mardi 17 septembre 2019    || Inscription
BanniereDossier
 
 
Droit d’accès et comptes à privilèges

Droit d’accès et comptes à privilèges

Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.


Nouvelles compétences humaines

Le Big Data suscite de nombreux espoirs : c’est ainsi que ce représentant d’un constructeur automobile, qui tient à garder son anonymat, nous précise : « le véhicule communiquant, sur lequel nous travaillons, va agréger un grand nombre de données : localisation, autonomie, alertes… il sera possible de se connecter sur le cloud afin de trouver la pompe électrique la plus proche… ». Une réflexion que l’on rapprochera des 42% de réponse « absolument prioritaire » concernant les enjeux liés au « Machine to Machine ».

De nouveaux métiers apparaissent, pour des profils qui n’ont pas peur des chiffres. Yann Le Tanou (Valtech) le confirme : « il y aura une multiplication des compétences humaines nécessaires : nous aurons besoin d’architectes, de data scientists, de business analysts… ». Sophie de Visme, RSSI de l’INED-ELFE (lire interview en p. 30) renchérit de son côté : « il est clair que le Big Data est en plein essor […]. L’exploitation des données relève de nouveaux métiers tel que le Data management, la gestion du contrôle qualité, les statistiques ».


Pour autant, les projets de Big Data ne sont pas exempts de danger : ils suscitent un certain nombre de questions, notamment au niveau de la réglementation sur la protection des données personnelles, la protection du patrimoine informationnel, le risque de perte de confidentialité, les carences dans la gouvernance du système d’information, ou bien la manipulation par des tiers sont à craindre.

Garbage in / garbage out…

Pour Gérôme Billois (Solucom), comme pour Sophie de Visme (INED-ELFE), un des principaux dangers se situe au niveau de la qualité des données que l’on veut injecter dans le Big Data. Si l’on alimente le Big Data avec des données de piètre qualité, les analyses le seront tout autant. Les anglo-saxons utilisent l’expression « garbage in/garbage out, qui résume bien ce problème. C’est un des enjeux majeurs de l’efficience du Big Data, où l’on souhaite déverser tout type de données, souvent sans trop se soucier de leur qualité ».

De son côté, Sophie de Visme estime que, « avant tout projet Big Data, il faut savoir de façon précise ce que l’on va en faire, à court, moyen et long termes. Démarrer un projet Big Data pour collecter des données en se disant je verrais après comment je les exploite est le plus grand danger ». Dans la même veine, Tristan Debove (InterSystems), pointe du doigt le risque d'hyper-complexité induit par certaines architectures projets, dans leurs mises en oeuvre et dans le manque de prise en compte de leur évolutivité dans le temps. Ce n’est pas d’ailleurs propre à un projet Big Data : il faut en connaître les finalités, travailler avec les directions métiers (marketing, financières, chercheurs si c’est un projet de recherche…) . Jusque-là, rien de nouveau sous le soleil… à part la taille des projets.

Un grand gendarme

En ce qui concerne la réglementation, les participants à l’enquête sont relativement unanimes pour dire qu’il faut la respecter, notamment le projet de règlement 95/46 sur les données personnelles. Vincent Trély ne laisse pas la place au doute sur ce sujet. « Il faut, sans nul doute, mettre en place un grand gendarme », déclare-t-il. Xavier Gondelmann enfonce le clou : « Je pense qu’il est primordial de respecter la législation ne serait-ce que pour l'image de l'entreprise. Manipuler des données personnelles présente un risque si ces données venaient à être récupérées par des tiers et corrélées à des fins commerciales. Malheureusement les contraintes réglementaires nationales ou européennes ne concernent pas les entreprises étrangères, qui n'en ont pas conscience ou n'en tiennent pas compte. Dans une économie numérique mondialisée les entreprises françaises peuvent voir leur capacité d'innovation pénalisées en raison de la législation. Cela laisse le champ libre aux entreprises américaines notamment. Pour ces dernières le vent est en train de tourner et l'appareil législatif américain a commencé à être plus regardant vis-à-vis de la collecte et de l'utilisation des données personnelles ».

Prévoir le cadre juridique

Yann Le Tanou (Valtech) estime lui que « les questions juridiques et réglementaires sont indispensables pour traiter un projet Big Data et optimiser sa valeur en continu, car cela implique de capter et d'utiliser des données externes et internes à caractère confidentiel : les données personnelles et transactionnelles des clients, des partenaires, des fournisseurs, des réseaux sociaux ou encore des objets connectés qui génèrent d'autres types de données. Des législations relatives à la protection de la vie privée ont été adoptées dans près de la moitié des pays de l'OCDE : l'Allemagne, l'Autriche, le Canada, le Danemark, les Etats-Unis, la France, le Luxembourg, la Norvège et la Suède. D'autres projets de loi en vue de prévenir des actes considérés comme portant atteintes aux droits fondamentaux de l'homme, tels que le stockage illicite de données à caractère personnel ou encore la divulgation non autorisée de ces données vont également voir le jour. La règle prévoit par exemple que l'utilisation des données suppose d'obtenir préalablement le consentement éclairé du client et par conséquent de connaître la législation du pays dans lequel l'exploitation des données aura lieu. Au-delà de la disparité des réglementations régissant la protection de la vie privée et les flux de données transfrontalières, les entreprises doivent prévoir un cadre juridique avec leurs prestataires afin de s'assurer que l'exploitation des données s’effectue aussi dans le respect de la vie privée du consommateur à chaque fois qu'il interagit avec l'entreprise ou son réseau de partenaires. »

Paul-Olivier Gibert, donne, quant à lui, une réponse plus sibylline, mais que l’on peut méditer : « il faut faire bien sûr attention à la finalité des traitements. Mais soyons vigilants : la loi de 1978, qui instaure la Cnil, est une loi sur les fichiers, et non pas une loi sur les données ». Car le Big Data n’est pas exempt d’autres dangers : où sont stockées les données du Big Data ? Qui les exploite ? Un risque de perte ou de vol du patrimoine informationnel qu’elles représentent est-il possible ? Peut-on facilement y avoir accès, et les détourner au profit de tiers ? N’est-on pas parfois trop dépendant de son sous-traitant ? On imagine ainsi l’usage que pourraient en faire, sans réglementations précises, les laboratoires pharmaceutiques, les banques, les organismes de crédit… On pourrait aussi envisager ce que serait l’usage du Big Data si les fournisseurs font défaut : perte de données confidentielles, risque en termes d’images, perte de capital… Les conséquences sont innombrables.

Autres Dossiers Protection des données