big data : la sécurité sera-t-elle au rendez-vous ?

La première fois où j'ai entendu l'expression "big data", le terme a interpellé mon attention et tout de suite j'ai imaginé une énorme quantité de données. Premier reflèxe d'un curieux , j'ai googlé le mot à la recherche d'une définition exacte.

big data : la définition

Résultat des courses, le big data est :

  • "une expression qui circule depuis quelque temps dans la niche hi-tech de l’informatique dématérialisée (computer in the cloud) et qui fait référence aux outils, processus et procédures permettant à une entreprise de créer, manipuler et gérer de très larges quantités de données" (Lessard, 2010)
  • terme général utilisé pour décrire l'explosion des volumes de données de nature informatique, structurées ou non, créés par une entreprise
  • big data = data x V3 : formule marketo-mathémathique qui dégage les trois critères essentiels (Volume, Vitesse, Variété) qui permettent de distinguer ce qui est de l'ordre du big data de ce qui ne l'est pas
  • big data est un concepte à quatre dimensions (Volume, Vitesse, Variété et Véracité) ce qui me fait dire, en faisant l'analogie avec la formule marketo-mathématique, que big data = data x V4

Cette dernière définition a attiré mon attention puisqu'elle contient le mot véracité et soulève une vraie problématique qui m'intéresse en tant que professionnel de la sécurité. De plus, elle a rapidement suscité plein de questions dans ma tête :

  • comment s'assurer de la véracité d'une données dans un monde cybernétique aussi vaste que celui qu'on a aujourd'hui ?
  • big data : opportunité ou challenge pour la sécurité ?
  • est ce que véracité veut dire intégrité (besoin de sécurité pour les connaisseurs) ?

Partant du principe "je partage donc j'existe", l'objectif de cet article est de partager avec vous ce que j'ai pu recensé comme information sur le sujet en termes de caractéristiques, d'opportunités et de challenges sécurité.

big data : caractéristiques

Le big data est le résultat de l'émergence de données trop voluminueuses pour être gérées par les moyens techniques traditionnelles (bases de données relationnelles, data warehouse, data mining, ...). Afin de mieux cerner ce concept, en voici quelques caractéristiques :

  • des petaoctets/exaoctets de données
  • peu structurées, souvent incomplètes et souvent distribuées
  • dont les connexions des éléments doivent être probabilistes
  • impliquant souvent des événement horodatés
  • accessibles par des millions/milliards de personnes
  • inférés par des applications transactionnelles (Facebook, Twiter...) ou analytiques (Clickfox, Merced...)

Ces caractéristiques montrent que le phénomène big data est un mélange entre "stockage" pur et "traitement" des données, comme précisé par Guy Guesnot, l'architecte stockage chez Silicon Graphics Inc., et donc nécessite la mise en place de mesures permettant de garantir la sécurité des données en termes d'intégrité, de conservation dans le temps, de classification et de contrôle d'accès.

big data : une opportunité pour la sécurité

Le big data est une tendance selon laquelle une entreprise se trouve face à un déluge de données dont elle peut tirer des avantages business (aide à la décisions, relation client...) mais aussi une source de menaces non-négligeables dont les risques doivent être mesurés.

D'ailleurs la société Varonis spécialisée dans la gouvernance des données et la collaboration sécurisée a mené un sondage auprès des professionels de la sécurité IT lors de l'événement Infosecurity Europe 2012 en mai dernier. L'objectif de ce sondage est de déterminer ce que pensent ces professionnels du phénomène big data.    

Cette infographie illustre les résultats du sondage  publié par varonis dans son rapport de recheche : "Big Data and Infosecurity : Research Report". Les éléments principaux qui ressortent de ce sondage peuvent être résumés comme suit :

  • 65% des professionnels pensent que le big data doit être une priorité stratégique pour l'IT
  • 54% affirment savoir que les analyses big data peuvent contribuer à la gestion et à la protections des contenus semi-structurés et non-structurés
  • 60% veulent utiliser cette technologie pour identifier les données sensibles
  • 47% souhaitent l'utiliser pour identifier des activités malveillantes
  • 45% pensent vouloir l'utiliser pour identifier les utilisateurs avec des droits trop élevés

big data : la sécurité sera-t-elle au rendez vous ?

Pour répondre à cette question, la Cloud Security Alliance (CSA), à travers le groupe de travail big data, s'est penchée sur le sujet et a publié, en novembre dernier, un premier rapport listant le top 10 des challenges que peut poser le big data aux deux domaines de la sécurité et du respect de la vie privé :

  1. sécurité des calculs dans les frameworks de programmation distribués
  2. bonnes pratiques de sécurité pour les magasins des données non-relationnelles
  3. stockage sécurisé des données et des journaux des transactions
  4. validation et filtrage de la saisie au niveau des terminaux
  5. supervision temps réelle de la sécurité et de la conformité
  6. data mining et analyse évolutives et composables respectant la vie privée
  7. application du contrôle d'accès et sécurité des communications
  8. contrôle d'accès granulaire
  9. audits granulaire
  10. sources des données

Ces challenges sont expliqués et illustrés par des use cases dans le rapport "Top Ten Big Data Security and Privacy Challenges". Cette initiative peut être considérée comme un premier pas pour créer un cadre de sécurité global relatif au big data.

big data : un mot pour la fin

Le big data : "une opportunité" ou "un challenge" pour la sécurité des SI ? Telle est la question aujourd'hui.

Entre ceux qui y voit "big hacking" ou "big brother" et ceux qui le considère comme une "big opportunity", le big data est un sujet prometteur dans les deux cas selon l'usage qu'on en fait. Pour ma part, je considère que papa Noël (pour ceux qui y croient encore) est généreux avec nous (professionnels de la sécurité) cette année :

big data = 13 cadeaux = 1 opportunité + 2 domaines + 10 challenges

Que demander de plus pour commencer 2013 avec détermination et bonne humeur ? Joyeuses fêtes à tous

Ayoub

crédit photo : © Ben Chams - Fotolia.com

Ayoub Figuigui

Consultant au sein d'Orange Consulting, l'entité conseil d'Orange Business, je suis en charge d'accompagner notre clientèle pour intégrer la sécurité au coeur de ses projets et de son organisation. Je suis un passionné des systèmes d'information et des aspects techniques et organisationnels permettant de gérer leur fonctionnement de manière rationnelle et raisonnée. Mon crédo est : "Be yourself & more".