43
L'u$lisa$on des moyens techniques en vue d'une améliora$on de la protec$on des données JeanHenry Morin Université de Genève 14 juin, 2012

Keynote 5th Swiss Data Protection day, 2012

Embed Size (px)

DESCRIPTION

Keynote at Cinquième Journée suisse de droit de la protection des données, June 14, 2012, Bern (French)

Citation preview

Page 1: Keynote 5th Swiss Data Protection day, 2012

L'u$lisa$on  des  moyens  techniques  en  vue  d'une  améliora$on  de  la  

protec$on  des  données  Jean-­‐Henry  Morin  

Université  de  Genève  

14  juin,  2012  

Page 2: Keynote 5th Swiss Data Protection day, 2012

2

Préambule  (I)

La technologie n’est qu’un moyen au service de pratiques et de métiers, encore faut-il savoir en évaluer les

risques et les opportunités dans une société participative dématérialisée et

orientée services.

« L’e-illettrisme sera l'illettrisme du XXIe siècle » Rapport Stavros Lambrinidis, Paelement EU, 2009

Page 3: Keynote 5th Swiss Data Protection day, 2012

3  

Préambule  (II)  Sécurité  =  Arbitrage  

Page 4: Keynote 5th Swiss Data Protection day, 2012

Facteur  Humain  !  

4 IMG:  J.  Anderson  

Page 5: Keynote 5th Swiss Data Protection day, 2012

5  

Facteur  Humain  (2)    

La  Sécurité  se  contourne,  elle  ne  s’a2aque  pas  

Inspiré par Adi Shamir, Turing Award lecture, 2002!

             

 

Page 6: Keynote 5th Swiss Data Protection day, 2012

Les  dimensions  de  la  ProtecNon  des  Données  

Data Protection

Droit Technologie

Politiques Publiques

Page 7: Keynote 5th Swiss Data Protection day, 2012

De  la  Technologie  aux  Usages  

Data Protection

Droit Technologie

Ethique

Politique

Marketing

Finance

Economie

Sociologie

Communication Etc.

Page 8: Keynote 5th Swiss Data Protection day, 2012

Sommaire  

•  Contexte  – 2  contextes  et  leurs  défis  

•  Moyens  Techniques  – 3  approches  et  leurs  limites  

•  PerspecNves  futures  &  Conclusion  

Page 9: Keynote 5th Swiss Data Protection day, 2012

ProtecNon  des  Données  

•  Deux  Contextes  

–  InsNtuNonnel  &  OrganisaNonnel  

–  Individuel  &  Privé      

Et  des  nouveaux  défis…  

Page 10: Keynote 5th Swiss Data Protection day, 2012

10  

La  protecNon  de  l’informaNon  aujourd’hui  La  noNon  de  Périmètre  

•  Basée  sur  le  “périmètre”  et  les  Listes  de  Contrôle  d’Accès  (ACL).  En  dehors  ?  RIEN  !!!  (ou  presque)  

Mobile Worker

Corporate Network

VPN

Page 11: Keynote 5th Swiss Data Protection day, 2012

11  

La  gesNon  des  “poliNques”  aujourd’hui  …  encore  un  Vœux  Pieux  !  

Page 12: Keynote 5th Swiss Data Protection day, 2012

12  

hgp://datalossdb.org/  

hgp://www.privacyrights.org/data-­‐breach  Etc.  

But most corporations do lose intellectual property through employees. Whether intentionally or inadvertently …

Gartner  G2  News  Analysis,  Feb  25,  2003  

A Deloitte & Touche auditor forgot in the seat pouch of an airplane an unencrypted CD holding data of 9’000 McAfee employees (names, social security #, shares of the company held)

Faits  et  Chiffres  

Page 13: Keynote 5th Swiss Data Protection day, 2012

53  %  !!!  

13

Page 14: Keynote 5th Swiss Data Protection day, 2012

Nouveaux  Défis  

IaaS  

PaaS  

SaaS  

Page 15: Keynote 5th Swiss Data Protection day, 2012

Nouveaux  Défis  

Page 16: Keynote 5th Swiss Data Protection day, 2012

ProtecNon  des  Données  

•  Contexte  Individuel  &  Privé  

Page 17: Keynote 5th Swiss Data Protection day, 2012

http://goo.gl/WDUZ2

Page 18: Keynote 5th Swiss Data Protection day, 2012

Privacy Made in Google

18 hgp://goo.gl/OgwX  

Page 19: Keynote 5th Swiss Data Protection day, 2012

Réforme  de  la  législaNon  EU  sur  la  ProtecNon  des  Données  

•  La  RéappropriaNon  de  nos  données  personnelles  

 

Page 20: Keynote 5th Swiss Data Protection day, 2012

Le  Droit  à  l’Oubli  

Page 21: Keynote 5th Swiss Data Protection day, 2012

Le  “Déni  de  Progrès”  

hgp://goo.gl/oo3S3  

Page 22: Keynote 5th Swiss Data Protection day, 2012

La  Portabilité  des  Données  Exemple  des  médias  sociaux  

Qui  est  au  centre  ?  

Page 23: Keynote 5th Swiss Data Protection day, 2012

Quelle  ConversaNon  ?  

hgp://www.alchemyuk.com/media/images/social_media_landscape.jpg  

hgp://www.xcellimark.com/images/sce/silos.JPG  What  

?  

Silos  !  

•  Google  ConversaNon  •  Facebook  ConversaNon  •  Twiger  ConversaNon  •  ImaginaNon  for  People  

ConversaNon  •  Etc.  

Page 24: Keynote 5th Swiss Data Protection day, 2012

Jeremy  Bentham’s  PanopNcon    (18ème  siècle)  

Page 25: Keynote 5th Swiss Data Protection day, 2012

Social  Networks  PanopNcon  (21ème  siècle)  

Vous  êtes  là  !  

Page 26: Keynote 5th Swiss Data Protection day, 2012

Social  Networks  /  Data  Divide  (risque  de  nouvelle  fracture  numérique)  

Etc.  

Page 27: Keynote 5th Swiss Data Protection day, 2012

Moyens  Techniques  

•  Data  Loss  PrevenNon  (DLP)  

•  Digital  Rights  Management  (DRM)  

•  Exemple  de  Nouveau  Service  

Page 28: Keynote 5th Swiss Data Protection day, 2012

28  

Data  Loss  PrevenNon  (DLP)  

•  Qu’est-­‐ce  que  le  Data  Loss  Preven$on  ?  

•  Technologie  de  «  détecNon  d’extrusions  »  •  Permet  d’idenNfier  des  informaNons  «  sensibles  »  par  leurs  contenus  

(sniffing)  selon  3  situaNons  AVANT  leurs  «  fuite  »  •  Data  in  MoNon  (DIM)  :  sur  le  réseau  •  Data  at  Rest  (DAR)  :  sur  des  serveurs  de  données,  archivage  •  Data  in  Usage  (DIU)  :  sur  des  terminaux  uNlisateurs  

•  Origine  :  •  Records  Management  :  GesNon  du  cycle  de  vie  de  l’informaNon  

•  Où  est-­‐ce  u$lisé  ?  •  Secteur  de  l’Entreprise    •  Nombreux  acteurs  et  soluNons  

Page 29: Keynote 5th Swiss Data Protection day, 2012

29  

Digital  Rights  Management  (DRM)  GesNon  des  Droits  Électoniques  

•  Qu’est-­‐ce  que  la  technologie  DRM  ?  •  Technologie  permegant  d’associer  cryptographiquement  des  Règles  d’usage  à  

des  Contenus  Numériques  •  Ces  règles  gouvernent/régissent  l’usage  de  ces  contenus  •  Le  contenu  devient  protégé  de  façon  persistante  où  qu’il  soit  (superdistribuNon)  

•  Exemples  :  •  Un  contenu  numérique  ne  peut  pas  être  u$lisé  plus  de  3  fois  •  DesNnataires  d’un  email  ne  peuvent  pas  FAIRE  SUIVRE,  IMPRIMMER,  COPIER  un  

email  •  Cege  présentaNon  EXPIRE  le  14  juin  2012,  à  18H00  

•  Où  est-­‐ce  u$lisé  ?  •  IniNalement  dans  le  secteur  du  diver$ssement  et  des  médias©  •  Depuis  2003  :  Secteur  de  l’Entreprise,  suite  aux  scandales  financiers,  quesNons  

de  conformité,  cadres  régulatoires,  PI,  etc.  •  Logiciels,  jeux,  etc.  

Page 30: Keynote 5th Swiss Data Protection day, 2012

30  

DLP  &  DRM  Quels  Rapports  •  Informa$on  Protec$on  &  Control  (IPC)  

•  Deux  faces  d’une  même  médaille  •  En  amont,  DLP  :  PrévenNon,  détecNon    •  En  aval,  DRM  :  ProtecNon  persistante  

•  Limites  :  •  Standards  et  Interoperabilité  •  DLP  ParNellement  couplées  aux  DRM  •  Complexité    •  UNlisabilité  •  InformaNons  non  structurées  

•  Nouveaux  Défis  ?  •  Les  netups,  PME,  projets  ad-­‐hoc,  Entreprise  Virtuelle  Etendue,  etc.  •  Data  in  the  Cloud  (DiC)  

•  Transparence,  uNlisabilité  &  Confiance    

Page 31: Keynote 5th Swiss Data Protection day, 2012

DLP + DRM = DPM Importance pour les Organisations

•  Technologies  pour  la  gesNon  électronique  des  droits  et  des  poliNques  régissant  l’uNlisaNon  de  contenus  au  sens  large  de  façon  persistante:  •  Permet  une  ges6on  responsable  de  l’uNlisaNon  de  contenus  tant  à  l’intérieur  qu’à  l’extérieur  du  périmètre  de  l’Entreprise  (firewall,  VPN…)  

•  Aide  à  la  gesNon  des  classifica$ons  (e.g.  “confidenNel  pour  l’entreprise”,  “comité  de  direcNon”,  projets,  etc.)  

•  Aide  à  la  gesNon  et  la  mise  en  conformité  des  cadres  régulatoires  et  des  poliNques  d’Entreprises  •  Sarbanes-­‐Oxley,  Basel  II,  HIPAA,  NASD  2711,  etc.  

•  PoliNques  de  réten$on  (email,documents,etc.)  •  Tracabilité  (Traces  d’audit,  tracking,  monitoring,  mesure)  •  Aide  à  la  gesNon  des  octrois  /  révoca$ons  des  poliNques  d’accès  

Page 32: Keynote 5th Swiss Data Protection day, 2012

32  

Ce que DLP & DRM ne peuvent pas faire

•  Offrir  une  sécurité  totale  “  niveau  militaire  ”  •  Juste  équilibre  entre  la  sécurité  et  un  niveau  de  risque  “  commercialement  viable  ”  

•  La  sécurité  absolue  n’existe  pas  

•  ProtecNon  contre  les  agaques  “analogiques”(The  Analog  Hole,  la  passoire  analogique)  

           

Page 33: Keynote 5th Swiss Data Protection day, 2012

Un Paradoxe

On parle de Confiance (Trusted Computing) à l’ère

du numérique…

…mais tout l’édifice repose sur une hypothèse de “non-confiance”

http://zatoichi.homeip.net/~brain/TrustedComputing.jpg

Page 34: Keynote 5th Swiss Data Protection day, 2012

Moyens  Techniques:  Exemple  de  Nouveaux  Services  

Page 35: Keynote 5th Swiss Data Protection day, 2012

Exemple  de  Nouveaux  Services  

hgps://Priv.ly/posts/2342536674    

Page 36: Keynote 5th Swiss Data Protection day, 2012

PerspecNves  

Page 37: Keynote 5th Swiss Data Protection day, 2012

La  Portabilité  des  Données  Une  Idée  “simple”  

Page 38: Keynote 5th Swiss Data Protection day, 2012

Travaux  récents  et  en  cours  •  GesNon  d’ExcepNons  dans  les  environnements  DRM  

(Morin,  2009,  2010)  

•  Approche  de  gesNon  des  données  personnelles  combinant  les  technologies  DRM  et  les  mécanismes  de  gesNon  d’excepNons  (Morin,  2010)  

•  Les  technique  de  “Personal  DRM”  (Tchao  et  al.,  2012)  –  Approche  décentralisé  –  Objet  acNf  autonome,  adaptaNfs  –  Algorithmes  système  immunitaire  arNficiel  (SIA)  –  Système  ouvert  et  distribué  :  faible  barrière  à  l’entrée  

Page 39: Keynote 5th Swiss Data Protection day, 2012

Personal  Social  Cloud  of  Things  (PSCoT)  

(Morin  et  al.,  2010)  

Page 40: Keynote 5th Swiss Data Protection day, 2012

Service de sensibilisation à la protection

des données et à la transparence

hgp://on.}.me/yeVnxY  

@ThinkData101  

h`p://thinkdata.ch/  5’400+  visites  de  plus  de  3’  depuis  le  27  janvier  2012  

SensibilisaNon  et  FormaNon  

Page 41: Keynote 5th Swiss Data Protection day, 2012

Menace  sur  la  protecNon  des  données  et  la  transparence  à  Genève  

hgp://goo.gl/5XTCT  

hgp://www.facebook.com/PPDTGE  

Page 42: Keynote 5th Swiss Data Protection day, 2012

Pour  Conclure…  

•  La  technologie  a  ses  limites  (moyen)  •  La  Confiance  comme  base  de  la  Responsabilité  •  Travaillons  ENSEMBLE  à  la  concepNon  de  soluNons  innovantes  de  demain  

•  Eduquer,  Sensibiliser,  Former  

Page 43: Keynote 5th Swiss Data Protection day, 2012

S o y o n s N u m é r i q u e m e n t E x i g e a n t s e t R e s p o n s a b l e s !

L a c o n v e r s a t i o n c o n t i n u e …

M e r c i

Contacts:

Jean-Henry Morin University of Geneva – CUI

Institute of Services Science http://iss.unige.ch/

[email protected]

@jhmorin  

hgp://ch.linkedin.com/in/jhmorin  

hgp://www.slideshare.net/jhmorin  

hgp://jean-­‐henry.com/