Big Data : gérer son risque dès maintenant !

On le soupçonne intuitivement, le fait de rassembler un grand volume d’informations de natures très diverses dans un seul et même « lac » de données ne va pas sans créer un certain nombre de risques.

Certains sont des risques existant déjà dans les systèmes actuels de traitement de données, mais qui se trouvent amplifiés par le phénomène Big Data : la perte ou le vol de données à cause d’une mauvaise maîtrise des nouvelles solutions, la dépendance à des fournisseurs, des applications ou des technologies jeunes et mouvantes, l’interception de données, ou encore la perte des infrastructures informatiques.

D’autres risques sont, eux, assez nouveaux et liés aux caractéristiques du Big Data. On peut les catégoriser en trois grandes familles :

• Liés aux réglementations : il s’agit du risque de réaliser des traitements non-conformes au regard de la loi. En particulier, il très facile de « désanonymiser » des données initialement anonymes, en croisant diverses sources. Ce type « d’inférence » doit faire l’objet d’une attention toute particulière. Par ailleurs, un système Big Data rend plus probable la réalisation d’un traitement illégal, sans même l’avoir initialement recherché.

• Liés à la vie de la donnée : les systèmes de Big Data fonctionnent de manière distribuée, avec des données décentralisées et dupliquées. Beaucoup de fournisseurs se basent d’ailleurs sur des systèmes de Cloud computing : autant d’éléments qui peuvent rendre la donnée plus difficile à identifier, à sécuriser, voire à supprimer efficacement.

Dès lors, quelles approches faut-il aujourd’hui privilégier pour maîtriser ces risques ? Quelles solutions peut-on adopter ?

Pour le responsable sécurité, l’approche à adopter aujourd’hui est celle, désormais classique, de l’analyse de risque : il s’agit d’évaluer l’impact des risques. Cette analyse peut se faire en amont des projets, ou pendant l’étude en accompagnement la mise en œuvre.

Une fois les risques identifiés, il va s’agir de les traiter, notamment en trouvant des moyens de s’en prémunir. S’assurer que les technologies sont maîtrisées et opérées par des Data Scientists qualifiés sera rapidement insuffisant : il faudra être en mesure de proposer des solutions techniques de sécurisation. Deux thèmes ressortent principalement dans le cas du Big Data : la protection des données, et le contrôle des accès.

A nouveau paradigme technologique, nouvelles approches de protection. Historiquement, la sécurité concernait l’ensemble de l’infrastructure, en appliquant des mesures générales : chiffrement intégral des bases de données, gestion des identités

et des accès centralisée, par « groupe d’utilisateurs » ou par « rôles ».

Il va dorénavant falloir fonctionner selon la donnée : celle-ci portera des attributs (par exemple une métadonnée indiquant s’il s’agit d’une donnée « sensible », « commerciale », « médicale », « bancaire »…).

Selon ses attributs, une donnée fera alors l’objet d’une protection adaptée. De la même manière, le modèle bien connu RBAC (Role-based access control) sera remplacé par un modèle de type ABAC (Attribute-based access control), qui garantira les accès aux utilisateurs uniquement s’ils sont censés y accéder : un utilisateur du groupe « médecins » pourra ainsi accéder à une donnée portant l’attribut « médicale », tandis qu’un utilisateur du groupe « commerciaux » n’y sera pas autorisé.

Aujourd’hui, plusieurs acteurs spécialisés offrent des solutions prometteuses pour répondre aux défis de sécurisation que pose le Big Data. Il peut être intéressant de les étudier dès maintenant et se faire un avis sur leur pertinence dans son propre contexte, même s’il convient de ne pas surinvestir dans des technologies encore jeunes, et qui pourraient à court terme évoluer ou disparaître…