Les données qu’une entreprise envoie dans le Cloud ne sont qu’une partie des informations pour à sécuriser.
Oui, pour qu’une stratégie de sécurité soit complète, ce n’est pas un seul type de données qu’il faut considérer mais trois. Parmi les trois types de données, il y a les « Derived Data » ou « données dérivées » qui sont l’un des enjeux majeurs pour un nombre croissant d’acteurs. Ces données dérivées font les choux gras d’acteurs comme Google, Facebook, Pinterest ou encore Apple. Elles sont au centre de la tendance du Big Data.
Pour un dirigeant, ne pas maîtriser ces données dérivées, c’est faire courir un risque à plus ou moins courte échéance pour son entreprise mais aussi pour ses employés. Encore trop fréquemment, les responsables sécurité mettent l’accent sur ce qui est évident et oublient ce qui est un peu caché : ces fameuses données dérivées.
données du client ou « Cloud Service Customer Data »
Le premier groupe de données, celui qui est le plus évident et immédiat, c’est celui des données du client (« Cloud Service Customer Data »). Ce sont les données que le client transfère dans le Cloud ou celles qu’il génère de façon volontaire dans le Cloud.
Ces données appartiennent au client. Le fournisseur de service Cloud devant en assurer la protection afin de conserver la confiance du client, les mesures de sécurité devant être définies et contractualisées. Je vous encourage à consulter cet autre article sur ce sujet.
Ce groupe de données est celui qui « crève les yeux » et qui est le plus souvent considéré dans un projet Cloud.
données dérivées ou « Derived Data »
Le second groupe de données regroupe toutes les informations générées du fait de l’utilisation des services par un client du Cloud. On parle de données dérivées (« Derived Data »). Il s’agit par exemple d’informations que le fournisseur de Cloud collecte suite aux actions réalisées par ses clients (adresses IP sources de connexion, heures de connexion au service, fonctionnalités utilisées, ...).
Ces données dérivées sont le nerf de la guerre pour les sociétés proposant des services « gratuits » et forment la matière première du « Big Data » : elles leur permettent d’analyser les comportements, les usages pour ensuite vous proposer de façon directe ou indirecte des services à « valeur ajoutée ».
données du fournisseur de service ou « Cloud Service Provider Data »
Le troisième et dernier groupe de données est celui relatif aux informations générées en interne par le fournisseur de service. Ces données sont internes et non spécifiques à un client ou un groupe de clients en particulier. Dans cette catégorie, on retrouve les données de charge CPU, de l’utilisation des bandes passantes, du volume total de données stockées, …. qu’il s’agissent de données « instantanées » ou de tendances.
Ces données appartiennent au fournisseur et lui servent à assurer le bon fonctionnement des services rendus. Pour une entreprise utilisatrice, il conviendra de vérifier qu’il n’y a pas un « glissement naturel et spontané » de données dans cette dernière et troisième catégorie, notamment celles de la catégorie « Derived Data ».
faible niveau de maturité autour des « Derived Data »
Le constat est que pour le moment, les conditions de sécurité (y inclure les usages qui peuvent en être faits) des données « Derived Data » sont passées sous silence dans les contrats de service entre entreprises et fournisseurs de Cloud.
Différentes hypothèses peuvent être faites : les entreprises sont en phase de montée en maturité et mettent (logiquement) la priorité sur la sécurité des données leur appartenant directement.
risques pour les entreprises : le Big Data comme outil d’espionnage
Pour une société, faire l’impasse sur ces « données dérivées » a pour conséquence de s’exposer à des risques encore flous pour le moment. Il convient donc d’être prudent et d’appliquer un « principe de précaution ».
Alors que l’on peut constater que le profilage personnalisé à des fins marketing est de mise (il n’y a qu’à voir ce que fait Google lorsqu’il affiche des publicités ciblées sur la base de l’analyse de l’historique de navigation, ou encore la boutique en ligne Amazon) les choses sont encore plus timides pour les entreprises.
En effet, les centres d’intérêts ou activités d’une entreprise, pourraient eux aussi être définis par une analyse des usages de services en mode Cloud ou via leur navigation. Cela pourrait être utilisé pour du marketing B2B voire de l’intelligence économique ou encore l’espionnage économique.
Cela est très réaliste : les accès Internet des grandes entreprises sont très centralisés (1 ou 4 ou 5 passerelles), réparties par plaque géographique. Il suffit d’agréger les informations collectées via des technologies de Big Data et le tour est joué… Idem dans le cas d’infrastructures décentralisés (« local off-load ») si on utilise des services de filtrage URL « in the Cloud » comme par exemple ceux de zScaler, « Cisco Cloud Web Security » (ScanSafe) de CISCO ou encore « Threat Pulse » de BlueCoat. De tels services ont la possibilité, s’ils le souhaitent, de connaître de façon ciblée les « sujets de préférences » de chacune des sociétés utilisant leurs services.
la vie privée des employés à risque, la protection un bénéfice double
Une entreprise se doit de mettre en place une stratégie pour préserver la vie privée de ses employés dans le cadre de leur missions. Cela devrait à priori englober leurs activités sur Internet.
Mais combien d’entre-elles proposent par défaut le blocage des cookies (et le programme de sensibilisation qui va avec) à leur employés ? Sans avoir de chiffres exacts à vous donner, les sociétés sont plus préoccupées de mettre en place des fonctions de filtrage d’URL ou d’analyse pour bloquer les infections.
Certains employés plus perspicaces que d’autres auront modifié les paramètres de leur navigateur Internet de façon à effacer tous les cookies et historique de navigation lors de la fermeture de leur navigateur. En complément il est possible d’installer des extensions comme Ghostery et NoScript et le plugin de désactivation du tracking Google.
En évitant un « suivi » trop permanent de ses activités tant au bureau ou dans un contexte personnel, cela permet de protéger son employeur tout en se protégeant soi-même !
une opportunité de contrôle via des clauses contractuelles spécifiques
Pour une entreprise, elle a une opportunité de contrôler ces « Derived Data » : à la différence des contrats « grand public » qui sont à accepter « tels que » (contrats dit « d’acceptation »), les entreprises peuvent négocier les termes de leur contrat : certains prestataires de services Cloud faisant un atout de cette « souplesse de négociation contractuelle » par rapport à d’autres concurrents plus rigides.
A quand des fournisseurs de services proposant « up-front » une approche claire, transparente et facilement compréhensible sur la sécurité de ces 3 groupes de données ?
Et quand verrons-nous des entreprises plus claires sur les mesures mises en place pour protéger la vie privée de leurs employés sur Internet ? Le bénéfice est clairement multiple : en protégeant leurs employés, elles se protègent elles-mêmes.
Encore des opportunités à saisir !
Jeff
crédit photo : © alphaspirit - Fotolia.com
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens