Nous le savons tous, les entreprises accumulent des données importantes sur nous. Elles sont entreposées sur toutes sortes de supports que ce soit dans le Nuage (Cloud), des centres de données (datacenters) ou des entrepôts de données (datawarehouses). Elles sont cryptées ou pas, pratiquement publics ou pas, lisibles et visibles par certaines organisations gouvernementales. Certaines personnes font du commerce avec nos données et peuvent parfois les vendre à des sociétés sans scrupule qui nous polluent de courriers non sollicités. À l'heure où la loi antipourriel C-28 (LCAP) arrive en action (eh oui, c'est bientôt le 1er juillet!), est-ce que le traitement des données peut nous aider à mieux être protégé dans notre vie privée? Vous me voyez venir pour la réponse...

Il est certain qu'au niveau de la de vie privée, certains amis de réseaux sociaux aiment à se répandre sur leur propre vie. D'après des études psychologiques, cela vient d'une surreprésentation d'une des cinq dimensions de la personnalité: l'extraversion. Cette expression de soi est interprétée comme une forme d'individualisme expressif, visant à produire et entretenir une identité numérique allant jusqu'à parader sur les réseaux. Mais cela ne concerne vraiment pas tout le monde et la plupart d'entre nous préférons garder un contrôle sur des détails de notre vie privée qui permettraient aux entreprises qui s'y penchent de nous décoder. Évidemment, nous donnons quelques fois l'autorisation à certaines de ces entreprises d'utiliser nos données personnelles pour mieux nous servir, mais nous voulons aussi que celles-ci soient protégées. Désormais, le traitement des données va surtout permettre à ces entreprises d'accéder à un troisième niveau de protection, celui correspondant à la recherche de la source de la menace et aux conséquences internes d'une attaque par un virus ou un pirate informatique.

Le cycle de vie de la sécurité informatique repose aujourd’hui sur deux étapes principales.

Dans un premier temps, l’entreprise se protège contre les menaces connues – virus, malwares, etc. Ce premier niveau de sécurité a été adopté par la totalité des entreprises aujourd’hui. Il est même devenu une commodité.

Dans un second temps, l’entreprise s’efforce d’identifier et de se protéger en temps réel contre des menaces inconnues, notamment via des technologies de «sandboxing». Celles-ci exécutent le code dans un environnement contrôlé afin de l’interpréter et de décider s’il est malicieux ou légitime. Là encore, la plupart des entreprises s'équipent. Mais aujourd’hui, la question n’est plus de savoir si son entreprise va être attaquée, mais de savoir quand et comment. Et de ce fait, ces deux étapes sont insuffisantes pour offrir une protection réellement efficace...

Une troisième étape consiste à évaluer l’impact que la menace détectée a eu sur l’infrastructure et implique donc que l’entreprise ait la capacité de remonter le passé. Les technologies en place aujourd’hui n’offrent qu’une vision parcellaire, alors que les entreprises ont besoin de disposer d’une visibilité complète et exacte sur tout ce qui transite sur leurs réseaux. Et c’est ici, que le traitement des données intervient.

L’entreprise doit dans un premier temps fixer les règles de collecte et de conservation, puis analyser ces énormes volumes de données pour comprendre ce qui s’est passé de manière explicite, c’est-à-dire en reconstruisant les sessions et les fichiers concernés. La difficulté consiste également à analyser les volumes massifs de données ainsi collectés. L’entreprise a besoin de corréler des sources extrêmement variées d’informations, internes comme externes. Et surtout elle doit savoir quelles questions se poser.

Leur intégration dans l’architecture globale de sécurité va permettre non seulement de remonter à la source de la menace et de faire en sorte qu’elle ne puisse pas frapper à nouveau, mais également de rapprocher les différentes équipes en charge des trois niveaux de protection dont nous parlions plus haut, tout en disposant d’une vue globale des risques auxquels l’entreprise est confrontée. Les entreprises ont désormais pris conscience que quelles que soient les technologies qu’elles utilisent et leur degré de sophistication, elles seront un jour attaquées.

Elles sont conscientes en outre que la sécurité ne doit pas être un frein, mais un accélérateur de productivité. Plutôt que de chercher à éviter à tout prix ce type d’attaque en plaçant des barrières génériques qui au final perturbent leurs activités, elles devraient investir dans un système leur permettant de comprendre comment elles ont été attaquées et ce qui a été volé. Cette technologie existe aujourd’hui. Elle permet de capturer le trafic, d’entreposer les données, puis les analyser et reconstruire les sessions comme elles étaient lors de l’attaque à partir d’une question, par exemple: qui a utilisé tel ou tel fichier?

Une autre voie qui pourrait être utilisée est celle de la cryptographie. Le futur nous réserve peut-être de bonnes surprises avec le chiffrement homomorphique, qui permet le traitement des données chiffrées sans devoir les déchiffrer. Bien qu'à l'état de projet de recherche, cette technologie, déjà opérationnelle, est prometteuse pour la sécurité des données en Nuage (Cloud) et d'autres entrepôts de données.

C'est quoi ça encore que ce chiffrement homomorphique... Depuis des années, une solution au problème de sécurité des informations mûrit dans la tête des chercheurs: le chiffrement homomorphique. Derrière ce terme complexe se cache une idée simple: pouvoir réaliser des traitements directement sur des données chiffrées, sans avoir besoin de les déchiffrer! Depuis 2009, de nombreuses avancées ont été réalisées dans ce domaine en particulier au MIT. Récemment, une équipe d’IBM a même mis à disposition une implémentation concrète (code source à l’appui) de cette méthode. Aujourd’hui, il existe encore un grand nombre de limitations, en particulier par rapport à la vitesse de traitement ou les opérations réalisables. Il faudra également que cette méthode et son implémentation soient analysées par des experts en chiffrement pour en garantir la robustesse. D’autre part, il faudra toujours que les entreprises fassent l’effort de gérer correctement ses clés de chiffrement.

Le quotidien nous montre qu’aujourd’hui c’est encore rarement le cas! Une solution intéressante pourrait être la vie privée différentielle. Elle permettrait d'obtenir des informations privées tout en gardant un côté anonyme. Les bases de données, même anonymes peuvent être vulnérables à des attaques dites de liaisons. Celles-ci déduisent l'identité des personnes en comparant des informations anonymes avec des données provenant d'une source ouverte. Savoir si quelqu'un est répertorié comme ayant la leucémie dans une base de données de recherche médicale anonyme, par exemple, est possible en faisant correspondre des données avec des détails sur la personne, glanées à partir de leur profil social média ouvert, et qui pourrait bien inclure leur jour, le mois et le lieu de naissance, ville natale ainsi que leur occupation. Au lieu de sortir directement des données quand une ressource anonyme est interrogée, la vie privée différentielle utilise des algorithmes afin d'ajouter des niveaux variables de «bruit» dans ces données afin que l'information sur une personne en particulier soit obscurcie.

Frank McSherry, chercheur chez Microsoft sur la vie privée différentielle, dit que c'est un peu comme essayer d'écouter un million de guitaristes à la fois. S’ils jouent tous avec une distorsion (ce bruit ajouté), il est difficile de choisir un individu jouant une mélodie différente. Le problème avec la vie privée différentielle est qu'il n'y a aucun moyen universellement accepté de l'implanter. Pourtant, comme le note le Dr McSherry, au moins des chercheurs ont commencé à penser comment il pourrait mieux être déployé. C'est encourageant pour ces chercheurs désirux de protéger de grandes bases de données hautement sensibles.

Mais les entreprises habituées à exploiter la richesse des données, légalement ou non, peuvent y être carrément indifférentes. Donc ce 1er juillet, à l'heure des cocktails sur les terrasses, des baignades dans les piscines et autres festivals du jazz de Montréal, la loi anti-pourriel C-28 va entrer en application. Le législateur a été bien avisé de laisser une période de transition afin de convertir les permissions implicites en permission Exprès (explicites), les entreprises doivent donc dès maintenant si cela n’est pas déjà en cours, structurer leur base de données afin de bien gérer les consentements et ainsi capturer les données selon les exigences de la loi.

Depuis huit années maintenant, notre entreprise respecte les lois anti-pourriels et de respect de la vie privée en mettant en place les meilleures pratiques pour la gestion des bases de données de nos clients et des communications interactives sur ces bases. La gestion des consentements a toujours été un enjeu important, de même que la gestion du profil et des préférences d’un abonné/d’un client car il permet d’assembler et d’envoyer des messages personnalisés qui sont plus pertinents et plus performants, ce qui se rapproche de l’objectif du marketing 1-to-1.

L’équipe de zendatamarketing