Big Data ou Bug Data ?

Un de plus gros défis de notre société actuelle reste incontestablement la sécurité et la protection des informations sensibles.

Dans l’ère prochaine, annoncée lumineuse, du Big Data, nos organisations vont se mettre à collecter massivement de la “Data”, pour prendre des décisions stratégiques éclairées, sur la base d’analyses plus ou moins complexes de données variées, agrégées, provenant de sources plus diverses les unes que les autres.

Dans le même temps, du côté plus sombre de l’IT, de nombreuses organisations continuent à développer et mettre en place des contrôles d’accès et autres mesures de sécurité corrects pour répondre aux exigences règlementaires de protection des données personnelles, aux exigences sectorielles, et à celles  définies par la Politique de Sécurité de l’organisation…

Par ailleurs, l’actualité ne cesse de bruisser des fuites de données, vols d’informations, divulgation publiques ou compromissions de systèmes (parfois suite à des attaques externes ciblées qui auront, pour certaines, mis des mois à être simplement détectées !).

Ainsi, depuis quelques années, silencieusement, une nouvelle économie criminelle a vu le jour, basée sur le volume et la qualité des données obtenues et la valeur marchande à la revente (informations confidentielles ou sensibles mais aussi données de paiements électroniques valides, identité numérique réutilisable, …).

Dans ce contexte, le Big Data des organisations, qui regorgent de données, seront incontestablement les nouvelles cibles privilégiées de demain.

Il n’est alors pas rassurant de réaliser qu’une des plateformes techniques parmi les plus populaires pour le Big Data (Hadoop de Apache) n’ait pas été particulièrement conçue avec une exigence spécifique de sécurité.

Initialement destinée à des traitements massifs de données publiques web, la confidentialité n’était pas un élément structurant du cahier des charges. En outre, réalisés par des clusters de confiance, les traitements ne nécessitaient pas de mettre en place des dispositifs d’audit ou de contrôle d’accès évolués.

Depuis 2010, la communauté Hadoop a réagi et déployé des mécanismes jugés adaptés (authentification Kerberos, Acces Control List sur les objets, système de fichiers HDFS…).

Il y a eu ensuite une génération spontanée d’un marché de la sécurité orientée Hadoop Security,  avec de nombreux produits d’acteurs de niche, mais aussi d’acteurs majeurs tels IBM InfosphereOptim Data Masking ou la distribution Hadoop Security d’Intel…
Enfin, début 2013, une initiative majeure Open Source a été lancée par Intel (projet Rhino) pour améliorer les fonctionnalités natives de sécurité : chiffrement et gestion des clés, framework d’autorisation, auditabilité, …

Le corollaire est double :

•    une mise en œuvre correctement sécurisée (versus la Politique de Sécurité de l’organisation sur les aspects chiffrement de données, authentification hors Kerberos ou auditabilité des accès, …) reste complexe, avec vraisemblablement le recours à des solutions tierces complémentaires.

•    Big Data ou non, les organisations qui ne contrôlent pas correctement l’accès aux données qu’elles manipulent sont rattrapées par les nouvelles obligations légales en cours de finalisation (déclaration des incidents de sécurité et des fuites de données, indexation de l’amende sur le chiffre d’affaire de la société). Avec cette fois, des conséquences potentielles financières lourdes à la clé.

Sans ce travail préalable nécessaire à la mise en place de mesures de sécurité adaptées, et la mise à disposition rapide des évolutions techniques annoncées par le marché, le Big Data pourrait devenir problématique pour celui qui n’y prendrait pas garde.

Sans préjuger de l’impact d’un Big Brother avéré, illustré par le scandale PRISM des écoutes de la NSA, sur les exigences du Citoyen/Client/Consommateur éclairé vis à vis du Big Data…

Leave a Reply

Your email address will not be published. Required fields are marked *