> Data > Big Data ou Bug Data ?

Big Data ou Bug Data ?

Data - Par Loïc Guézo - Publié le 17 octobre 2013
email

Un de plus gros défis de notre société actuelle reste incontestablement la sécurité et la protection des informations sensibles.

Big Data ou Bug Data ?

Dans l’ère prochaine, annoncée lumineuse, du Big Data, nos organisations vont se mettre à collecter massivement de la “Data”, pour prendre des décisions stratégiques éclairées, sur la base d’analyses plus ou moins complexes de données variées, agrégées, provenant de sources plus diverses les unes que les autres.

Dans le même temps, du côté plus sombre de l’IT, de nombreuses organisations continuent à développer et mettre en place des contrôles d’accès et autres mesures de sécurité corrects pour répondre aux exigences règlementaires de protection des données personnelles, aux exigences sectorielles, et à celles  définies par la Politique de Sécurité de l’organisation…

Par ailleurs, l’actualité ne cesse pas de bruisser des fuites de données, vols d’informations, diffusions publiques ou compromissions de systèmes (parfois suite à des attaques externes ciblées qui auront pour certaines mis des mois à être simplement détectées !).

Ainsi, depuis quelques années, silencieusement, une nouvelle économie criminelle avu le jour, basée sur le volume et la qualité des données obtenues et la valeur marchande à la revente (informations confidentielles ou sensibles mais aussi données de paiements électroniques valides, identité numérique réutilisable, …).

Dans ce contexte, les Big Data d’organisations en pointe, gorgées de données, seront incontestablement les nouvelles cibles privilégiées de demain.

Il n’est alors pas rassurant de réaliser qu’une des plateformes techniques parmi les plus populaires pour le Big Data (Hadoop de Apache) n’ait pas été particulièrement conçue avec une exigence spécifique de sécurité.

Initialement destinée à des traitements massifs de données publiques web, la Confidentialité n’était pas un élément structurant du cahier des charges. En outre, réalisés par des clusters de Confiance, les traitements ne nécessitaient pas de mettre en place des dispositifs d’Audit ou de Contrôle d’accès évolués.

Depuis 2010, la communauté Hadoop a réagi et mis en place les mécanismes jugés adaptés (authentification Kerberos, Acces Control List sur les objets, système de fichiers HDFS…).

Il y a eu ensuite une génération spontanée d’un marché “Hadoop Security” avec de nombreux produits d’acteurs de niche, mais aussi d’acteurs majeurs tels IBM InfosphereOptim Data Masking ou la distribution Hadoop Security d’Intel…
Enfin, début 2013, une initiative majeure Open Source a été lancée par Intel (projet Rhino) pour améliorer les fonctionnalités natives de sécurité : chiffrement et gestion des clés, framework d’autorisation, auditabilité, …

Le corollaire est double :

•    une mise en oeuvre correctement sécurisée (versus la Politique de Sécurité de l’organisation sur les aspects chiffrement de données, authentification hors Kerberos ou auditabilité des accès, …)reste complexe avecvraisemblablement le recours à des solutions tierces complémentaires.

•    Big Data ou non, les organisations qui ne contrôlent pas correctement l’accès aux données qu’elles manipulent sontrattrapées par les nouvelles obligations légales en cours de finalisation (déclaration des incidents de sécurité et des fuites de données, indexation de l’amende sur le chiffre d’affaire de la société). Avec cette fois, des conséquences potentielles financières lourdes à la clé.

Sansce travail préalable nécessaire à la mise en place de mesures de sécurité adaptées, et la mise à disposition rapide des évolutions techniques annoncées par le marché, le Big Data pourrait facilement devenir problématique pour celui qui n’y prendrait pas garde.

Sans préjuger de l’impact d’un Big Brother avéré, tel le scandale PRISM des écoutes de la NSA, sur les exigences duCitoyen/Client/Consommateur éclairé quant au Big Data…

Téléchargez gratuitement cette ressource

Sécuriser les environnements d’apprentissage numériques

Sécuriser les environnements d’apprentissage numériques

Comment assurer la sécurité des réseaux, des terminaux et des environnements physiques au sein des établissements d’enseignement ? Structurez votre démarche de protection en 3 étapes avec ce nouveau Guide Thématique

Data - Par Loïc Guézo - Publié le 17 octobre 2013

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT