Twitter Facebook Google Plus Linkedin email Imprimer Pdf

||| BIG DATA / CYBERSECURITY

Big Data : de nouveaux challenges pour la sécurité des SI

Le 03 février 2014 par Sébastien Gelgon, Manager cybersécurité, Bull

Une solution Big Data est en soi un véritable système d’information, comportant des applications, des composants de calcul, du réseau, du stockage de données, avec la particularité de faire appel à un usage massif de données de provenances diverses et de ressources de calcul et de stockage distribuées.

Sans surprise, les actions de sécurisation à prendre en compte dans un tel environnement sont celles que l’on met en œuvre pour sécuriser un système d’information. On les décline habituellement dans trois domaines :

  • la gouvernance de la sécurité de façon à définir des mesures de protection et des contrôles bien adaptés aux enjeux métier du Big Data ;
  • la protection du SI par la mise en place de mesures adaptées et au bon niveau, sans excès, mais aussi sans naïveté ;
  • et enfin la supervision du SI car désormais les mesures de protection ne sont plus suffisantes faces aux menaces avancées.

Le big data soulève cependant quelques points spécifiques dans chacun de ces trois domaines :

Gouvernance : l’utilisation des données pour de nouveaux usages implique une adaptation des politiques de sécurité.

Les données métier constituent le cœur du patrimoine informationnel des entreprises. Leurs politiques de sécurité sont fondées sur une expression du besoin en sécurité des données en termes de disponibilité et d’accessibilité, d’intégrité et de consistance, de confidentialité, ainsi que de traçabilité et de preuve, et ceci pour des usages définis par les métiers. L’introduction d’outils d’analyse basés sur des volumes massifs engendre :

  • d’une part, l’accès à des données existantes, mais pour des usages non nécessairement répertoriés. Ces usages peuvent amener à des violations des politiques de sécurité en place, en particulier vis-à-vis des contraintes réglementaires (protection de la vie privée, des données de santé, des données bancaires, etc.) ;
  • d’autre part l’import, par exemple depuis des réseaux sociaux, de nouvelles données non encore répertoriées dans l’entreprise. Ces nouvelles données demandent une révision des politiques prenant en compte leur sensibilité particulière.
  • Enfin, les résultats obtenus de l’analyse constituent en eux-mêmes de nouvelles données métier à très forte valeur ajoutée et qu’il est impératif de protéger.

> L’introduction d’une solution d’analyse de données impose à la fois une révision des politiques existantes pour intégrer les nouveaux usages des données métier, et une extension de celles-ci pour intégrer les problématiques propres aux nouvelles données.

Protection : confidentialité des données par le contrôle des accès, plutôt que le chiffrement

En termes de protection, en plus des mesures classiques de protection périmétrique et de défense en profondeur, des mesures spécifiques sont à prendre en compte selon la sensibilité des données analysées. Pour ce qui concerne la confidentialité, nous conseillons deux moyens d’actions :

  • Le premier moyen (et le plus simple) est d’assurer un contrôle fin de l’accès aux données, au moins via une gestion des accès et des identités (ex : s’assurer que les données brutes ne peuvent être accédées par des utilisateurs humains, contrôler les accès aux requêteurs, authentifier ses utilisateurs).
  • Si cela est nécessaire (du point de vue réglementaire), chiffrer les données les plus sensibles. Mais pour être efficiente, une solution de chiffrement doit s’adjoindre de moyens de contrôle d’accès aux données de granularité fine et de gestion des clés de chiffrement, tout en maintenant un degré élevé de performance.

> La confidentialité : d’abord et surtout par le contrôle des accès, et quand cela est nécessaire par le chiffrement.

Protection : les traces d’activité, essentielles pour la sécurité, ont une nouvelle valeur métier

Deux facteurs technologiques rendent possible la valorisation des traces. Tout d’abord, la disponibilité de volumes de stockage considérables permet la production massive des traces de l’activité des systèmes et des utilisateurs : qui (processus, utilisateur) importe des données ? Quand ? D’où proviennent-elles ? Qui les consulte (processus, utilisateur) ? Quand ? Pourquoi ? Par ailleurs, le développement des outils d’analyse confère non seulement une nouvelle valeur métier à ces traces, mais les rend aussi exploitables par une supervision de la sécurité plus intelligente.

Supervision : étendre la supervision de la sécurité à l’ensemble des composants pour la rendre plus intelligente

Ces dernières années ont vu l’émergence de menaces avancées persistantes (ou advanced persistent threats – APT), attaques ciblées contre des systèmes d’information, dont le but premier est d’exfiltrer des données valorisables par l’attaquant. Dans ce contexte, l’intégration de mesures de sécurité périmétriques reste évidemment un impératif mais, du fait des nouvelles menaces qui les contournent, la seule supervision de ces mesures relève maintenant uniquement de l’hygiène informatique. Ainsi, pour faire face à ces menaces de manière efficace et plus proactive, il est dorénavant nécessaire d’intégrer un Security Operation Center de deuxième génération. Le SOC V2 permet en effet une supervision de l’ensemble des traces produites par le système, de les corréler et de les analyser afin d’identifier les signaux faibles (ex : ouverture puis fermeture d’un port sur un serveur, flux vers des serveurs de destinations exotiques, etc.) qui sont la signature d’une attaque évoluée active.

> Dans ce domaine, les technologies d’analyse apportées par le Big Data fournissent des moyens de compléter l’arsenal sécuritaire en rendant la supervision plus intelligente et donc plus efficace contre des menaces concrètes.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*