> Tech > Gouvernance des flux de données

Gouvernance des flux de données

Tech - Par Jean-Claude Bellando - Publié le 24 juillet 2013
email

Pour l'entreprise numérique, la création de valeur passe par l'échange de données au travers des différents écosystèmes auxquels elle est connectée.

Gouvernance des flux de données

Sous la pression de la numérisation et des nouveaux usages, la frontière de l’entreprise s’est éloignée de ses quatre murs. À ce stade, la sécurité électronique de l’entreprise ne peut plus se contenter de solutions visant à bloquer l’accès à son périmètre ; refuser l’accès c’est déjà refusé de collaborer.

De fait, les échanges sont omniprésents, ils sont multiformes et interviennent tout au long du déroulement des différents processus de l’entreprise. Chaque type d’échange pose ses propres contraintes et exigences en termes de sécurité.

Gouvernance des flux de données

La sécurité doit s’appliquer à tous les échanges, tout en s’adaptant à chacun des différents modes d’échange utilisés. Pour être efficace, sans être ni trop légère, ni trop pesante, la réponse sécuritaire ne peut pas être unique, elle doit être adaptée à la nature de l’échange.

Au-delà des modèles d’infrastructure à base de passerelles, de DMZ, de « reverse proxy » et autres dispositifs disponibles sous forme d’appliances,  la gouvernance des flux de données permet de répondre de façon argumentée et systématique à la problématique de sécurité des échanges.

Ainsi, un échange entre applications au sein de l’entreprise peut paraître anodin, mais pose déjà les contraintes suivantes :

–    Les deux applications doivent avoir les droits nécessaires et les accès aux données échangées.
–    Les données échangées contiennent des informations de types données privées (par exemple des coordonnées bancaires de clients). Celles-ci doivent être chiffrées de bout en bout.
–    Enfin, l’échange doit être supervisé, de sorte à pouvoir lever une alerte en cas de corruption des données, des pistes d’audit doivent permettre de retracer à posteriori l’échange et expliquer l’ensemble des actions intervenues durant celui-ci.

La vocation de la gouvernance des flux de données est justement de pouvoir répondre à trois questions :

1.    Qui interagit avec qui ?

Chacun des participants de l’échange peut être au choix : une personne (employé, client, partenaire) ou une application dans un data center de l’entreprise, sur un appareil mobile, sur le Cloud, chez un partenaire. Chacun présentant des contraintes de sécurité, des droits et un mode d’authentification différents.

Ici, les services pertinents comprennent les fonctions d’identité et de gestion des accès (IAM), de gestion des cycles de vie des certificats, OAuth, LDAP, …

2.    De quelle interaction s’agit-il ?

Une fois les participants identifiés, il s’agit de définir le type d’interaction à gérer et donner le motif de l’interaction : échange de facture, de bons de commande, … Cette définition peut se limiter au strict échange de données mais peut également contenir les traitements associés à l’échange. S’agissant de sécurité, des phases d’archivage, de journalisation, chiffrement et de décision humaine peuvent être ajoutée.

En fonction des ces informations, des directives et des règles associées à cet échange vont pouvoir être créées et pourront être appliquées systématiquement.
Les services associés à cette phase contiennent les fonctions de chiffrement, signature, studios de configuration et définition de règles et directives, …

3.    L’interaction se déroule-t-elle comme nécessaire ?

Une interaction réussie est celle qui se déroule comme prévue en accord avec l’ensemble des définitions et des contraintes auxquelles elle est soumise. C’est ici que seront définis les alertes et rapports permettant de suivre l’application des directives ainsi que les flux de données par eux-mêmes.

Les services utilisés à ce stade s’appuient sur des outils de type tableaux de bords et supervision, mais aussi de gestion de journaux d’audit sécurisés, …

Dès lors qu’on sait répondre à ces trois questions les enjeux de sécurité apparaissent immédiatement et peuvent être gérés de façon systématique.

Aujourd’hui, l’entreprise est amenée à appuyer son activité sur des écosystèmes étendus. D’une part, elle doit se doter de moyens d’échanger rapidement des données avec chacun des participants des différents écosystèmes dont elle dépend et qui passent désormais, par la publication de services via des API. D’autre part, elle ne peut pas considérer l’ensemble des participants aux échanges de données de façon uniforme. Elle doit proposer des niveaux de services d’accès à ses données en fonction des contrats qu’elle a avec chacun.

La gouvernance des flux de données permet donc une gestion dynamique des enjeux de sécurité liés aux échanges de données.

Téléchargez cette ressource

Cybersécurité des collectivités : Enjeux, Perspectives & Solutions

Cybersécurité des collectivités : Enjeux, Perspectives & Solutions

Villes, intercommunalités, métropoles, départements et régions sont particulièrement exposés aux risques de cybersécurité. Ce livre blanc Stormshield présente les défis cyber que rencontrent les collectivités, les solutions et perspectives pour qu’elles puissent assurer leur mission d’utilité publique, en toute sécurité.

Tech - Par Jean-Claude Bellando - Publié le 24 juillet 2013