1. 14
juin,
2012
L'u$lisa$on
des
moyens
techniques
en
vue
d'une
améliora$on
de
la
protec$on
des
données
Jean-‐Henry
Morin
Université
de
Genève
2. Préambule
(I)
La technologie n’est qu’un moyen au
service de pratiques et de métiers,
encore faut-il savoir en évaluer les
risques et les opportunités dans une
société participative dématérialisée et
orientée services.
« L’e-illettrisme sera l'illettrisme du
XXIe siècle »
Rapport Stavros Lambrinidis, Paelement EU, 2009
2
5. Facteur
Humain
(2)
La
Sécurité
se
contourne,
elle
ne
s’a2aque
pas
Inspiré par Adi Shamir, Turing Award lecture, 2002!
5
6. Les
dimensions
de
la
ProtecNon
des
Données
Technologie Droit
Data
Protection
Politiques
Publiques
7. De
la
Technologie
aux
Usages
Droit Technologie
Finance
Ethique
Data Economie
Politique Protection
Sociologie
Marketing
Etc. Communication
8. Sommaire
• Contexte
– 2
contextes
et
leurs
défis
• Moyens
Techniques
– 3
approches
et
leurs
limites
• PerspecNves
futures
&
Conclusion
9. ProtecNon
des
Données
• Deux
Contextes
– InsNtuNonnel
&
OrganisaNonnel
– Individuel
&
Privé
Et
des
nouveaux
défis…
10. La
protecNon
de
l’informaNon
aujourd’hui
La
noNon
de
Périmètre
• Basée
sur
le
“périmètre”
et
les
Listes
de
Contrôle
d’Accès
(ACL).
En
dehors
?
RIEN
!!!
(ou
presque)
Mobile Worker
VPN
Corporate Network
10
11. La
gesNon
des
“poliNques”
aujourd’hui
…
encore
un
Vœux
Pieux
!
11
12. Faits
et
Chiffres
But most corporations do lose
intellectual property through
employees. Whether intentionally or
inadvertently …
hgp://datalossdb.org/
Gartner
G2
News
Analysis,
Feb
25,
2003
A Deloitte & Touche auditor forgot in the seat pouch of an
airplane an unencrypted CD holding data of 9’000 McAfee
employees (names, social security #, shares of the company held)
Etc.
hgp://www.privacyrights.org/data-‐breach
12
22. La
Portabilité
des
Données
Exemple
des
médias
sociaux
Qui
est
au
centre
?
23. Quelle
ConversaNon
?
Silos
!
What
hgp://www.xcellimark.com/images/sce/silos.JPG
• Google
ConversaNon
?
• Facebook
ConversaNon
• Twiger
ConversaNon
• ImaginaNon
for
People
ConversaNon
• Etc.
hgp://www.alchemyuk.com/media/images/social_media_landscape.jpg
26. Social
Networks
/
Data
Divide
(risque
de
nouvelle
fracture
numérique)
Etc.
27. Moyens
Techniques
• Data
Loss
PrevenNon
(DLP)
• Digital
Rights
Management
(DRM)
• Exemple
de
Nouveau
Service
28. Data
Loss
PrevenNon
(DLP)
• Qu’est-‐ce
que
le
Data
Loss
Preven$on
?
• Technologie
de
«
détecNon
d’extrusions
»
• Permet
d’idenNfier
des
informaNons
«
sensibles
»
par
leurs
contenus
(sniffing)
selon
3
situaNons
AVANT
leurs
«
fuite
»
• Data
in
MoNon
(DIM)
:
sur
le
réseau
• Data
at
Rest
(DAR)
:
sur
des
serveurs
de
données,
archivage
• Data
in
Usage
(DIU)
:
sur
des
terminaux
uNlisateurs
• Origine
:
• Records
Management
:
GesNon
du
cycle
de
vie
de
l’informaNon
• Où
est-‐ce
u$lisé
?
• Secteur
de
l’Entreprise
• Nombreux
acteurs
et
soluNons
28
30. DLP
&
DRM
Quels
Rapports
• Informa$on
Protec$on
&
Control
(IPC)
• Deux
faces
d’une
même
médaille
• En
amont,
DLP
:
PrévenNon,
détecNon
• En
aval,
DRM
:
ProtecNon
persistante
• Limites
:
• Standards
et
Interoperabilité
• DLP
ParNellement
couplées
aux
DRM
• Complexité
• UNlisabilité
• InformaNons
non
structurées
• Nouveaux
Défis
?
• Les
netups,
PME,
projets
ad-‐hoc,
Entreprise
Virtuelle
Etendue,
etc.
• Data
in
the
Cloud
(DiC)
• Transparence,
uNlisabilité
&
Confiance
30
31. DLP + DRM = DPM
Importance pour les Organisations
• Technologies
pour
la
gesNon
électronique
des
droits
et
des
poliNques
régissant
l’uNlisaNon
de
contenus
au
sens
large
de
façon
persistante:
• Permet
une
ges6on
responsable
de
l’uNlisaNon
de
contenus
tant
à
l’intérieur
qu’à
l’extérieur
du
périmètre
de
l’Entreprise
(firewall,
VPN…)
• Aide
à
la
gesNon
des
classifica$ons
(e.g.
“confidenNel
pour
l’entreprise”,
“comité
de
direcNon”,
projets,
etc.)
• Aide
à
la
gesNon
et
la
mise
en
conformité
des
cadres
régulatoires
et
des
poliNques
d’Entreprises
• Sarbanes-‐Oxley,
Basel
II,
HIPAA,
NASD
2711,
etc.
• PoliNques
de
réten$on
(email,documents,etc.)
• Tracabilité
(Traces
d’audit,
tracking,
monitoring,
mesure)
• Aide
à
la
gesNon
des
octrois
/
révoca$ons
des
poliNques
d’accès
32. Ce que DLP & DRM ne peuvent pas faire
• Offrir
une
sécurité
totale
“
niveau
militaire
”
• Juste
équilibre
entre
la
sécurité
et
un
niveau
de
risque
“
commercialement
viable
”
• La
sécurité
absolue
n’existe
pas
• ProtecNon
contre
les
agaques
“analogiques”(The
Analog
Hole,
la
passoire
analogique)
32
33. Un Paradoxe
On parle de Confiance (Trusted Computing) à l’ère
du numérique…
…mais tout l’édifice repose sur une
hypothèse de “non-confiance”
http://zatoichi.homeip.net/~brain/TrustedComputing.jpg
38. Travaux
récents
et
en
cours
• GesNon
d’ExcepNons
dans
les
environnements
DRM
(Morin,
2009,
2010)
• Approche
de
gesNon
des
données
personnelles
combinant
les
technologies
DRM
et
les
mécanismes
de
gesNon
d’excepNons
(Morin,
2010)
• Les
technique
de
“Personal
DRM”
(Tchao
et
al.,
2012)
– Approche
décentralisé
– Objet
acNf
autonome,
adaptaNfs
– Algorithmes
système
immunitaire
arNficiel
(SIA)
– Système
ouvert
et
distribué
:
faible
barrière
à
l’entrée
40. SensibilisaNon
et
FormaNon
Service de sensibilisation à la protection
des données et à la transparence
h`p://thinkdata.ch/
5’400+
visites
de
plus
de
3’
depuis
le
27
janvier
2012
hgp://on.}.me/yeVnxY
@ThinkData101
41. Menace
sur
la
protecNon
des
données
et
la
transparence
à
Genève
hgp://goo.gl/5XTCT
hgp://www.facebook.com/PPDTGE
42. Pour
Conclure…
• La
technologie
a
ses
limites
(moyen)
• La
Confiance
comme
base
de
la
Responsabilité
• Travaillons
ENSEMBLE
à
la
concepNon
de
soluNons
innovantes
de
demain
• Eduquer,
Sensibiliser,
Former
43. Soyons Numériquement Exigeants et
Responsables !
La conversation continue…
Merci
Contacts:
@jhmorin
Jean-Henry Morin
University of Geneva – CUI
hgp://ch.linkedin.com/in/jhmorin
Institute of Services Science
http://iss.unige.ch/
hgp://jean-‐henry.com/
Jean-Henry.Morin@unige.ch
hgp://www.slideshare.net/jhmorin