Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Conférence à l'ISG...
-
Upload
university-of-geneva -
Category
Internet
-
view
407 -
download
0
description
Transcript of Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Conférence à l'ISG...
Responsabilité Numérique: Restaurer la confiance à l’ère du numérique
7 mai 2014
Conférence Planète Ouverte ISG - Paris
Prof. Jean-‐Henry Morin Université de Genève – CUI Ins;tute of Services Science
Jean-‐[email protected]
@jhmorin
2
Préambule (I)
La technologie n’est qu’un moyen au service de pratiques et de métiers, encore faut-il savoir en évaluer les
risques et les opportunités dans une société participative dématérialisée et
orientée services.
« L’e-illettrisme sera l'illettrisme du XXIe siècle » Rapport Stavros Lambrinidis, Paelement EU, 2009
3
Préambule (II) Sécurité = Arbitrage
Risques Moyens
4
La Sécurité se contourne, elle ne s’a8aque pas
Inspiré par Adi Shamir, Turing Award lecture, 2002!
Préambule (III) Facteur Humain
5
Préambule (IV) Innova;on & Design
hSp://www.ideo.com/
Sommaire
• 2 Contextes, 1 technologie
• 3 temps de la confiance
• La technologie revisitée
• Principe de Co-Conformité et Responsabilité Numérique
• Et après ?
7
Qui n’a JAMAIS « contourné » un politique de sécurité pour faire un travail légitime que des
systèmes vous empêchent de faire ?
Contexte #1
Secteur des Organisa;ons
53 % !!!
9
Secteur des Organisa;ons • 53% admettent contourner les politiques de sécurité de
l’organisation pour pouvoir travailler (EMC RSA Security, 2008)
• Parmi les raisons les plus citées de contourner les politiques de sécurité d’une l’organisation (Cisco, 2008)
a) Ne correspond pas à la réalité opérationnelle ni à ce qui est demandé pour faire son travail
b) Nécessité d’accéder à des applications ne faisant pas partie (ou pas autorisées par) des politiques IT de l’organisation pour travailler
• Conséquences: accroissement des risques et des coûts • Requiert de la « créativité » pour faire son travail ! • Augmentation du stress lié à des actions non autorisées • Inefficacités • Transgressions / violations : intraçables
11
La protec;on de l’informa;on aujourd’hui La no;on de Périmètre
• Basée sur le “périmètre” et les Listes de Contrôle d’Accès (ACL). En dehors ? RIEN !!! (ou presque)
Mobile Worker
Corporate Network
VPN
Contexte #2
Secteur du Diver;ssement
©
L’HADOPI en Image !
DPI
Deep Packet Inspection et techniques d’identification inefficaces http://dmca.cs.washington.edu/
1 Technologie
DRM
Comment en sommes nous arrivés là… … un scénario dystopique?
hSp://www.flickr.com/search/?q=DRM
3 Temps de la confiance
• Hier – Méfiance
• Aujourd’hui – Rupture de confiance
• Demain – L’avènement de la « confiance éclairée »
hSp://eloquentscience.com/wp-‐content/uploads/2012/05/past-‐present-‐future-‐sign1.jpg
< Hier >
Méfiance
Un Paradoxe
On parle de Confiance (Trusted Computing) à l’ère
du numérique…
…mais tout l’édifice repose sur une hypothèse de “non-confiance”
http://zatoichi.homeip.net/~brain/TrustedComputing.jpg
< Aujourd’hui >
Rupture massive de confiance
2013 = PRISM & Co.
< Demain >
L’avènement de la « confiance éclairée »
Can we “fix” it ? • Considérant que :
• La sécurité est nécessaire (no;on de contenus gérés) • Une sécurité absolue n’est ni réaliste ni désirable • Avec une « expérience u?lisateur » raisonnable, la plupart des gens se
conforment volon;ers (e.g., iTunes) • La plupart des gens ne sont pas des criminels
• Nous devons prendre du recul pour : • Repenser de façon cri;que la Sécurité, les DRMs, etc. • Reconsidérer le débat en dehors des extrêmes (tout ou rien, aboli;onnistes
et intégristes de la sécurité, etc.) • Intégrer par Design ces ques;ons dans le développement des systèmes et
des services numériques que nous u;lisons
Repenser & Reconcevoir
• Reconnaître le rôle central de l’u?lisateur et de son « expérience » • Rétablir les u;lisateurs dans leurs Rôles, Droits et Responsabilités • Présomp;on d’innocence & le fardeau de la preuve
• Principe fondamental pour repenser et reconcevoir DRM « Copyright Balance principle » (Felten, 2005)
“Since lawful use, including fair use, of copyrighted works is in the public interest, a user wishing to make lawful use of copyrighted material should not be prevented
from doing so by any DRM system.”
• Proposi?on : • Rendre la Confiance aux u;lisateurs • Renverser l’hypothèse de Non-‐Confiance
• Il s’agit d’un changement de paradigme majeur
De l’utopie à la Réalité…
Le modèle de Ges;on d’Excep;ons
29
Proposi;on: La ges;on d’excep;ons
• La GesCon d’ExcepCons dans la sécurité: mélange explosif ? Pas nécessairement !
• Renverser l’hypothèse de non-‐confiance replace l’u;lisateur face à ses responsabilités
• Permet aux u;lisateurs de générer des demandes d’excep?on et de leurs accorder des licences de courte durée sur la base d’une trace auditable
• U;liser des Créden?els comme « jetons » pour tracer et détecter les abus
• Les créden;els sont révocables de façon à gérer les situa;ons d’abus • Reconnaissance mutuelle de la nécessité de Contenus Gérés tout en
permeSant à l’ensemble des acteurs une u;lisa;on adaptable aux situa;ons par;culières (les cas par;culiers deviennent la « norme »).
La Ges;on d’Excep;ons dans des environnements de « contenus gérés »
• Qu’est-‐ce qu’une Excep?on ? • Une déclara?on / demande faite par un u;lisateur souhaitant
légi?mement accéder ou u;liser une ressource. • Basé sur des modèles existants de créden?els
• Modèle de déléga?on basé sur des autorités chainées • Rapprochement entre des autorités de ges?on de créden;els et les
u;lisateurs • Ges;on et possession locale des créden;els (base personnelle de
créden;els) • Durée de vie courte ou limitée • Révocables • Détermina;on dynamique au moment du besoin(enforcement point)
La Ges;on d’Excep;ons dans des environnements de « contenus gérés »
• Modèle auditable pour les abus, incluant la possibilité de révoca?on
• Fardeau de la preuve reposant sur la par;e ayant une raison jus;fiable de croire qu’un abus s’est produit (présomp;on d’innocence)
• Monitoring en (quasi) temps réel des poli;ques de sécurité
Fasoo.com
Transfert de technologie
32
Partenariat avec Fasoo.com • Juin 2011, Intégration du modèle de Gestion
d’Exceptions : « Provisional Licensing »
Perspec;ves… • Prise en compte du facteur humain par concep?on (People Centric Security, PCS)
• Protec;on des Données dans une économie Numérique : – sensibilisa?on et forma?on – La réforme EU sur la protec;on des données : La réappropria?on des données par l’individu
• Poli?ques Publiques et Gouvernance du Numérique: Facteur clé de succès, Urgence !
To Trust or not to be …
http://world.edu/wp-content/uploads/2013/02/climate-change-skeptics.jpg
Responsabilité Numérique : Confiance Éclairée & Transparence
Co-Conformité • Notion émergente de « Confiance éclairée »
• Co-Conformité (Co-Compliance): responsabilité collaborative favorisée par le numérique, permettant aussi bien l’élaboration conjointe de l’objet d’une décision ou d’une action que l’évaluation et le contrôle partagé du résultat.
• Coût: Changement MAJEUR de paradigme
Responsabilité Numérique ( Digital Responsibility )
Caractéristiques: • Conception centrée utilisateur • Prise en compte de toutes les parties prenantes • Proportionnalité des moyens mis en œuvre • Prise en compte du facteur humain • Ouverture et transparence • Partage et collaboration • Parcimonie et humilité de l’usage de l’instrument légal • Appui sur des cadres de politiques publiques durables
Conclusion • La confiance présuppose de laisser le libre arbitre à
l’humain (l’exception par design)
• Elle n’est en revanche pas aveugle (gérée, éclairée)
• Nous sommes face à un défi MAJEUR de notre Société participative dématérialisée!
• Une approche socialement responsable de la confiance à l’ère du numérique est-elle possible ?
Co-CoDesign
Charte
Label Ouvert
Rejoignez le projet : h\p://imagina?onforpeople.org/fr/project/co-‐codesign/
S o y o n s N u m é r i q u e m e n t E x i g e a n t s e t R e s p o n s a b l e s !
M e r c i …
Contacts: Prof. Jean-‐Henry Morin
Université de Genève – CUI Ins;tute of Services Science
hSp://iss.unige.ch/ Jean-‐[email protected]
@jhmorin
hSp://ch.linkedin.com/in/jhmorin
hSp://www.slideshare.net/jhmorin
hSp://jean-‐henry.com/