Big Data et sécurité: protéger sans freiner !
4
NCORE AU SOMMET DU PEAK OF EXPECTATIONS DU GARTNER L’ANNéE DERNIèRE, LE « BIG DATA » EST TOUJOURS L’UN DES SUJETS D’INTé- RêT MAJEUR DE 2014. IL NE SE PASSE PAS UNE SEMAINE SANS QU’UN NOUVEL ACTEUR PRé- SENTE UNE SOLUTION BIG DATA INNOVANTE, OU QU’UN GéANT DE L’INFORMATIQUE ANNONCE UN PARTENARIAT AVEC UNE START-UP SPéCIALISéE DANS LE SUJET, SI CE N’EST SON RACHAT. DIFFICILE DANS CE CONTEXTE DE SAVOIR QUELLE POSI- TION ADOPTER… POUR LE RESPONSABLE SéCURITé OU LE RISK MANAGER, IL EST POURTANT POSSIBLE VOIRE NéCES- SAIRE DE SE PRéPARER à UN PHéNOMèNE QUI A D’ORES ET DéJà DéPASSé LE STADE DU DISCOURS MARKETING. LE BIG DATA, UN CONCEPT AUX FRONTIÈRES ENCORE MOUVANTES Tout le monde s’accorde aujourd’hui sur une définition du Big Data qui tourne autour du critère dit « des 3V » (pour volume, variété, vélocité). Du point de vue de la sécurité, on peut les analyser de la manière suivante : • Volume : la quantité de données à stocker, traiter et protéger tout au long de leur cycle de vie est d’un ordre nouveau par rapport aux bases de données actuelles. Nous sommes entrés dans l’ère du zettaoctet, soit 10 12 gigaoctets. E BIG DATA ET SECURITÉ : PROTÉGER SANS FREINER ! AUTEUR FOCUS SOLUCOM CHADI HANTOUCHE Manager au sein de la practice Risk Management et Sécurité. Depuis 8 ans, il se spécialise dans la protection des infrastructures, des terminaux et des applications. Il est intervenu auprès de nombreux grands comptes, notamment pour définir leur schéma directeur de sécurité, ainsi que sur des problématiques de cybersécu- rité, de mobilité ou de Cloud computing. [email protected] @ChadiHantouche
-
Upload
solucom -
Category
Technology
-
view
104 -
download
6
description
Encore au sommet du peak of expectationsdu Gartner l’année dernière, le « Big Data » est toujours l’un des sujets d’intérêt majeur de 2014. Il ne se passe pas une semaine sans qu’un nouvel acteur présente une solution Big Data innovante, ou qu’un géant de l’informatique annonce un partenariat avec une start-up spécialisée dans le sujet, si ce n’est son rachat. Difficile dans ce contexte de savoir quelle position adopter… Pour le Responsable Sécurité ou le Risk Manager, il est pourtant possible voire nécessaire de se préparer à un phénomène qui a d’ores et déjà dépassé le stade du discours marketing.
Transcript of Big Data et sécurité: protéger sans freiner !
ncore au sommet du peak of expectations du Gartner l’année dernière, le « BiG data » est toujours l’un des sujets d’inté-rêt majeur de 2014. il ne se passe pas une semaine sans qu’un nouvel acteur pré-
sente une solution BiG data innovante, ou qu’un Géant de l’informatique annonce un partenariat avec une start-up spécialisée dans le sujet, si ce n’est son rachat.
difficile dans ce contexte de savoir quelle posi-tion adopter… pour le responsaBle sécurité ou le risk manaGer, il est pourtant possiBle voire néces-saire de se préparer à un phénomène qui a d’ores et déjà dépassé le stade du discours marketinG.
Le Big Data, un concept aux frontières encore mouvantestout le monde s’accorde aujourd’hui sur une définit ion du Big data qui tourne autour du critère dit « des 3v » (pour volume, variété, vélocité). du point de vue de la sécurité, on peut les analyser de la manière suivante :
• volume : la quantité de données à stocker, traiter et protéger tout au long de leur cycle de vie est d’un ordre nouveau par rapport aux bases de données actuelles. nous sommes entrés dans l’ère du zettaoctet, soit 1012 gigaoctets.
e
Big Data et securité : protéger sans freiner !
auteur
FOCUS SOLUCOM
CHADI HAntouCHe
Manager au sein de la practice Risk Management et Sécurité. depuis 8 ans, il se spécialise dans la protection des infrastructures, des terminaux et des applications. il est intervenu auprès de nombreux grands comptes, notamment pour définir leur schéma directeur de sécurité, ainsi que sur des problématiques de cybersécu-rité, de mobilité ou de cloud computing. [email protected] @chadihantouche
• variété : il n’y a théoriquement pas de limites aux types de données qu’il va falloir sécuriser. il peut s’agir de documents, messages sous des formats textes, audios, vidéos… qui proviennent de sources aussi diverses que l’entreprise, le gouvernement, des bases open data, etc.
• vélocité : les données vont être traitées à la volée pour fournir des résultats « instantanés », et vont donc devoir être protégées en temps réel.
pour compléter cette définition, certains recommandent d’ajouter un certain nombre de « v » (valeur, véracité, visibilité…) aux précédents . ces tro is termes constituent néanmoins une base partagée.
Du marketing, mais aussi Des mises en œuvre concrètesun grand nombre d’acteurs du marché affirment aujourd’hui vendre des solutions de Big data ou faire un usage « révolutionnaire » de ces technologies dans leurs produits. dans de nombreux cas, il ne s’agit que d’un argument de vente afin de mettre en avant leur capacité à traiter un grand volume d’information et à les modéliser différemment… sans pour autant qu’il ne s’agisse d’une « révolution ».
cependant, plusieurs projets viennent a u j o u rd ’ h u i co n f i r m e r l’ ex i s te n ce d’opportunités véritablement innovantes.
les secteurs de la banque et de l’assurance s’intéressent de plus en plus au comportement de leurs clients et recoupent les données des utilisateurs provenant de différents médias ou systèmes pour en affiner la compréhension.
dans l’industrie et le transport, ce sont plutôt les objets connectés qui génèrent la collecte de mégadonnées sur la consommation des clients ou leurs habitudes.
le moteur de recherche Google est un exemple d’utilisation réussie : s’il domine sans partage le marché, c’est parce qu’il fait usage, depuis plus de dix ans, de technologies Big data qui permettent d’offrir des résultats convaincants aux utilisateurs.
dans tous les cas, l’objectif des traitements est double : mieux comprendre les usages de ses clients pour optimiser la pertinence du service et l’expérience utilisateur, mais aussi (et surtout !) monétiser les informations collectées, soit en proposant de nouveaux usages, soit en les revendant à des tiers.
motivés à la fois par ces réussites et par le marketing des éditeurs de solutions, des projets « Big data », dont la finalité n’est pas toujours claire, émergent dans les entreprises. les directions métiers demandent parfois des installations de solutions de Big data afin d’en évaluer les potentiels usages, sans en comprendre le fonctionnement ni en avoir mesuré la pert inence.
ne pas attenDre La maturité Du marché pour se préparerplusieurs années seront encore nécessaires pour avoir une vision complète sur la sécurité du Big data (voir figure 1).
en effet, si les technologies peuvent aujourd’hui être considérées comme disponibles - certaines, comme le framework hadoop, sont même passées sous licences libres, encourageant les entreprises à expérimenter - un certain nombre d’éléments clés sont encore en cours de structuration.
dans un premier temps, il va falloir démultiplier les compétences de Data science. des établissements d’enseignement supérieur se sont d’ores et déjà lancés dans l’aventure, en proposant des filières spécialisées, ou des formations complémentaires pour les professionnels souhaitant se mettre à niveau.
par ailleurs, les réflexions sur la donnée sont amenées à évoluer et à intégrer le Big data.
le marché va également poursuivre sa consolidation – on le constate déjà à travers des annonces de rachats ou de partenariats entre les acteurs.
la réglementation, enfin, va devoir clarifier les possibilités et surtout les limites d’utilisation de ces données !
Big Data
« Du Big Data ?
Mais j ’en fais Depuis
longteMps ! »
c’est le discours que l’on entend parfois, notamment a u s e i n d ’ o rg a n i s a t i o n s qu i fon t de la Bus iness intelligence depuis des années.
s’il est vrai que le fait de traiter des données en respectant un ou deux des « 3 v » n’est pas nouveau en soi, il est tout de même rare de cumuler les trois.
en effet, les technologies permettant ces traitements sont récentes, et leur maîtrise encore à démontrer… sans même parler des besoins de stockage massif !
figure 1 : étapes vers La maturité Du Big Data
Le Big Data, createur De nouveaux risques
L e s g r a n d s r i s q u e s s o n t l i é s à l a d o n n é e . . . Bien entendu, les risques classiquement liés aux données sont toujours présents et même amplifiés dans le cas du Big data : la perte ou le vol de données à cause d’une mauvaise maîtrise des nouvelles solutions, la dépendance à des fournisseurs, des applications ou des technologies jeunes et mouvantes, l’interception de données, ou encore la perte des infrastructures informatiques.
m a i s d e n o u v e a u x t y p e s d e r isques apparaissent également :
Liés à l’acquisition de données : si celles-ci sont de mauvaise qualité ou malicieuses, le traitement pourrait être loin des résultats escomptés, voire porter atteinte au système d’information de l’entreprise. des questions se posent également quant à la propriété intellectuelle de ces données, notamment sur le droit qu’a une entreprise de les utiliser ou non.
Liés aux réglementations : il s’agit du risque de réaliser des traitements non-conformes au regard de la loi. en particulier, il très facile de « désanonymiser » des données initialement anonymes, en croisant diverses sources. ce type « d’inférence » doit faire l’objet d’une attention toute particulière. par ailleurs, un système Big data rend plus probable la réalisation d’un traitement illégal, sans même l’avoir initialement recherché.
Liés à la vie de la donnée : les systèmes de Big data fonctionnent largement de manière répartie, avec des données décentralisées et dupliquées. Beaucoup de fournisseurs se basent d’ailleurs sur des systèmes de cloud computing : autant d’éléments qui peuvent rendre la donnée plus difficile à identifier et à supprimer efficacement.
…et les contre-mesures sont donc à mettre en œuvre tout au long de son cycle de vie là aussi, les mesures de protection classiques sont toujours valables dans le cas du Big data. cependant, de nouvelles mesures complémentaires doivent aussi être envisagées (voir figure 2).
un point essentiel ne doit pas être négligé dans leur mise en œuvre : certaines sont du ressort de la dsi, d’autres doivent être prises en compte par les métiers demandeurs, et plusieurs questions nécessiteront l’intervention de juristes spécialistes du sujet.
I l est très facile de « désanonymiser » des données initialement anonymes, en croisant diverses sources. Ce type « d’inférence » doit faire l’objet d’une attention toute particulière.
figure 2 : contremesures De sécurité spécifiques au Big Data
c o m m e n t s e p r é p a r e r à L ’ a rr i v é e Des mégaDonnées les fonctions de sécurité actuelles ne répondent qu’à une partie de la problématique. il est nécessaire aujourd’hui de disposer de protections spécifiques au Big data, sur toute la chaîne de traitement de la donnée : contrôle d’accès, anonymisation, t r a ç a b i l i t é , t r a n s f e r t s é c u r i s é …
malheureusement , la matur i té des solutions de Big data est très variable : dans la plupart des cas, aucun moyen de protection n’est offert nativement. les produits les plus avancés intègrent des options intéressantes, mais rarement adaptées à l’échelle d’une grande entreprise.
de nombreux éditeurs innovants proposent aujourd’hui des solutions permettant d’ajouter des fonctions de sécurité aux principales architectures de Big data, que l’on peut classer en trois grandes catégories :
La gest ion des pl ateform es : le s solutions aujourd’hui centralisées vont aller vers une décentralisation, d’une part du fait de la nature distribuée des systèmes Big data, d’autre part à travers l’utilisation intensive du cloud computing.
cette décentralisation nécessitera pourtant une harmonisation en termes de sécurité.
La gestion des identités et des accès : actuellement plutôt basée sur la notion de « rôles » des utilisateurs rBac (Role Based access control), celle-ci va progressivement s’appuyer sur les « attributs » de la donnée aBac (attribute Based access control) afin de déterminer qui peut accéder à quoi.
La protection de la donnée : le chiffrement intégral, très répandu aujourd’hui, permet de protéger indifféremment les données d’un grand nombre d’utilisateurs (par exemple, toute une base de données). pour protéger des niveaux de sensibilité différents et appartenant à différents propriétaires, il va être nécessaire d’opter pour un chiffrement très ciblé (par exemple, une cellule de la base Big data).
plus concrètement, nous avons imaginé trois chantiers que les responsables sécurité peuvent lancer dès maintenant.
Traiter avec les Métiers les risques liés à la perte d’anonymisation e t a u x s o u rc e s d e d o n n é e s en réévaluant les risques existants à la lumière des nouveautés apportées par le Big data, ce sont ceux qui apparaissent comme les plus complexes à traiter aujourd’hui : il convient de s’en préoccuper, en les abordant de concert avec les métiers et les juristes de l’entreprise.
Maquetter les 1ères solutions de gestion des accès aux systèmes Big Data le marché est encore balbutiant, et les acteurs se multiplient, bien qu’une certaine consolidation se poursuive. il apparaît donc prudent de ne pas surinvestir dans une technologie de sécurisation qui pourrait être rapidement abandonnée ou dépassée.
pour autant, la question des identités et des accès aux bases Big data mérite d’être explorée, par exemple en testant des solutions de type aBac.
E x p lo re r le s p o s s i b i l i t é s d u B i g D a t a p o u r l a s é c u r i t é le Big data est de plus en plus utilisé pour fournir des systèmes de sécurité pertinents, qu’il peut être intéressant d’évaluer. on peut citer l’exemple des solutions d’antivirus ou de siem permettant de corréler ses évènements avec ceux d’autres entreprises afin de détecter une attaque avec plus de fiabilité. a terme, nous verrons probablement apparaître des systèmes de sécurité « statistiques », permettant par exemple de décider en temps réel d’ouvrir ou non un chemin réseau, en se basant sur un nombre immense de critères : position de l’expéditeur dans l’entreprise, nom et entreprise du destinataire, réputation de ceux-ci, contenu du flux, comportement des autres flux, attaques connues, date et heure…
les déploiements de systèmes Big data sont amenés à se multiplier dans les prochaines années, pour atteindre leur pic sous 5 à 10 ans selon les études. l’explosion de l’internet des objets, les enjeux de personnalisation de la relation clients et les changements de modèles
de vente entraîneront l’apparition de nouveaux cas d’usage. même si tous les contextes ne s’y prêtent pas, il s’agit pour beaucoup d’organisat ions d ’une mine d’informations dont la valeur n’est pas encore complètement exploitée. il est important pour la sécurité de s’emparer dès aujourd’hui du sujet pour
préparer l’avenir sereinement et être prête, le moment venu, à garantir les déploiements.
Tour Franklin, 100-101 Terrasse Boieldieu, La Défense 8 - 92042 Paris La Défense CedexTél. : 01 49 03 20 00 - Fax. : 01 49 03 20 01
www.solucom.fr
Big Data
Il est prudent de ne pas surInvestIr dans une technologIe de sécurIsatIon BIg data quI pourraItêtre rapIdement dépassée.
