En général, quand on parle de big data, on pense d’abord au volume, à la variété et à la vitesse, couramment désignés par les « 3 V ». Pour chacune de ces trois caractéristiques, la sécurité demeure un objectif difficile à atteindre. Pour aider les entreprises à répondre à ce défi, la Cloud Security Alliance (CSA) a publié avant le week-end un nouveau rapport proposant 10 meilleures pratiques pour sécuriser les données big data. Comme son nom l'indique, le rôle de la CSA consiste essentiellement à promouvoir les meilleures pratiques de sécurité dans le cloud. Parmi ses membres, on trouve VMware, Microsoft, AWS et Red Hat. Dans un précédent rapport, la Cloud Security Alliance avait réparti les risques pour la sécurité des données en 10 défis majeurs. Pour chaque défi, l’Alliance propose désormais 10 bonnes pratiques qui doivent permettre aux entreprises de mieux protéger leurs données.
Ainsi, la Cloud Security Alliance recommande aux entreprises qui travaillent avec des frameworks de programmation distribués, comme Apache Hadoop, l’usage de l'authentification Kerberos, ou un équivalent, pour créer un environnement de confiance. Pour veiller à ce que la vie privée des personnes ne soit pas compromise, toutes les informations personnelles identifiables comme les noms, adresses et numéros de sécurité sociale doivent être soit masquées, soit supprimées. Le rapport alerte aussi sur la présence d’identificateurs additionnels comme le code postal, la date de naissance, ou le sexe, qui peuvent également permettre d’identifier la nature des données.
Moins de sécurité avec NoSQL
Les auteurs du rapport estiment par ailleurs que les entreprises utilisant des entrepôts de données non relationnels comme les bases de données NoSQL sont désavantagées dans la mesure où ces produits ne comportent généralement pas de fonctions de sécurité avancées. C’est pourquoi ces derniers préconisent l’usage de solutions de chiffrement puissantes comme la norme AES (Advanced Encryption), le chiffrement RSA, ou le Secure Hash Algorithm 2 (SHA-256) pour protéger leurs données au repos. Ceux-ci recommandent également « d’utiliser des espaces de stockage différents pour le code et les clefs de cryptage d’une part, et les données ou le référentiel d’autre part ». Les auteurs recommandent aussi de « sauvegarder les clés de chiffrement dans un espace sécurisé hors ligne ».
Ils conseillent également l’usage de solutions de sécurité et de suivi de la conformité en temps réel, de systèmes d'analyse de préservation de la vie privée, la vérification de la provenance des données, l’utilisation de techniques cryptographiques, et plus encore. Le document de la Cloud Security Alliance est téléchargeable gratuitement. Le big data et les risques associés à la vie privée et à la sécurité suscitent de plus en plus d’inquiétude. Au début de l’année, un rapport de la Federal Trade Commission américaine mettait en garde les entreprises sur ces risques et leur proposait certaines directives. Selon le cabinet Gartner, en 2018, la moitié des entreprises subiront un vol de données du fait des mauvaises pratiques dans le big data.
Commentaire