Archives de catégorie : Fuite de données

Entreprise, Fuite de données

Protection des données personnelles : 5 étapes d’un plan de mise en conformité

Pour Elizabeth Maxwell, directrice technique EMEA chez CompuwareLes, la question se pose : les entreprises se sentent-elles concernées par les législations européennes ? En matière de protection des données personnelles, l’impact risque d’être plus retentissant que ne le laisse penser l’éloignement géographique d’institutions dont les objectifs sont parfois obscurs. Transferts des données encadrés, amendes réévaluées à la hausse, profilage sous condition, l’ensemble du cadre législatif européen aura des conséquences sur les investissements IT des entreprises. Protection des données personnelles, voici les 5 étapes d’un plan de mise en conformité.

·        Comprendre les implications de la législation
Cela va sans dire mais il appartient aux entreprises de comprendre les conséquences du nouveau cadre législatif européen sur leurs opérations quotidiennes et récurrentes. Cette première étape est essentielle à l’identification des processus de collecte et de transferts applicables chez elles. L’erreur à ne pas commettre est de minimiser l’impact et le coût. Il faudra s’attendre, au contraire, à d’importantes dépenses, compte tenu des pratiques généralisées de développement et de test qui s’appuyaient jusque-là sur des données non anonymisées.

·        Auditer et localiser les données sensibles
La deuxième étape consiste à réaliser un audit global de localisation des données personnelles et sensibles. Qui a accès à quoi, où et comment ces données sont-elles recoupées ? Quels sont les points d’achoppement, où sont les risques de violation ?  Encore une fois, le temps nécessaire à cette analyse ne doit pas être sous-estimé.

·        Adapter ses processus aux nouvelles contraintes
Une fois la localisation et l’identification des données et des risques associés réalisées, il devient plus aisé d’introduire à ses processus de traitement existants l’anonymisation de la donnée. Il est également envisageable de créer de nouveaux flux de travail qu’il sera plus facile et plus rapide d’adapter aux exigences à venir de la législation européenne.

·        Développer une solution conforme aux exigences
En fonction des résultats de l’audit, du niveau préalable de conformité, du business model choisi ou encore de la démarche retenue par l’entreprise, la solution globale définie pourra porter par exemple sur une révision des droits d’accès aux données, sur le choix d’une nouvelle solution de MDM, sur la refonte des clauses contractuelles relatives aux transferts ou (et très certainement) une combinaison de ces différents sujets.

·        Donner de l’air à la  DSI
L’ensemble de ces étapes représente un processus long et fastidieux, dont la réussite repose sur une parfaite maîtrise du cadre législatif. Le délai de deux ans laissé aux entreprises n’est pas de trop au regard des très nombreux paramètres à prendre en compte. Le volume de données, leur interaction complexe, leur qualité et leur intégrité ne sont qu’une étape d’un plan plus général de révision des processus afin de répondre rigoureusement aux obligations européennes.

Les DSI européennes travaillent aujourd’hui, bien malgré elles, à flux tendu. La charge de travail qu’implique le dispositif européen de protection des données personnelles peut être supportée en s’appuyant sur une expertise extérieure, afin de réduire à la fois le risque d’erreur, les délais d’initiation à la législation et donc le coût global.

Chiffrement, Cybersécurité, Espionnae, Fuite de données, Identité numérique, Vie privée

Un Monsieur sécurité pour protéger les données des électeurs

Le gouvernement Canadien a décidé, voilà quelques jours, de mandater une équipe de sécurité informatique qui aura comme mission de trouver la moindre faille et fuite de données concernant les électeurs du pays. Une décision politique qui fait suite au jugement d’une entreprise de généalogie qui a commercialisé durant 6 ans les données de plusieurs millions d’élécteurs via ses services oueb.

L’Institut Drouin, spécialisé dans la généalogie, avait copié une liste électorale datant de 2003. Le jugement de cour du Québec a ordonné à Drouin de détruire les données appartenant à 5,5 millions de Québécois : nom, adresse, sexe et date de naissance. « L’État a le droit d’en interdire la diffusion pour protéger la vie privée des électeurs », a indiqué le tribunal.

En France, il suffit de regarder les seconds tours d’éléctions pour appercevoir les candidats et leurs équipes décortiquer les listes électorales afin d’inciter les abstansionnistes à voter, voir certains élus analyser les employés municipaux n’ayant pas pris le temps de voter !

Entreprise, Fuite de données, Propriété Industrielle

Guide de la charte informatique

2 commentaires

La charte informatique permet d’encadrer les risques liés à l’utilisation du système d’information par les salariés et de limiter les responsabilités pénales et civiles de l’entreprise et de ses dirigeants.

Toutefois sa mise en place doit se faire dans certaines conditions pour qu’elle soit juridiquement opposable, c’est pourquoi Olfeo propose un guide pour accompagner les entreprises sur ce point.

Olfeo, éditeur français d’une solution de proxy et filtrage de contenus Internet, dévoile son « Guide de la charte Informatique » co-écrit avec le cabinet d’avocats Alain Bensoussan spécialisé dans le domaine du droit de l’informatique. Ce document a pour objectif d’aider les directions informatiques dans l’élaboration de leur Charte des systèmes d’information, souvent appelée de manière générique « Charte informatique ».

« Une grande partie des DSI et des RSSI sont conscients de l’importance de mettre en place une charte informatique dans leur entreprise pour définir les conditions générales d’utilisation du système d’information et notamment des accès Internet, des réseaux et des services multimédias », explique à DataSecurityBreach.fr Alexandre Souillé, président et fondateur d’Olfeo. « Toutefois, la démarche de charte n’est pas toujours évidente à mettre en œuvre, c’est pourquoi nous avons conçu ce guide qui permet à nos clients de mieux comprendre les facteurs clés de succès lors de la conception et le déploiement de leur charte. »

Le guide de la charte informatique Olfeo co-écrit avec le cabinet d’avocats Alain Bensoussan aborde ainsi, de manière pédagogique, les différents aspects relatifs au document :

–             Comprendre les fondements juridiques d’une charte
–             Pourquoi mettre en œuvre une charte
–             Comment aborder le contenu d’une charte tout en préservant l’équilibre entre vie privée résiduelle et droit du travail
–             Comment déployer une charte opposable aux salariés et quelles sont les autres guides ou livrets à mettre en œuvre en parallèle…

Concernant le déploiement d’une charte opposable aux employés, le guide présente les étapes indispensables à respecter
La charte doit être déployée de la même manière qu’un règlement intérieur. La jurisprudence établit clairement qu’une charte déployée comme un règlement intérieur s’impose à tous les utilisateurs soumis à ce règlement. Son déploiement doit être effectué conformément à certains fondamentaux. Le premier consiste à de soumettre la Charte aux instances représentatives du personnel, c’est le principe de discussion collective. Le second est le principe de transparence qui consiste à diffuser la Charte auprès des utilisateurs, à la fois individuellement mais également collectivement, à une place facilement accessible sur le lieu de travail.

Pour les entreprises privées et les administrations qui disposent d’agents de droit privé deux étapes supplémentaires sont également nécessaires : déposer cette charte au conseil des prud’hommes ainsi qu’à l’inspection du travail en deux exemplaires. Enfin, à chaque modification de la Charte, l’ensemble de cette procédure doit être à nouveau déployée.

« Une Charte s’inscrit dans une démarche d’explication et de sensibilisation quant aux enjeux et aux risques. L’objectif est de faire adhérer les utilisateurs. Il faut donc que la Charte soit claire et à la portée de tous », ajoute à Data Security Breach Alexandre Souillé. « >Il ne faut d’ailleurs pas hésiter à se faire accompagner de professionnels qualifiés en cas de besoin car l’utilisation de la charte peut prévenir l’entreprise, les dirigeants et mêmes les employés de bien des désagréments. »

Cyber-attaque, Cybersécurité, Fuite de données, Mise à jour, Patch

Faille pour TweetDeck

Depuis plusieurs heures, des milliers d’internautes se sont amusés à utiliser une vulnérabilité dans l’outil de conversation en ligne TweetDeck.

Un excellent logiciel au demeurant qui permet de suivre et administrer plusieurs comptes Twitter. La faille, un XSS, a donc été diffusé et largement exploité pour le fun, mais aussi dans des buts largement moins avouables. Une véritable plaie, le code diffusé retweet la faille et envahie donc Twitter et les comptes des utilisateurs ainsi piégés. Cela fait plus de 24 heures que la vulnérabilité est connue publiquement, et Twitter, propriétaire de l’outil n’a pas encore réagi. Attendez-vous à voir Tweetdeck fermer quelques minutes (heures ?) le temps de la mise en place d’un correctif.

Une vague XSS qui pourrait paraître anodine. Le Cross-Site Scripting ne fait que diffuser automatiquement son contenu. Une action qui cache peut-être l’arbre malveillant dans la forêt ! Un pirate serait-il en train de détecter des cibles utilisatrices de TweetDeck. Une veille (un compte Twitter référence les microblogs piégés, voir ci-dessus, Ndlr de DataSecuritybreach.fr) aux intentions malveillantes qui aurait pour but final de lancer une autre attaque, dans les heures/jours à venir ? Action largement plus violente via une faille, un 0day [0Day], voleuse de données; ou d’une préparation pour une cyber manifestation contre la Coupe du Monde 2014 qui débute au Brésil ? A suivre …

Android, Fuite de données, Identité numérique, Sécurité, Smartphone, Social engineering, Vie privée

Heartbleed, de retour dans nos smartphones

2 commentaires

Nous vous en parlions à l’époque, la faille heartbleed a été découverte/exploitée aussi dans les smartphones. Des millions d’appareils sous Android, non mis à jour (4.1.1 et antérieur), le sont encore. Un chercheur vient de lancer une alerte indiquant que des millions de smartphones sont tributaires des mises à jour des opérateurs, constructeurs. Bref, la faille OpenSSL fait encore des dégâts.

Luis Grangela, scientifiques portuguais, indique qu’une méthode de piratage exploitant Heartbleed peut être exploitée par des pitrates. Sa méthode utilise le Wi-Fi et des smartphones Android. Son attaque, baptisée Cupidon, est basée au niveau des tunnels TLS. Pour le chercheur, iOS d’Apple ne serait pas épargné.

Fuite de données, Identité numérique, Vie privée

Formulaire d’oubli de Google, oui mais…

Reputation VIP, l’un des leaders français de l’e-réputation, réagit de manière très positive à la mise en ligne du formulaire d’oubli de Google suite à la décision de la Cour de justice Européenne. Le droit à l’oubli sur Internet est un réel sujet de société, auquel la startup lyonnaise est confrontée quotidiennement. Bertrand Girin, PDG de Réputation VIP indique « que toute l’équipe est impressionnée par la rapidité d’action de Google, qui a mis en ligne rapidement le formulaire pour que certaines personnes physiques puissent soumettre leurs demandes de suppression de résultats ».

Mais de nombreuses questions se posent. Google cite comme critère de décision l’obsolescence, la pertinence ou encore l’excès. Ces termes ne sont-ils pas de parfaits exemples de notions subjectives ? Comment Google peut-il juger de cela ? N’est-ce pas aussi une dangereuse façon de renforcer davantage la toute-puissance du géant américain ? Que fera Google en cas d’homonymie ? Comment départager Jean Dupont le criminel de Jean Dupont le bon père de famille ? Qui devra occuper la page des résultats Google ? Et surtout comment Google saura-t-il qui est le Jean Dupont qui fait la demande de suppression ?

La CJUE demande que les personnalités publiques n’aient pas la même facilité que le citoyen lambda à faire supprimer les informations, mais à partir de quand devient-on une personnalité publique ? Le maire d’une petite commune n’est peut-être pas une personnalité publique pour vous, mais pour ses habitants ? Le chef d’entreprise qui passe régulièrement dans les médias sera-t-il considéré comme une personne publique ?

Enfin, on peut se poser la question du champ d’action de ce formulaire. Faut-il être citoyen européen ? Le formulaire parle actuellement de « certains utilisateurs », mais qui sont-ils ? De plus, le champ des suppressions reste-il borné aux moteurs de recherche européens ? Ou vos amis à New-York et Tokyo pourront-ils encore voir ce que vous ne verrez plus ?

Google a annoncé la mise en place d’un comité consultatif d’experts, mais là aussi une question se pose inévitablement, celle de la gouvernance. De quel type de personnes sera t’il composé ? Ces dernières seront-elles intégrées à Google ou indépendantes ? Bertrand Girin PDG de Réputation VIP : « Nous avions tout de suite compris que ce comité était indispensable, l’e-réputation est un sujet trop sensible pour que l’on puisse la juger sans en discuter. On touche à la vie des gens, à leurs opinions, et surtout à l’opinion que les autres ont d’eux. L’opinion est un sujet trop subjectif pour que l’on puisse la ranger dans des cases et automatiser nos jugements sur les comportements d’autrui »

Cyber-attaque, Entreprise, Espionnae, Fuite de données, Leak, Propriété Industrielle

8 incidents informatiques sur 10 seraient dus au facteur humain

84 % des incidents de sécurité informatique sont liés au facteur humain, alors que seulement la moitié des budgets est consacrée à ce type de menaces.

Voilà les premiers chiffres de l’étude menée lors de la RSA Conference et présentée lors du Gartner Identity & Access Management Summit 2014 par BalaBit. L’étude eCSI de BalaBit souligne le fait qu’il est désormais nécessaire d’ajuster le budget sécurité à hauteur des menaces liées au facteur humain.

BalaBit IT Security, acteur sur le marché des solutions dédiées à la gestion de logs et à la surveillance des comptes à privilèges, a présenté les résultats de son dernier rapport eCSI lors du Gartner Identity & Access Management Summit 2014. L’étude a été menée auprès de 300 participants lors de la récente RSA Conference à San Francisco. Les résultats de cette enquête montrent que 84 % des incidents de sécurité informatique sont liés au facteur humain (erreur humaine, attaques sophistiquées internes ou externes, etc.). En terme de budget, l’étude souligne également que les dépenses sont assez équilibrées entre : les 55 % du budget consacrés à la gestion du risque humain et les 45 % consacrés à l’infrastructure.

Ainsi, les entreprises concentrent toujours leurs ressources dédiées à la sécurité informatique à la sécurité des infrastructures et aux facteurs de risque externe. Les personnes interrogées ont classé les principaux facteurs de risque, en fonction du budget consacré : 30 % privilégient la menace externe, au-dessus de tous les autres risques ; 28 % ont déclaré que les dysfonctionnements du système sont parmi les risques les plus importants ; 17 % ont cité les attaques automatiques (injection SQL, DDoS, …) Alors que la protection dédiée aux erreurs humaines et aux hackers internes est une priorité budgétaire absolue pour seulement une petite minorité des personnes interrogées : respectivement 13 % et 12 %. Pourtant, en terme d’évaluation du coût potentiel de la menace, les résultats sont différents : 51 % des personnes interrogées ont déclaré que les erreurs humaines provoquent la plus grande perte financière ; Seulement 18 % pour la menace externe ; 15 % pour la menace interne et 9 % pour les dysfonctionnements du système et 7 % pour les attaques automatiques.

« La plus grande incohérence que notre étude ai permis de révéler est que les professionnels de l’IT savent clairement que les erreurs humaines causent 51 % de leurs pertes alors qu’en terme de budget, seulement 13 % d’entre eux placent le risque lié au facteur humain en haut de la liste et 40 % des personnes interrogées placent les erreurs humaines comme la menace la moins importante. Si les entreprises souhaitent dépenser leur budget de sécurité informatique de manière logique, il est temps de palier à cette contradiction », commente Zoltán Györko, CEO de BalaBit IT Security. BalaBit a également demandé aux participants de la RSA Conference d’estimer, jusqu’à combien le niveau de la sécurité informatique de leur entreprise pouvait être réduit pour satisfaire les besoins des utilisateurs à privilèges : 83 % des personnes interrogées ont répondu que leur niveau de sécurité était réduit (19 % fortement, notablement à 32 % et modérément à 32 %), pour satisfaire les utilisateurs privilégiés.

« En raison de leur manque de flexibilité, les solutions de contrôle d’accès ne sont souvent pas en mesure de prévenir les incidents mais empêchent les utilisateurs de travailler efficacement. La surveillance peut être un outil efficace contre les risques de sécurité liés au facteur humain, que la source soit interne ou externe. Les risques liés au facteur humain peuvent être considérablement diminués par la détection et le blocage des activités suspicieuses des utilisateurs. Les alertes et la surveillance en temps réel sont inévitables pour les comptes à privilèges, qui disposent de droits d’accès, de modification ou de suppression des informations sensibles de l’entreprise. Il n’est pas étonnant que leurs profils soient la cible principale des hackers. Un taux plus élevé de détection est plus dissuasif que le contrôle passif et plus favorable aux entreprises  », ajoute Zoltán Györko.

Entreprise, Fuite de données, Identité numérique, Leak, loi, Vie privée

Besoin urgent d’étendre les lois obligatoires sur les fuites de données

Le distributeur en ligne américain eBay a annoncé avoir été victime d’une cyber-attaque et a recommandé à tous ses utilisateurs de changer leur mot de passe. Dans un bulletin émis le mercredi 21 mai, l’entreprise a indiqué que certains identifiants appartenant à des employés avaient été volés, donnant aux pirates l’accès à son réseau interne. Le piratage s’est concentré sur une base de données contenant des noms de clients d’eBay, des mots de passe encryptés, des adresses e-mails et des dates de naissance, et ne concerne donc – à priori – pas les informations financières. Selon eBay, l’attaque a eu lieu entre fin février et début mars et aucune activité anormale de la part des utilisateurs ne semble avoir été détectée depuis.

Nous faisons face à un déluge de données volées, et avec un nombre si important de victimes touchées, souvent des millions de clients, il est grand temps d’étendre les lois relatives à la déclaration obligatoire de divulgations de données à tous les secteurs d’activité – et pas seulement pour les fournisseurs d’accès internet ou les opérateurs télécoms. En dépit des recommandations qui sont faites, de nombreuses personnes continuent d’utiliser le même mot de passe pour plusieurs comptes et avec le temps qu’il a fallu pour avertir les clients de l’existence de cette faille, ces derniers ont été exposés à d’importants risques durant toute cette période. En outre, les dommages pourraient continuer de s’étendre. Avec plus 128 millions d’utilisateurs actifs sur le site d’eBay dans le monde, s’il existe ne serait-ce qu’un pourcent d’entre eux qui utilisent le même mot de passe pour différents comptes professionnels, cela signifie que plus de 1 280 000 millions de réseaux d’entreprises sont potentiellement menacés. « Les hackers n’auront pas de mal à identifier les organismes dans lesquels travaillent toutes ces personnes via des sites comme LinkedIn et détermineront leurs prochaines cibles en fonction de leur importance. Il devient donc urgent d’accélérer la mise en place de lois pour que les clients puissent être confiants et assurés que si leurs données tombent entre de mauvaises mains, des mesures seront prises très rapidement pour en limiter l’accès. » explique Jean-Pierre Carlin de chez LogRhythm.

Avec un tel volume de données traitées chaque jour par les entreprises, il est évident qu’il ne s’agit pas une tâche facile. Cela nécessite une surveillance permanente de la moindre activité sur le réseau ainsi que la capacité à comprendre et à considérer ce qu’est une activité « normale ». Un tel niveau d’information permet aux organismes de détecter les menaces en temps réel et d’y remédier en conséquence – non seulement en accélérant le temps nécessaire pour détecter une faille mais aussi celui qu’il faut pour avertir les clients. « Toutes les entreprises ont la responsabilité de protéger les données personnelles de leurs clients autant que possible et c’est seulement grâce à cette capacité à alerter rapidement les utilisateurs d’une éventuelle menace qu’ils pourront à nouveau accorder leur confiance. » termine Jean-Pierre Carlin.

Selon deux enquêtes commandées par IBM auprès de l’institut Ponemon, le coût moyen de la violation des données a augmenté de 15%, pour atteindre une moyenne de 3,5 millions de dollars. Les études indiquent également que les attaques ciblées sont considérées comme la plus grande menace par la majorité des entreprises. Leur coût est estimé à 9,4 millions de $ de perte en valeur intrinsèque pour la marque. Pour la France, le coût d’une violation de données est en moyenne de 4,19$ (2.88€). La France est le pays où la proportion des attaques ciblées est la plus forte. Des attaques qui sont les plus graves. Le taux d’érosion de clients suite à un incident de violation de données serait, toujours selon IBM, très fort en France.

Pour finir, DataSecurityBreach.rf rappelle l’article 34 de la loi Informatique et Libertés qui impose au responsable de traitement de prendre les mesures nécessaires pour sécuriser les données à caractère personnel. Le responsable de traitement doit se tenir informé et réagir lorsqu’une faille d’une telle ampleur est découverte. Ne pas corriger une faille de sécurité connue et pour laquelle des correctifs sont proposés est susceptible de constituer un manquement à l’obligation de sécurisation imposée aux responsables de traitement.

Cybersécurité, Entreprise, Fuite de données, Identité numérique

Sécurité informatique : Dis-moi qui tu es, je te dirai comment te protéger

Un commentaire

« Cogito Ergo Sum » : je pense, donc je suis. Le concept d’existence et, par là-même, d’identité tel qu’il a été formulé par Descartes au 17e siècle n’a cessé d’évoluer depuis. Qu’est-ce qui fait notre identité de nos jours ? Notre numéro de sécurité sociale, de compte en banque ? Nos mots de passe récurrents ? Nos actes, les cercles des personnes avec lesquelles nous échangeons ? Avons-nous une seule ou plusieurs identités ? Avec chaque décennie vient un nouveau moyen de définir de notre identité…ou de la perdre selon le point de vue.

Pour nous, l’identité représente l’identifiant unique d’une personne ou d’une chose, qui permet de la différencier. On peut l’affiner par l’ajout d’attributs propres à chacun, la liste des tiers avec lesquels nous échangeons ou encore certains paramètres comportementaux. Notre identité était auparavant scindée en deux facettes, « personnelle » et « professionnelle », mais ça c’était avant ! Avant l’ère de la consumérisation de l’IT. Notre identité professionnelle est désormais définie le plus souvent par la fusion de ces deux facettes et prend également en compte l’utilisation d’appareils mobiles, les règles d’accès aux applications, d’identités sociales, etc. qui permettent de classer un individu en tant qu’employé, consultant, partenaire commercial, client etc.

Alors comment une organisation peut-elle établir le niveau de sécurité adéquat pour son système d’information quand les données personnelles et professionnelles sont si étroitement entrelacées ? C’est un défi de taille pour les services informatiques, qui doivent miser sur une identification claire et précise pour le relever. Plus que jamais, l’enjeu de la sécurité ne réside pas dans des aspects matériels ou technologiques mais plutôt dans la capacité de l’organisation à comprendre les tenants et aboutissants du concept d’identité et in fine à reconnaître l’individu qui se trouve derrière le terminal.

L’identité professionnelle, les paramètres personnels qui viennent se greffer dans l’environnement de travail et les éléments comportementaux sont autant de données qui s’amalgament et permettent de discerner ce qui se passe dans le périmètre professionnel, et au-delà. Et comme ce périmètre évolue, l’identité va inévitablement devenir l’unique préoccupation des équipes de sécurité car elle seule permet de faire le tri parmi les parasites événementiels et les données non pertinentes, sources de confusion qui empêchent de répondre aux menaces réelles ou de simplement détecter une attaque. L’incapacité à gérer l’identité, et les accès qui vont de pair, est le plus grand risque informatique de gestion pour une organisation. Une entité qui ignore « qui fait quoi » ne peut saisir les opportunités qui s’offrent à elle et s’expose à un risque organisationnel majeur.

La sécurité informatique au service de la performance de l’entreprise
Des changements doivent être opérés à la fois dans les rôles et les priorités des équipes informatiques et de sécurité. Elles se doivent de maîtriser ces enjeux et d’adapter leur stratégie pour non seulement fournir un environnement informatique de travail sécurisé mais aussi pour soutenir le développement du business et répondre aux attentes d’utilisateurs qualifiés. L’un des plus grands défis est incontestablement de suivre le rythme du changement, de s’adapter à la vitesse à laquelle évolue l’organisation. Les utilisateurs sont toujours plus exigeants quant à leurs besoins et souhaitent travailler comme ils l’entendent. Ils réclament des services encore plus personnalisés, une plus grande agilité pour répondre aux opportunités qui se présentent, une connectivité plus poussée et, bien entendu, moins de contrôles aux endroits où ils interagissent. Pour cela, les organisations doivent être capables d’adopter et d’assimiler des environnements informatiques hybrides et des outils mobiles qui peuvent s’ajuster aux besoins organisationnels et aux opportunités du moment. Répondre avec promptitude aux exigences croissantes des utilisateurs est devenu le quotidien des équipes informatiques.

C’est pour cela qu’il faut se concentrer sur l’exploitation du concept d’identité et relever le défi de la gestion des accès ; ce premier pas permettra de répondre avec diligence aux besoins futurs, tout en respectant les impératifs de sécurité et de conformité. Alors que l’Internet des Objets devient une réalité, de nouveaux défis et possibilités se présentent. Toute chose a ou aura une identité, et chacune de ces identités peut receler la réalité d’un utilisateur, d’un employé ou d’un client. La gestion de ces identités, et l’utilisation de sources d’identités fédérées toujours plus complexes, va dévoiler aux entreprises et administrations les multiples facettes d’un monde hyper-connecté. (Par Jean-Philippe Sanchez, Consultant Sécurité chez NetIQ France)

BYOD, Cloud, Cybersécurité, Fuite de données

Les enjeux de l’Internet des objets (IdO) et du stockage Big Data

Un commentaire

L’augmentation du nombre de terminaux connectés, des réfrigérateurs aux thermostats, en passant par les appareils médicaux, soulève un problème de données plutôt singulier.

La question est de savoir comment les utilisateurs peuvent collecter, surveiller et stocker les quantités astronomiques de données générées par tous ces appareils. Revenons ici sur les implications du stockage des données de l’IdO, et tentons d’expliquer pourquoi une approche unique de la sauvegarde n’est pas adaptée et comment gérer le flot de données générées par les terminaux connectés.

Que représente la notion d’IdO ?
L’IdO, dont la définition englobe aujourd’hui tout terminal connecté, autre que les appareils traditionnels comme les tablettes, les smartphones et les ordinateurs de bureau et portables, progresse à la fois dans sa forme et son niveau de sophistication. En 2003, Hitachi a présenté des puces si petites qu’elles pouvaient être intégrées à la nourriture et utilisées pour contrôler les aliments que les gens consomment. Aujourd’hui, nous avons tout pour nous permettre de collecter et contôler les données: des moniteurs cardiaques aux caméras de surveillance ou réfrigérateurs intelligents.

Quel impact une telle quantité de données peut-elle avoir sur le stockage ?
Comment peut-on tracker toutes les données que nous créons? Nous en sommes déjà au stade où nous gaspillons des ressources en collectant trop de données. Les caméras de surveillance, par exemple: Quel est l’intérêt d’enregistrer toutes les séquences filmées par l’une de ces caméras ? Des millions de caméras sont en service dans le monde, et elles génèrent une quantité astronomique de données qui ne sont pas toutes forcément utiles.

Cependant, lorsque ces données sont agrégées et utilisées à des fins d’analyses, elles gagnent en utilité et deviennent plus faciles à gérer. Les particuliers et les entreprises doivent se demander quelles données sont les plus utiles sous forme détaillées, et quelles données sont plus utiles sous une forme agrégée et ont donc un simple intérêt statistique. Prenons l’exemple d’un moniteur cardiaque. Un patient est équipé d’un capteur qui mesure chaque battement de cœur. Les données capturées lors de palpitations sont importantes à la fois pour le patient et son médecin. Cependant, si les données étaient contrôlées par une société pharmaceutique, celle-ci trouverait intéressant de les consulter sous forme agrégée afin de mesurer les effets de certains médicaments pour le cœur sur un grand nombre de patients.

Comment les entreprises devraient définir l’importance des données collectées par les appareils connectés ?
Certaines sociétés suppriment les données collectées au bout d’une semaine, alors que d’autres appliquent des politiques plus systématiques et conservent uniquement les données d’une semaine sur deux pour une année en particulier. La politique de conservation appliquée prend son importance en fonction de la définition des données dont la conservation est utile, et de la manière d’y accéder. Une société étudiant les effets du réchauffement climatique peut avoir besoin de stocker des données relatives aux températures quotidiennes pendant des centaines d’années, alors qu’un fournisseur d’électricité peut n’avoir besoin de telles données qu’une fois par heure, sur une période de 10 ans ou moins. Il a simplement besoin de connaître la quantité d’électricité à générer en fonction des prévisions météorologiques locales et des données relatives à la consommation de ses clients à différents niveaux de températures.

La notion d’IdO implique une combinaison de nombreux éléments, et les informations pertinentes à en tirer dépendent de la manière dont ces éléments se combinent dans l’exécution de tâches spécifiques. (Joel Berman, vice-président du Marketing Corporate d’Acronis)