Twitter Facebook Google Plus Linkedin email Imprimer Pdf

||| BIG DATA / CLOUD / CYBERSECURITY

Big Data, big risks

Le 28 juin 2014 par Philippe Duluc, Vice Président Division Sécurité, Bull

Nous bénéficions d’une évolution prodigieuse en matière d’accès et de consommation de l’information. Tout a changé depuis vingt ans avec l’avènement d’Internet, la multiplication des terminaux mobiles et le foisonnement de nouveaux usages. La cybersécurité a accompagné cet essor en tentant de préserver un équilibre entre gravité des risques, coût de la protection et acceptation des contraintes. Voyons comment elle répond aux nouveaux défis posés par les derniers avatars de cette évolution du cyberespace vers l’infosphère que sont le Cloud computing et le Big Data.

Le Cloud computing (le Cloud) représente une nouvelle façon d’utiliser et de fournir l’informatique (calcul, connexion, stockage) aux entreprises et aux particuliers. On peut le comprendre comme juxtaposition d’externalisation et de mutualisation. L’externalisation structure l’évolution de l’informatique (voir figure n°1). Avant, le réseau, les machines physiques et virtuelles, les applications et les données demeuraient sous contrôle de l’entreprise. Avec le recours à un hébergeur, le contrôle du réseau, du stockage et des machines physiques est partagé avec lui. Avec le Cloud IaaS (infrastructure as a service), l’entreprise ne contrôle plus rien du réseau, du stockage et des machines physiques. Enfin, avec Cloud SaaS (sofware as a service) l’entreprise ne gère plus que ses données d’entrée et de sortie.

Cette externalisation porte en elle des risques de sécurité spécifiques comme ceux de confidentialité. Les lois s’appliquent territorialement : alors que certains s’imaginent le cyberespace comme un nouveau terrain de jeu hors d’atteinte, il faut savoir que les données sont toujours quelque part où des lois s’appliquent. Les données stockées aux Etats-Unis, par exemple, sont accessibles aux autorités américaines (interceptions légales, Patriot Act, etc.). On s’est bien rendu compte avec PRISM de la réalité de cette menace. L’analyse de risques est essentielle. Elle doit intégrer le risque étatique, évaluer sa probabilité (concurrence, géopolitique…) et son préjudice potentiel qui permettra de borner l’enveloppe financière à consacrer à la sécurité. Un deuxième risque de sécurité attaché à l’externalisation est celui d’enfermement : retour en arrière non garanti, voire non prévu dans le contrat, coût prohibitif de migration ou de reprise des données…
La deuxième grande caractéristique du Cloud est la mutualisation à grande échelle. Cette concentration permet d’offrir aux directions informatiques des économies colossales. On entre dans l’ère industrielle de l’informatique avec ses usines géantes : Amazon disposerait dans ses data-centres d’environ un demi-million de serveurs informatiques. Numergy, l’opérateur français de Cloud souverain, a annoncé l’objectif d’un million de machines virtuelles en 2016. Ce n’est qu’à ce niveau que l’on obtient les économies d’échelle qui rendent le Cloud tellement incontournable. Cela ne peut se réaliser qu’en mutualisant des milliers de clients dans une seule infrastructure physique. Ce n’est pas sans conséquence sur la cybersécurité. La probabilité d’une cyberattaque contre ces infrastructures géantes est de ce fait considérablement accrue. Elles constituent une cible plus intéressante et plus motivante. Si on accueille plusieurs milliers de clients, la probabilité résultante que l’un d’entre eux soit ciblé est aussi plus élevée. Et si l’objectif du pirate est l’effacement de données, tant pis pour les utilisateurs d’à-côté.

Il s’agit d’un risque collatéral. Comme il y a mutualisation, les données peuvent être affectées lorsque l’opérateur de Cloud est ciblé par une attaque ou par une procédure judiciaire. Deux exemples : saisie de baies de stockage par l’autorité judiciaire à cause d’un client pédophile qui y stocke des images, mais – manque de chance – qui contiennent aussi votre comptabilité ; utilisation frauduleuse de Cloud par un autre client pour porter des cyberattaques (voir encadré) avec un risque juridique ou de riposte. D’autant que le Cloud attire certains cybercriminels en leur procurant de la capacité d’attaque massive, anonyme et facilement mobilisable.

Tout devient plus compliqué avec le Cloud, comme la gestion des droits d’accès. Dans le cas typique d’une entreprise achetant un service SaaS à un opérateur qui loue l’infrastructure nécessaire à un revendeur IaaS (à l’instar de DropBox qui s’appuie sur EC2 d’Amazon), on a de nombreux rôles (utilisateur final, administrateur client, administrateur opérateur SaaS, administrateur revendeur IaaS, administrateur fournisseur IaaS) dont il faut gérer la sécurité des accès et garantir le principe de « moindre privilège » avec un niveau d’auditabilité élevé. Une technologie comme le WAM (Web Access Management) peut se révéler être un bon compromis (voir figure n°2) pour gérer l’accès aux applications internes ainsi qu’à celles qui sont hébergées dans le Cloud public, tout en fournissant les rapports indispensables aux auditeurs. Compte tenu de l’évolution des menaces et du fait maintenant acquis qu’il est impossible d’empêcher une infection initiant une attaque, une stratégie de cyberdéfense est devenue indispensable. Seul un SOC (security operations center) moderne est à même de détecter les attaques réussies qui laissent toujours des traces parfois imperceptibles. Il faut rassembler des téraoctets de données : logs de firewalls, descriptions de vulnérabilités, matrices de droits d’accès et de rôles, comptes rendus d’audit, listings de connexions, etc. Il s’agit ensuite d’effectuer des croisements élaborés pour détecter ces signaux faibles révélateurs. C’est du reste un exemple de ce qu’est le Big Data : des volumes gigantesques de données non-structurées, parfois captées à des hauts débits, et sur lesquelles on effectue des calculs complexes comme de l’analyse décisionnelle ou de la corrélation basée sur des signatures.

Gros succès médiatique pour le Big Data. Tout le monde en parle sur le web, autant des craintes qu’il suscite quant à la protection des données personnelles que la création de valeur qu’il permettrait. L’évolution technologique (notamment du côté logiciels libres comme Hadoop) ouvre de nouveaux horizons avec l’émergence de nouveaux services inespérés jusqu’à maintenant (comme la publicité de masse ciblée), permettant à tous les gestionnaires ou « propriétaires » de données de monétiser ces dernières. Cela intéresse les opérateurs de communications électroniques, les fournisseurs d’accès à l’internet, les agences web, une grande partie du monde scientifique, ainsi que la défense et la cybersécurité. Les volumes de données à collecter et à consolider sont colossaux : 90 % des données existantes sur terre ont été créées ces seules deux dernières années ; Facebook exploite depuis 2010 le plus grand cluster Hadoop au monde, pour son infrastructure MySQL avec un volume de 35 à 40 pétaoctets.

Aux risques classiques déjà démultipliés par le Big Data, s’ajoutent des risques spécifiques comme par exemple:

  • cas du calcul massif distribué quand une cyberattaque sur l’un des nombreux noeuds de calcul peut réduire à néant le travail de toute la grille ;
  • cas du stockage de masse quand on priorise traditionnellement en fonction de la fréquence d’accès et pas en fonction de la criticité des données ;
  • qualité des données collectées auprès des terminaux professionnels ou grand public comme des ordiphones ou des tablettes ;
  • difficulté à assurer la sécurité de bout en bout au travers d’éléments distribués, hétérogènes et non de confiance ;
  • complexité du contrôle d’accès à des catégories de données répondant à des référentiels de sécurité différents auxquels il faut se conformer …

On se situe au tout début des promesses du Cloud et du Big Data. Des questions de cybersécurité restent aujourd’hui ouvertes, et sur lesquelles de l’innovation est nécessaire et attendue. De nouveaux modèles de sécurité se présentent comme le zero-trust model dont la sécurité de bout-en-bout est l’une des premières réponses. Le chiffrement dans le Cloud pose aussi des problèmes : comment gérer les clés au plus près des utilisateurs finaux ; comment effectuer des calculs sur des données chiffrées par l’utilisateur et sans les déchiffrer (domaine de la cryptologie homomorphique) ? La sécurité de l’accès aux multiples données chiffrées du Big Data serait facilitée par l’emploi de chiffrement basé sur les identités, voire sur des attributs d’identité. La prise en compte des questions de cybersécurité dans l’infosphère constitue clairement une double opportunité pour les utilisateurs d’informatique au premier rang desquels figure l’Etat d’abord, et pour l’industrie française, voire européenne de la cybersécurité ensuite. C’est sans doute un challenge à relever en partenariat public – privé.

Philippe Duluc

D’après Bloomberg, le service de Cloud EC2 d’Amazon a été utilisé en 2011 pour attaquer le réseau PlayStation de Sony et exposer les données personnelles de presque 10 millions d’utilisateurs, ce qui a constitué l’une des plus grosses cyberattaques aux Etats-Unis. L’attaquant a fourni une fausse identité à Amazon et a pu ainsi ouvrir un compte EC2.

Philippe Duluc est Directeur de l’offre cybersécurité de Bull, X82, ingénieur de l’Armement. Philippe Duluc a démarré sa carrière consacrée à la sécurité au ministère de la défense et au SGDN où il a été Conseiller auprès du Secrétaire général. Puis il a rejoint le secteur privé d’abord chez Orange en tant que Directeur sécurité groupe, puis chez Bull. Philippe Duluc est également Vice-président de l’ACN en charge de la cyber-sécurité, et Secrétaire du groupe projet du Plan gouvernemental de relance industrielle cyber-sécurité.

Source: Le Magazine des Ingénieurs de l’Armement, mars 2014

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*