Keynote at Cinquième Journée suisse de droit de la protection des données, June 14, 2012, Bern (French)

1. 14
juin,
2012
L'u$lisa$on
des
moyens
techniques
en
vue
d'une
améliora$on
de
la
protec$on
des
données
Jean-­‐Henry
Morin
Université
de
Genève

2. Préambule
(I)
La technologie n’est qu’un moyen au
service de pratiques et de métiers,
encore faut-il savoir en évaluer les
risques et les opportunités dans une
société participative dématérialisée et
orientée services.
« L’e-illettrisme sera l'illettrisme du
XXIe siècle »
Rapport Stavros Lambrinidis, Paelement EU, 2009
2

3. Préambule
(II)
Sécurité
=
Arbitrage
3

4. Facteur
Humain
!
IMG:
J.
Anderson
4

5. Facteur
Humain
(2)
La
Sécurité
se
contourne,
elle
ne
s’a2aque
pas
Inspiré par Adi Shamir, Turing Award lecture, 2002!
5

6. Les
dimensions
de
la
ProtecNon
des
Données
Technologie Droit
Data
Protection
Politiques
Publiques

7. De
la
Technologie
aux
Usages
Droit Technologie
Finance
Ethique
Data Economie
Politique Protection
Sociologie
Marketing
Etc. Communication

8. Sommaire
• Contexte
– 2
contextes
et
leurs
défis
• Moyens
Techniques
– 3
approches
et
leurs
limites
• PerspecNves
futures
&
Conclusion

9. ProtecNon
des
Données
• Deux
Contextes
– InsNtuNonnel
&
OrganisaNonnel
– Individuel
&
Privé
Et
des
nouveaux
défis…

10. La
protecNon
de
l’informaNon
aujourd’hui
La
noNon
de
Périmètre
• Basée
sur
le
“périmètre”
et
les
Listes
de
Contrôle
d’Accès
(ACL).
En
dehors
?
RIEN
!!!
(ou
presque)
Mobile Worker
VPN
Corporate Network
10

11. La
gesNon
des
“poliNques”
aujourd’hui
…
encore
un
Vœux
Pieux
!
11

12. Faits
et
Chiffres
But most corporations do lose
intellectual property through
employees. Whether intentionally or
inadvertently …
hgp://datalossdb.org/
Gartner
G2
News
Analysis,
Feb
25,
2003
A Deloitte & Touche auditor forgot in the seat pouch of an
airplane an unencrypted CD holding data of 9’000 McAfee
employees (names, social security #, shares of the company held)
Etc.
hgp://www.privacyrights.org/data-­‐breach
12

13. 53
%
!!!
13

14. Nouveaux
Défis
IaaS
SaaS
PaaS

15. Nouveaux
Défis

16. ProtecNon
des
Données
• Contexte
Individuel
&
Privé

17. http://goo.gl/WDUZ2

18. Privacy Made in Google
hgp://goo.gl/OgwX
18

19. Réforme
de
la
législaNon
EU
sur
la
ProtecNon
des
Données
• La
RéappropriaNon
de
nos
données
personnelles

20. Le
Droit
à
l’Oubli

21. Le
“Déni
de
Progrès”
hgp://goo.gl/oo3S3

22. La
Portabilité
des
Données
Exemple
des
médias
sociaux
Qui
est
au
centre
?

23. Quelle
ConversaNon
?
Silos
!
What
hgp://www.xcellimark.com/images/sce/silos.JPG
• Google
ConversaNon
?
• Facebook
ConversaNon
• Twiger
ConversaNon
• ImaginaNon
for
People
ConversaNon
• Etc.
hgp://www.alchemyuk.com/media/images/social_media_landscape.jpg

24. Jeremy
Bentham’s
PanopNcon
(18ème
siècle)

25. Social
Networks
PanopNcon
(21ème
siècle)
Vous
êtes
là
!

26. Social
Networks
/
Data
Divide
(risque
de
nouvelle
fracture
numérique)
Etc.

27. Moyens
Techniques
• Data
Loss
PrevenNon
(DLP)
• Digital
Rights
Management
(DRM)
• Exemple
de
Nouveau
Service

28. Data
Loss
PrevenNon
(DLP)
• Qu’est-­‐ce
que
le
Data
Loss
Preven$on
?
• Technologie
de
«
détecNon
d’extrusions
»
• Permet
d’idenNfier
des
informaNons
«
sensibles
»
par
leurs
contenus
(sniffing)
selon
3
situaNons
AVANT
leurs
«
fuite
»
• Data
in
MoNon
(DIM)
:
sur
le
réseau
• Data
at
Rest
(DAR)
:
sur
des
serveurs
de
données,
archivage
• Data
in
Usage
(DIU)
:
sur
des
terminaux
uNlisateurs
• Origine
:
• Records
Management
:
GesNon
du
cycle
de
vie
de
l’informaNon
• Où
est-­‐ce
u$lisé
?
• Secteur
de
l’Entreprise
• Nombreux
acteurs
et
soluNons
28

29. Digital
Rights
Management
(DRM)
GesNon
des
Droits
Électoniques
• Qu’est-­‐ce
que
la
technologie
DRM
?
• Technologie
permegant
d’associer
cryptographiquement
des
Règles
d’usage
à
des
Contenus
Numériques
• Ces
règles
gouvernent/régissent
l’usage
de
ces
contenus
• Le
contenu
devient
protégé
de
façon
persistante
où
qu’il
soit
(superdistribuNon)
• Exemples
:
• Un
contenu
numérique
ne
peut
pas
être
u$lisé
plus
de
3
fois
• DesNnataires
d’un
email
ne
peuvent
pas
FAIRE
SUIVRE,
IMPRIMMER,
COPIER
un
email
• Cege
présentaNon
EXPIRE
le
14
juin
2012,
à
18H00
• Où
est-­‐ce
u$lisé
?
• IniNalement
dans
le
secteur
du
diver$ssement
et
des
médias©
• Depuis
2003
:
Secteur
de
l’Entreprise,
suite
aux
scandales
financiers,
quesNons
de
conformité,
cadres
régulatoires,
PI,
etc.
• Logiciels,
jeux,
etc.
29

30. DLP
&
DRM
Quels
Rapports
• Informa$on
Protec$on
&
Control
(IPC)
• Deux
faces
d’une
même
médaille
• En
amont,
DLP
:
PrévenNon,
détecNon
• En
aval,
DRM
:
ProtecNon
persistante
• Limites
:
• Standards
et
Interoperabilité
• DLP
ParNellement
couplées
aux
DRM
• Complexité
• UNlisabilité
• InformaNons
non
structurées
• Nouveaux
Défis
?
• Les
netups,
PME,
projets
ad-­‐hoc,
Entreprise
Virtuelle
Etendue,
etc.
• Data
in
the
Cloud
(DiC)
• Transparence,
uNlisabilité
&
Confiance
30

31. DLP + DRM = DPM
Importance pour les Organisations
• Technologies
pour
la
gesNon
électronique
des
droits
et
des
poliNques
régissant
l’uNlisaNon
de
contenus
au
sens
large
de
façon
persistante:
• Permet
une
ges6on
responsable
de
l’uNlisaNon
de
contenus
tant
à
l’intérieur
qu’à
l’extérieur
du
périmètre
de
l’Entreprise
(firewall,
VPN…)
• Aide
à
la
gesNon
des
classifica$ons
(e.g.
“confidenNel
pour
l’entreprise”,
“comité
de
direcNon”,
projets,
etc.)
• Aide
à
la
gesNon
et
la
mise
en
conformité
des
cadres
régulatoires
et
des
poliNques
d’Entreprises
• Sarbanes-­‐Oxley,
Basel
II,
HIPAA,
NASD
2711,
etc.
• PoliNques
de
réten$on
(email,documents,etc.)
• Tracabilité
(Traces
d’audit,
tracking,
monitoring,
mesure)
• Aide
à
la
gesNon
des
octrois
/
révoca$ons
des
poliNques
d’accès

32. Ce que DLP & DRM ne peuvent pas faire
• Offrir
une
sécurité
totale
“
niveau
militaire
”
• Juste
équilibre
entre
la
sécurité
et
un
niveau
de
risque
“
commercialement
viable
”
• La
sécurité
absolue
n’existe
pas
• ProtecNon
contre
les
agaques
“analogiques”(The
Analog
Hole,
la
passoire
analogique)
32

33. Un Paradoxe
On parle de Confiance (Trusted Computing) à l’ère
du numérique…
…mais tout l’édifice repose sur une
hypothèse de “non-confiance”
http://zatoichi.homeip.net/~brain/TrustedComputing.jpg

34. Moyens
Techniques:
Exemple
de
Nouveaux
Services

35. Exemple
de
Nouveaux
Services
hgps://Priv.ly/posts/
2342536674

36. PerspecNves

37. La
Portabilité
des
Données
Une
Idée
“simple”

38. Travaux
récents
et
en
cours
• GesNon
d’ExcepNons
dans
les
environnements
DRM
(Morin,
2009,
2010)
• Approche
de
gesNon
des
données
personnelles
combinant
les
technologies
DRM
et
les
mécanismes
de
gesNon
d’excepNons
(Morin,
2010)
• Les
technique
de
“Personal
DRM”
(Tchao
et
al.,
2012)
– Approche
décentralisé
– Objet
acNf
autonome,
adaptaNfs
– Algorithmes
système
immunitaire
arNficiel
(SIA)
– Système
ouvert
et
distribué
:
faible
barrière
à
l’entrée

39. Personal
Social
Cloud
of
Things
(PSCoT)
(Morin
et
al.,
2010)

40. SensibilisaNon
et
FormaNon
Service de sensibilisation à la protection
des données et à la transparence
h`p://thinkdata.ch/
5’400+
visites
de
plus
de
3’
depuis
le
27
janvier
2012
hgp://on.}.me/yeVnxY
@ThinkData101

41. Menace
sur
la
protecNon
des
données
et
la
transparence
à
Genève
hgp://goo.gl/5XTCT
hgp://www.facebook.com/PPDTGE

42. Pour
Conclure…
• La
technologie
a
ses
limites
(moyen)
• La
Confiance
comme
base
de
la
Responsabilité
• Travaillons
ENSEMBLE
à
la
concepNon
de
soluNons
innovantes
de
demain
• Eduquer,
Sensibiliser,
Former

43. Soyons Numériquement Exigeants et
Responsables !
La conversation continue…
Merci
Contacts:
@jhmorin
Jean-Henry Morin
University of Geneva – CUI
hgp://ch.linkedin.com/in/jhmorin
Institute of Services Science
http://iss.unige.ch/
hgp://jean-­‐henry.com/
Jean-Henry.Morin@unige.ch
hgp://www.slideshare.net/jhmorin