Big Data ou Bug Data ?

Dans l’ère prochaine, annoncée lumineuse, du Big Data, nos organisations vont se mettre à collecter massivement de la “Data”, pour prendre des décisions stratégiques éclairées, sur la base d’analyses plus ou moins complexes de données variées, agrégées, provenant de sources plus diverses les unes que les autres.

Big Data ou Bug Data ?

Dans le même temps, du côté plus sombre de l’IT, de nombreuses organisations continuent à développer et mettre en place des contrôles d’accès et autres mesures de sécurité corrects pour répondre aux exigences règlementaires de protection des données personnelles, aux exigences sectorielles, et à celles  définies par la Politique de Sécurité de l’organisation…

Par ailleurs, l’actualité ne cesse pas de bruisser des fuites de données, vols d’informations, diffusions publiques ou compromissions de systèmes (parfois suite à des attaques externes ciblées qui auront pour certaines mis des mois à être simplement détectées !).

Ainsi, depuis quelques années, silencieusement, une nouvelle économie criminelle avu le jour, basée sur le volume et la qualité des données obtenues et la valeur marchande à la revente (informations confidentielles ou sensibles mais aussi données de paiements électroniques valides, identité numérique réutilisable, …).

Dans ce contexte, les Big Data d’organisations en pointe, gorgées de données, seront incontestablement les nouvelles cibles privilégiées de demain.

Il n’est alors pas rassurant de réaliser qu’une des plateformes techniques parmi les plus populaires pour le Big Data (Hadoop de Apache) n’ait pas été particulièrement conçue avec une exigence spécifique de sécurité.

Initialement destinée à des traitements massifs de données publiques web, la Confidentialité n’était pas un élément structurant du cahier des charges. En outre, réalisés par des clusters de Confiance, les traitements ne nécessitaient pas de mettre en place des dispositifs d’Audit ou de Contrôle d’accès évolués.

Depuis 2010, la communauté Hadoop a réagi et mis en place les mécanismes jugés adaptés (authentification Kerberos, Acces Control List sur les objets, système de fichiers HDFS…).

Il y a eu ensuite une génération spontanée d’un marché “Hadoop Security” avec de nombreux produits d’acteurs de niche, mais aussi d’acteurs majeurs tels IBM InfosphereOptim Data Masking ou la distribution Hadoop Security d’Intel…
Enfin, début 2013, une initiative majeure Open Source a été lancée par Intel (projet Rhino) pour améliorer les fonctionnalités natives de sécurité : chiffrement et gestion des clés, framework d’autorisation, auditabilité, …

Le corollaire est double :

•    une mise en œuvre correctement sécurisée (versus la Politique de Sécurité de l’organisation sur les aspects chiffrement de données, authentification hors Kerberos ou auditabilité des accès, …)reste complexe avec vraisemblablement le recours à des solutions tierces complémentaires.

•    Big Data ou non, les organisations qui ne contrôlent pas correctement l’accès aux données qu’elles manipulent sontrattrapées par les nouvelles obligations légales en cours de finalisation (déclaration des incidents de sécurité et des fuites de données, indexation de l’amende sur le chiffre d’affaire de la société). Avec cette fois, des conséquences potentielles financières lourdes à la clé.

Sansce travail préalable nécessaire à la mise en place de mesures de sécurité adaptées, et la mise à disposition rapide des évolutions techniques annoncées par le marché, le Big Data pourrait facilement devenir problématique pour celui qui n’y prendrait pas garde.

Sans préjuger de l’impact d’un Big Brother avéré, tel le scandale PRISM des écoutes de la NSA, sur les exigences duCitoyen/Client/Consommateur éclairé quant au Big Data…

Big Data, pour aller plus loin avec les experts @itprofr :

Big Data streaming & le temps réel des données · iTPro.fr

La « vraie » rentabilité des projets Big Data · iTPro.fr

Les pièges du Big Data : Le Data Scientist amateur · iTPro.fr

Regard rétrospectif : Big Data, entre ambitions et réalités · iTPro.fr