeros en albaida, palomar, atzeneta y belgida en febrero 2007
Extranjeros en albaida, palomar, atzeneta y belgida en febrero 2007Extranjeros en albaida, palomar, atzeneta y belgida en febrero 2007
Extranjeros en albaida, palomar, atzeneta y belgida en febrero 2007Mediadores Interculturales
 
Gestion de serveurs avec une plateforme sémantique
Gestion de serveurs avec une plateforme sémantiqueGestion de serveurs avec une plateforme sémantique
Gestion de serveurs avec une plateforme sémantiqueSemWebPro
 
ProEvolution | Brochure Institucional 2010
ProEvolution | Brochure Institucional 2010ProEvolution | Brochure Institucional 2010
ProEvolution | Brochure Institucional 2010ProEvolution
 
TNCD: Cancer du colon métastatique
TNCD: Cancer du colon métastatiqueTNCD: Cancer du colon métastatique
TNCD: Cancer du colon métastatiquebouchaala-walid
 
Preguntas de investigacion prof
Preguntas de investigacion profPreguntas de investigacion prof
Preguntas de investigacion profjpvg
 
L'Echo des Rizières octobre 2013
L'Echo des Rizières octobre 2013L'Echo des Rizières octobre 2013
L'Echo des Rizières octobre 2013afvsaigon
 
Quemaduras (Por: Forilan Jacome)
Quemaduras (Por: Forilan Jacome)Quemaduras (Por: Forilan Jacome)
Quemaduras (Por: Forilan Jacome)froy1072
 
Tom Taddeo CV 2016 (FR) (1)
Tom Taddeo CV 2016 (FR) (1)Tom Taddeo CV 2016 (FR) (1)
Tom Taddeo CV 2016 (FR) (1)Tom Taddeo
 
Présentation du portail sémantique de la FEVIS
Présentation du portail sémantique de la FEVISPrésentation du portail sémantique de la FEVIS
Présentation du portail sémantique de la FEVISSemWebPro
 

Destaque (20)

Webinar ATN+ - La gestion des ventes en ligne par Sellsy - Retour d'expérienc...
Webinar ATN+ - La gestion des ventes en ligne par Sellsy - Retour d'expérienc...Webinar ATN+ - La gestion des ventes en ligne par Sellsy - Retour d'expérienc...
Webinar ATN+ - La gestion des ventes en ligne par Sellsy - Retour d'expérienc...
 
Equateur, PUCESI, Ibarra.
Equateur, PUCESI, Ibarra. Equateur, PUCESI, Ibarra.
Equateur, PUCESI, Ibarra.
 
C0362012026
C0362012026C0362012026
C0362012026
 
Extranjeros en albaida, palomar, atzeneta y belgida en febrero 2007
Extranjeros en albaida, palomar, atzeneta y belgida en febrero 2007Extranjeros en albaida, palomar, atzeneta y belgida en febrero 2007
Extranjeros en albaida, palomar, atzeneta y belgida en febrero 2007
 
Redes
RedesRedes
Redes
 
Gestion de serveurs avec une plateforme sémantique
Gestion de serveurs avec une plateforme sémantiqueGestion de serveurs avec une plateforme sémantique
Gestion de serveurs avec une plateforme sémantique
 
ProEvolution | Brochure Institucional 2010
ProEvolution | Brochure Institucional 2010ProEvolution | Brochure Institucional 2010
ProEvolution | Brochure Institucional 2010
 
TNCD: Cancer du colon métastatique
TNCD: Cancer du colon métastatiqueTNCD: Cancer du colon métastatique
TNCD: Cancer du colon métastatique
 
Les finances
Les financesLes finances
Les finances
 
Presentacion san bernardo tv
Presentacion san bernardo tvPresentacion san bernardo tv
Presentacion san bernardo tv
 
Inequidad..[1]
Inequidad..[1]Inequidad..[1]
Inequidad..[1]
 
Preguntas de investigacion prof
Preguntas de investigacion profPreguntas de investigacion prof
Preguntas de investigacion prof
 
Proyecto de acuerdo
Proyecto de acuerdoProyecto de acuerdo
Proyecto de acuerdo
 
Dossier de production
Dossier de productionDossier de production
Dossier de production
 
Img
ImgImg
Img
 
L'Echo des Rizières octobre 2013
L'Echo des Rizières octobre 2013L'Echo des Rizières octobre 2013
L'Echo des Rizières octobre 2013
 
Quemaduras (Por: Forilan Jacome)
Quemaduras (Por: Forilan Jacome)Quemaduras (Por: Forilan Jacome)
Quemaduras (Por: Forilan Jacome)
 
Personnalisation et technologies numeriques
Personnalisation et technologies numeriquesPersonnalisation et technologies numeriques
Personnalisation et technologies numeriques
 
Tom Taddeo CV 2016 (FR) (1)
Tom Taddeo CV 2016 (FR) (1)Tom Taddeo CV 2016 (FR) (1)
Tom Taddeo CV 2016 (FR) (1)
 
Présentation du portail sémantique de la FEVIS
Présentation du portail sémantique de la FEVISPrésentation du portail sémantique de la FEVIS
Présentation du portail sémantique de la FEVIS
 

Mais de Wavestone

Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...Wavestone
 
Bank insight n°7 - La valorisation de la donnée
Bank insight n°7 - La valorisation de la donnéeBank insight n°7 - La valorisation de la donnée
Bank insight n°7 - La valorisation de la donnéeWavestone
 
Digitalisation des parcours client : client first !
Digitalisation des parcours client : client first !Digitalisation des parcours client : client first !
Digitalisation des parcours client : client first !Wavestone
 
Bank insight n°3 - Agilité : changement de paradigme
Bank insight n°3 - Agilité : changement de paradigmeBank insight n°3 - Agilité : changement de paradigme
Bank insight n°3 - Agilité : changement de paradigmeWavestone
 
Solucom offices receive a breath of fresh “Air”
Solucom offices receive a breath of fresh “Air”Solucom offices receive a breath of fresh “Air”
Solucom offices receive a breath of fresh “Air”Wavestone
 
Solucom réinvente ses locaux avec "Air" - Dossier de presse
Solucom réinvente ses locaux avec "Air" - Dossier de presseSolucom réinvente ses locaux avec "Air" - Dossier de presse
Solucom réinvente ses locaux avec "Air" - Dossier de presseWavestone
 
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?Bank Insight n°2 - MIF2 : contrainte ou opportunité ?
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?Wavestone
 
Physical sales networks in the digital era : change or die
Physical sales networks in the digital era : change or diePhysical sales networks in the digital era : change or die
Physical sales networks in the digital era : change or dieWavestone
 
Bank Insight - Piloter la relation client
Bank Insight - Piloter la relation clientBank Insight - Piloter la relation client
Bank Insight - Piloter la relation clientWavestone
 
BruCON 2015 - Pentesting ICS 101
BruCON 2015 - Pentesting ICS 101BruCON 2015 - Pentesting ICS 101
BruCON 2015 - Pentesting ICS 101Wavestone
 
Synthèse Solucom - Big data : une mine d'or pour l'Assurance
Synthèse Solucom - Big data : une mine d'or pour l'AssuranceSynthèse Solucom - Big data : une mine d'or pour l'Assurance
Synthèse Solucom - Big data : une mine d'or pour l'AssuranceWavestone
 
The Internet of Things: the 4 security dimensions of smart devices
The Internet of Things: the 4 security dimensions of smart devicesThe Internet of Things: the 4 security dimensions of smart devices
The Internet of Things: the 4 security dimensions of smart devicesWavestone
 
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...Wavestone
 
Réseaux physiques à l'ère du digital : se transformer ou mourir
Réseaux physiques à l'ère du digital : se transformer ou mourirRéseaux physiques à l'ère du digital : se transformer ou mourir
Réseaux physiques à l'ère du digital : se transformer ou mourirWavestone
 
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...Wavestone
 
Carrefour des organisations n°77
Carrefour des organisations n°77Carrefour des organisations n°77
Carrefour des organisations n°77Wavestone
 
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?Wavestone
 
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?Wavestone
 
Solucom - Les Cahiers d'Insurance Speaker
Solucom - Les Cahiers d'Insurance SpeakerSolucom - Les Cahiers d'Insurance Speaker
Solucom - Les Cahiers d'Insurance SpeakerWavestone
 
Solucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201webSolucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201webWavestone
 

Mais de Wavestone (20)

Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
 
Bank insight n°7 - La valorisation de la donnée
Bank insight n°7 - La valorisation de la donnéeBank insight n°7 - La valorisation de la donnée
Bank insight n°7 - La valorisation de la donnée
 
Digitalisation des parcours client : client first !
Digitalisation des parcours client : client first !Digitalisation des parcours client : client first !
Digitalisation des parcours client : client first !
 
Bank insight n°3 - Agilité : changement de paradigme
Bank insight n°3 - Agilité : changement de paradigmeBank insight n°3 - Agilité : changement de paradigme
Bank insight n°3 - Agilité : changement de paradigme
 
Solucom offices receive a breath of fresh “Air”
Solucom offices receive a breath of fresh “Air”Solucom offices receive a breath of fresh “Air”
Solucom offices receive a breath of fresh “Air”
 
Solucom réinvente ses locaux avec "Air" - Dossier de presse
Solucom réinvente ses locaux avec "Air" - Dossier de presseSolucom réinvente ses locaux avec "Air" - Dossier de presse
Solucom réinvente ses locaux avec "Air" - Dossier de presse
 
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?Bank Insight n°2 - MIF2 : contrainte ou opportunité ?
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?
 
Physical sales networks in the digital era : change or die
Physical sales networks in the digital era : change or diePhysical sales networks in the digital era : change or die
Physical sales networks in the digital era : change or die
 
Bank Insight - Piloter la relation client
Bank Insight - Piloter la relation clientBank Insight - Piloter la relation client
Bank Insight - Piloter la relation client
 
BruCON 2015 - Pentesting ICS 101
BruCON 2015 - Pentesting ICS 101BruCON 2015 - Pentesting ICS 101
BruCON 2015 - Pentesting ICS 101
 
Synthèse Solucom - Big data : une mine d'or pour l'Assurance
Synthèse Solucom - Big data : une mine d'or pour l'AssuranceSynthèse Solucom - Big data : une mine d'or pour l'Assurance
Synthèse Solucom - Big data : une mine d'or pour l'Assurance
 
The Internet of Things: the 4 security dimensions of smart devices
The Internet of Things: the 4 security dimensions of smart devicesThe Internet of Things: the 4 security dimensions of smart devices
The Internet of Things: the 4 security dimensions of smart devices
 
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...
 
Réseaux physiques à l'ère du digital : se transformer ou mourir
Réseaux physiques à l'ère du digital : se transformer ou mourirRéseaux physiques à l'ère du digital : se transformer ou mourir
Réseaux physiques à l'ère du digital : se transformer ou mourir
 
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
 
Carrefour des organisations n°77
Carrefour des organisations n°77Carrefour des organisations n°77
Carrefour des organisations n°77
 
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
 
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?
 
Solucom - Les Cahiers d'Insurance Speaker
Solucom - Les Cahiers d'Insurance SpeakerSolucom - Les Cahiers d'Insurance Speaker
Solucom - Les Cahiers d'Insurance Speaker
 
Solucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201webSolucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201web
 

Big Data et sécurité: protéger sans freiner !

  • 1. FOCUS SOLUCOM BIG DATA et securité : PROTéGER SANS FREINER ! ncore au sommet du peak of expectations du Gartner l’année dernière, le « Big Data » est toujours l’un des sujets d’inté-rêt majeur de 2014. Il ne se passe pas une semaine sans qu’un nouvel acteur pré-sente e une solution Big Data innovante, ou qu’un géant de l’informatique annonce un partenariat avec une start-up spécialisée dans le sujet, si ce n’est son rachat. Difficile dans ce contexte de savoir quelle posi-tion adopter… Pour le Responsable Sécurité ou le Risk Manager, il est pourtant possible voire néces-saire de se préparer à un phénomène qui a d’ores et déjà dépassé le stade du discours marketing. Le Big Data, un concept aux frontières encore mouvantes Tout le monde s’accorde aujourd’hui sur une définition du Big Data qui tourne autour du critère dit « des 3V » (pour volume, variété, vélocité). Du point de vue de la sécurité, on peut les analyser de la manière suivante : • Volume : la quantité de données à stocker, traiter et protéger tout au long de leur cycle de vie est d’un ordre nouveau par rapport aux bases de données actuelles. Nous sommes entrés dans l’ère du zettaoctet, soit 1012 gigaoctets. AUTEUR CHADI hantouche Manager au sein de la practice Risk Management et Sécurité. Depuis 8 ans, il se spécialise dans la protection des infrastructures, des terminaux et des applications. Il est intervenu auprès de nombreux grands comptes, notamment pour définir leur schéma directeur de sécurité, ainsi que sur des problématiques de cybersécu-rité, de mobilité ou de Cloud computing. chadi.hantouche@solucom.fr @ChadiHantouche
  • 2. • Variété : il n’y a théoriquement pas de limites aux types de données qu’il va falloir sécuriser. Il peut s’agir de documents, messages sous des formats textes, audios, vidéos… qui proviennent de sources aussi diverses que l’entreprise, le gouvernement, des bases Open Data, etc. • Vélocité : les données vont être traitées à la volée pour fournir des résultats « instantanés », et vont donc devoir être protégées en temps réel. Pour compléter cette définition, certains recommandent d’ajouter un certain nombre de « V » (Valeur, Véracité, Visibilité…) aux précédents. Ces trois termes constituent néanmoins une base partagée. Du marketing, mais aussi des mises en oeuvre concrètes Un grand nombre d’acteurs du marché affirment aujourd’hui vendre des solutions de Big Data ou faire un usage « révolutionnaire » de ces technologies dans leurs produits. Dans de nombreux cas, il ne s’agit que d’un argument de vente afin de mettre en avant leur capacité à traiter un grand volume d’information et à les modéliser différemment… sans pour autant qu’il ne s’agisse d’une « révolution ». Cependant, plusieurs projets viennent aujourd’hui confirmer l’existence d’opportunités véritablement innovantes. Les secteurs de la banque et de l’assurance s’intéressent de plus en plus au comportement de leurs clients et recoupent les données des utilisateurs provenant de différents médias ou systèmes pour en affiner la compréhension. Dans l’industrie et le transport, ce sont plutôt les objets connectés qui génèrent la collecte de mégadonnées sur la consommation des clients ou leurs habitudes. Le moteur de recherche Google est un exemple d’utilisation réussie : s’il domine sans partage le marché, c’est parce qu’il fait usage, depuis plus de dix ans, de technologies Big Data qui permettent d’offrir des résultats convaincants aux utilisateurs. Dans tous les cas, l’objectif des traitements est double : mieux comprendre les usages de ses clients pour optimiser la pertinence du service et l’expérience utilisateur, mais aussi (et surtout !) monétiser les informations collectées, soit en proposant de nouveaux usages, soit en les revendant à des tiers. Motivés à la fois par ces réussites et par le marketing des éditeurs de solutions, des projets « Big Data », dont la finalité n’est pas toujours claire, émergent dans les entreprises. Les Directions Métiers demandent parfois des installations de solutions de Big Data afin d’en évaluer les potentiels usages, sans en comprendre le fonctionnement ni en avoir mesuré la pertinence. Ne pas attendre la maturité du marché pour se préparer Plusieurs années seront encore nécessaires pour avoir une vision complète sur la sécurité du Big Data (voir figure 1). En effet, si les technologies peuvent aujourd’hui être considérées comme disponibles - certaines, comme le framework Hadoop, sont même passées sous licences libres, encourageant les entreprises à expérimenter - un certain nombre d’éléments clés sont encore en cours de structuration. Dans un premier temps, il va falloir démultiplier les compétences de Data Science. Des établissements d’enseignement supérieur se sont d’ores et déjà lancés dans l’aventure, en proposant des filières spécialisées, ou des formations complémentaires pour les professionnels souhaitant se mettre à niveau. Par ailleurs, les réflexions sur la donnée sont amenées à évoluer et à intégrer le Big Data. Le marché va également poursuivre sa consolidation – on le constate déjà à travers des annonces de rachats ou de partenariats entre les acteurs. La réglementation, enfin, va devoir clarifier les possibilités et surtout les limites d’utilisation de ces données ! BIG DATA « Du Big Data ? Mais j’en fais depuis longtemps ! » C’est le discours que l’on entend parfois, notamment au sein d’organisations qui font de la Business Intelligence depuis des années. S’il est vrai que le fait de traiter des données en respectant un ou deux des « 3 V » n’est pas nouveau en soi, il est tout de même rare de cumuler les trois. En effet, les technologies permettant ces traitements sont récentes, et leur maîtrise encore à démontrer… sans même parler des besoins de stockage massif ! FIGURE 1 : ÉTAPES VERS LA MATURITÉ DU BIG DATA
  • 3. le big data, createur de nouveaux risques L e s g r a n d s r i s q u e s s o n t l i é s à l a d o n n é e . . . Bien entendu, les risques classiquement liés aux données sont toujours présents et même amplifiés dans le cas du Big Data : la perte ou le vol de données à cause d’une mauvaise maîtrise des nouvelles solutions, la dépendance à des fournisseurs, des applications ou des technologies jeunes et mouvantes, l’interception de données, ou encore la perte des infrastructures informatiques. Ma i s d e n o u v e a u x t y p e s d e risques apparaissent également : Liés à l’acquisition de données : si celles-ci sont de mauvaise qualité ou malicieuses, le traitement pourrait être loin des résultats escomptés, voire porter atteinte au système d’information de l’entreprise. Des questions se posent également quant à la propriété intellectuelle de ces données, notamment sur le droit qu’a une entreprise de les utiliser ou non. Liés aux réglementations : il s’agit du risque de réaliser des traitements non-conformes au regard de la loi. En particulier, il très facile de « désanonymiser » des données initialement anonymes, en croisant diverses sources. Ce type « d’inférence » doit faire l’objet d’une attention toute particulière. Par ailleurs, un système Big Data rend plus probable la réalisation d’un traitement illégal, sans même l’avoir initialement recherché. Liés à la vie de la donnée : les systèmes de Big Data fonctionnent largement de manière répartie, avec des données décentralisées et dupliquées. Beaucoup de fournisseurs se basent d’ailleurs sur des systèmes de Cloud computing : autant d’éléments qui peuvent rendre la donnée plus difficile à identifier et à supprimer efficacement. …et les contre-mesures sont donc à mettre en oeuvre tout au long de son cycle de vie Là aussi, les mesures de protection classiques sont toujours valables dans le cas du Big Data. Cependant, de nouvelles mesures complémentaires doivent aussi être envisagées (voir figure 2). Un point essentiel ne doit pas être négligé dans leur mise en oeuvre : certaines sont du ressort de la DSI, d’autres doivent être prises en compte par les Métiers demandeurs, et plusieurs questions nécessiteront l’intervention de juristes spécialistes du sujet. FIGURE 2 : CONTREMESURES DE SÉCURITÉ SPÉCIFIQUES AU BIG DATA Il est très facile de « désanonymiser » des données initialement anonymes, en croisant diverses sources. Ce type « d’inférence » doit faire l’objet d’une attention toute particulière.
  • 4. C o m m e n t s e pr é pa r er à l’arrivée des mégadonnées Les fonctions de sécurité actuelles ne répondent qu’à une partie de la problématique. Il est nécessaire aujourd’hui de disposer de protections spécifiques au Big Data, sur toute la chaîne de traitement de la donnée : contrôle d’accès, anonymisation, t raça b i l i t é , t ra n s fe r t sécurisé… Malheureusement, la maturité des solutions de Big Data est très variable : dans la plupart des cas, aucun moyen de protection n’est offert nativement. Les produits les plus avancés intègrent des options intéressantes, mais rarement adaptées à l’échelle d’une grande entreprise. De nombreux éditeurs innovants proposent aujourd’hui des solutions permettant d’ajouter des fonctions de sécurité aux principales architectures de Big Data, que l’on peut classer en trois grandes catégories : La gestion des plateformes : les solutions aujourd’hui centralisées vont aller vers une décentralisation, d’une part du fait de la nature distribuée des systèmes Big Data, d’autre part à travers l’utilisation intensive du Cloud computing. Cette décentralisation nécessitera pourtant une harmonisation en termes de sécurité. La gestion des identités et des accès : actuellement plutôt basée sur la notion de « rôles » des utilisateurs RBAC (Role Based Access Control), celle-ci va progressivement s’appuyer sur les « attributs » de la donnée ABAC (Attribute Based Access Control) afin de déterminer qui peut accéder à quoi. La protection de la donnée : le chiffrement intégral, très répandu aujourd’hui, permet de protéger indifféremment les données d’un grand nombre d’utilisateurs (par exemple, toute une base de données). Pour protéger des niveaux de sensibilité différents et appartenant à différents propriétaires, il va être nécessaire d’opter pour un chiffrement très ciblé (par exemple, une cellule de la base Big Data). Plus concrètement, nous avons imaginé trois chantiers que les responsables sécurité peuvent lancer dès maintenant. Traiter avec les Métiers les risques liés à la perte d’anonymisation et aux sources de données En réévaluant les risques existants à la lumière des nouveautés apportées par le Big Data, ce sont ceux qui apparaissent comme les plus complexes à traiter aujourd’hui : il convient de s’en préoccuper, en les abordant de concert avec les Métiers et les juristes de l’entreprise. Maquetter les 1ères solutions de gestion des accès aux systèmes Big Data Le marché est encore balbutiant, et les acteurs se multiplient, bien qu’une certaine consolidation se poursuive. Il apparaît donc prudent de ne pas surinvestir dans une technologie de sécurisation qui pourrait être rapidement abandonnée ou dépassée. Pour autant, la question des identités et des accès aux bases Big Data mérite d’être explorée, par exemple en testant des solutions de type ABAC. BIG DATA Explorer les possibilités du Big Data pour la sécurité Le Big Data est de plus en plus utilisé pour fournir des systèmes de sécurité pertinents, qu’il peut être intéressant d’évaluer. On peut citer l’exemple des solutions d’antivirus ou de SIEM permettant de corréler ses évènements avec ceux d’autres entreprises afin de détecter une attaque avec plus de fiabilité. A terme, nous verrons probablement apparaître des systèmes de sécurité « statistiques », permettant par exemple de décider en temps réel d’ouvrir ou non un chemin réseau, en se basant sur un nombre immense de critères : position de l’expéditeur dans l’entreprise, nom et entreprise du destinataire, réputation de ceux-ci, contenu du flux, comportement des autres flux, attaques connues, date et heure… Les déploiements de systèmes Big Data sont amenés à se multiplier dans les prochaines années, pour atteindre leur pic sous 5 à 10 ans selon les études. L’explosion de l’internet des objets, les enjeux de personnalisation de la relation clients et les changements de modèles de vente entraîneront l’apparition de nouveaux cas d’usage. Même si tous les contextes ne s’y prêtent pas, il s’agit pour beaucoup d’organisations d’une mine d’informations dont la valeur n’est pas encore complètement exploitée. Il est important pour la sécurité de s’emparer dès aujourd’hui du sujet pour préparer l’avenir sereinement et être prête, le moment venu, à garantir les déploiements. Tour Franklin, 100-101 Terrasse Boieldieu, La Défense 8 - 92042 Paris La Défense Cedex Tél. : 01 49 03 20 00 - Fax. : 01 49 03 20 01 www.solucom.fr Il est prudent de ne pas surinvestir dans une technologie de sécurisation Big Data qui pourrait être rapidement dépassée.