keynote 5th swiss data protection day, 2012

43
L'u$lisa$on des moyens techniques en vue d'une améliora$on de la protec$on des données JeanHenry Morin Université de Genève 14 juin, 2012

Upload: university-of-geneva

Post on 26-May-2015

252 views

Category:

Technology


1 download

DESCRIPTION

Keynote at Cinquième Journée suisse de droit de la protection des données, June 14, 2012, Bern (French)

TRANSCRIPT

Page 1: Keynote 5th Swiss Data Protection day, 2012

L'u$lisa$on  des  moyens  techniques  en  vue  d'une  améliora$on  de  la  

protec$on  des  données  Jean-­‐Henry  Morin  

Université  de  Genève  

14  juin,  2012  

Page 2: Keynote 5th Swiss Data Protection day, 2012

2

Préambule  (I)

La technologie n’est qu’un moyen au service de pratiques et de métiers, encore faut-il savoir en évaluer les

risques et les opportunités dans une société participative dématérialisée et

orientée services.

« L’e-illettrisme sera l'illettrisme du XXIe siècle » Rapport Stavros Lambrinidis, Paelement EU, 2009

Page 3: Keynote 5th Swiss Data Protection day, 2012

3  

Préambule  (II)  Sécurité  =  Arbitrage  

Page 4: Keynote 5th Swiss Data Protection day, 2012

Facteur  Humain  !  

4 IMG:  J.  Anderson  

Page 5: Keynote 5th Swiss Data Protection day, 2012

5  

Facteur  Humain  (2)    

La  Sécurité  se  contourne,  elle  ne  s’a2aque  pas  

Inspiré par Adi Shamir, Turing Award lecture, 2002!

             

 

Page 6: Keynote 5th Swiss Data Protection day, 2012

Les  dimensions  de  la  ProtecNon  des  Données  

Data Protection

Droit Technologie

Politiques Publiques

Page 7: Keynote 5th Swiss Data Protection day, 2012

De  la  Technologie  aux  Usages  

Data Protection

Droit Technologie

Ethique

Politique

Marketing

Finance

Economie

Sociologie

Communication Etc.

Page 8: Keynote 5th Swiss Data Protection day, 2012

Sommaire  

•  Contexte  – 2  contextes  et  leurs  défis  

•  Moyens  Techniques  – 3  approches  et  leurs  limites  

•  PerspecNves  futures  &  Conclusion  

Page 9: Keynote 5th Swiss Data Protection day, 2012

ProtecNon  des  Données  

•  Deux  Contextes  

–  InsNtuNonnel  &  OrganisaNonnel  

–  Individuel  &  Privé      

Et  des  nouveaux  défis…  

Page 10: Keynote 5th Swiss Data Protection day, 2012

10  

La  protecNon  de  l’informaNon  aujourd’hui  La  noNon  de  Périmètre  

•  Basée  sur  le  “périmètre”  et  les  Listes  de  Contrôle  d’Accès  (ACL).  En  dehors  ?  RIEN  !!!  (ou  presque)  

Mobile Worker

Corporate Network

VPN

Page 11: Keynote 5th Swiss Data Protection day, 2012

11  

La  gesNon  des  “poliNques”  aujourd’hui  …  encore  un  Vœux  Pieux  !  

Page 12: Keynote 5th Swiss Data Protection day, 2012

12  

hgp://datalossdb.org/  

hgp://www.privacyrights.org/data-­‐breach  Etc.  

But most corporations do lose intellectual property through employees. Whether intentionally or inadvertently …

Gartner  G2  News  Analysis,  Feb  25,  2003  

A Deloitte & Touche auditor forgot in the seat pouch of an airplane an unencrypted CD holding data of 9’000 McAfee employees (names, social security #, shares of the company held)

Faits  et  Chiffres  

Page 13: Keynote 5th Swiss Data Protection day, 2012

53  %  !!!  

13

Page 14: Keynote 5th Swiss Data Protection day, 2012

Nouveaux  Défis  

IaaS  

PaaS  

SaaS  

Page 15: Keynote 5th Swiss Data Protection day, 2012

Nouveaux  Défis  

Page 16: Keynote 5th Swiss Data Protection day, 2012

ProtecNon  des  Données  

•  Contexte  Individuel  &  Privé  

Page 17: Keynote 5th Swiss Data Protection day, 2012

http://goo.gl/WDUZ2

Page 18: Keynote 5th Swiss Data Protection day, 2012

Privacy Made in Google

18 hgp://goo.gl/OgwX  

Page 19: Keynote 5th Swiss Data Protection day, 2012

Réforme  de  la  législaNon  EU  sur  la  ProtecNon  des  Données  

•  La  RéappropriaNon  de  nos  données  personnelles  

 

Page 20: Keynote 5th Swiss Data Protection day, 2012

Le  Droit  à  l’Oubli  

Page 21: Keynote 5th Swiss Data Protection day, 2012

Le  “Déni  de  Progrès”  

hgp://goo.gl/oo3S3  

Page 22: Keynote 5th Swiss Data Protection day, 2012

La  Portabilité  des  Données  Exemple  des  médias  sociaux  

Qui  est  au  centre  ?  

Page 23: Keynote 5th Swiss Data Protection day, 2012

Quelle  ConversaNon  ?  

hgp://www.alchemyuk.com/media/images/social_media_landscape.jpg  

hgp://www.xcellimark.com/images/sce/silos.JPG  What  

?  

Silos  !  

•  Google  ConversaNon  •  Facebook  ConversaNon  •  Twiger  ConversaNon  •  ImaginaNon  for  People  

ConversaNon  •  Etc.  

Page 24: Keynote 5th Swiss Data Protection day, 2012

Jeremy  Bentham’s  PanopNcon    (18ème  siècle)  

Page 25: Keynote 5th Swiss Data Protection day, 2012

Social  Networks  PanopNcon  (21ème  siècle)  

Vous  êtes  là  !  

Page 26: Keynote 5th Swiss Data Protection day, 2012

Social  Networks  /  Data  Divide  (risque  de  nouvelle  fracture  numérique)  

Etc.  

Page 27: Keynote 5th Swiss Data Protection day, 2012

Moyens  Techniques  

•  Data  Loss  PrevenNon  (DLP)  

•  Digital  Rights  Management  (DRM)  

•  Exemple  de  Nouveau  Service  

Page 28: Keynote 5th Swiss Data Protection day, 2012

28  

Data  Loss  PrevenNon  (DLP)  

•  Qu’est-­‐ce  que  le  Data  Loss  Preven$on  ?  

•  Technologie  de  «  détecNon  d’extrusions  »  •  Permet  d’idenNfier  des  informaNons  «  sensibles  »  par  leurs  contenus  

(sniffing)  selon  3  situaNons  AVANT  leurs  «  fuite  »  •  Data  in  MoNon  (DIM)  :  sur  le  réseau  •  Data  at  Rest  (DAR)  :  sur  des  serveurs  de  données,  archivage  •  Data  in  Usage  (DIU)  :  sur  des  terminaux  uNlisateurs  

•  Origine  :  •  Records  Management  :  GesNon  du  cycle  de  vie  de  l’informaNon  

•  Où  est-­‐ce  u$lisé  ?  •  Secteur  de  l’Entreprise    •  Nombreux  acteurs  et  soluNons  

Page 29: Keynote 5th Swiss Data Protection day, 2012

29  

Digital  Rights  Management  (DRM)  GesNon  des  Droits  Électoniques  

•  Qu’est-­‐ce  que  la  technologie  DRM  ?  •  Technologie  permegant  d’associer  cryptographiquement  des  Règles  d’usage  à  

des  Contenus  Numériques  •  Ces  règles  gouvernent/régissent  l’usage  de  ces  contenus  •  Le  contenu  devient  protégé  de  façon  persistante  où  qu’il  soit  (superdistribuNon)  

•  Exemples  :  •  Un  contenu  numérique  ne  peut  pas  être  u$lisé  plus  de  3  fois  •  DesNnataires  d’un  email  ne  peuvent  pas  FAIRE  SUIVRE,  IMPRIMMER,  COPIER  un  

email  •  Cege  présentaNon  EXPIRE  le  14  juin  2012,  à  18H00  

•  Où  est-­‐ce  u$lisé  ?  •  IniNalement  dans  le  secteur  du  diver$ssement  et  des  médias©  •  Depuis  2003  :  Secteur  de  l’Entreprise,  suite  aux  scandales  financiers,  quesNons  

de  conformité,  cadres  régulatoires,  PI,  etc.  •  Logiciels,  jeux,  etc.  

Page 30: Keynote 5th Swiss Data Protection day, 2012

30  

DLP  &  DRM  Quels  Rapports  •  Informa$on  Protec$on  &  Control  (IPC)  

•  Deux  faces  d’une  même  médaille  •  En  amont,  DLP  :  PrévenNon,  détecNon    •  En  aval,  DRM  :  ProtecNon  persistante  

•  Limites  :  •  Standards  et  Interoperabilité  •  DLP  ParNellement  couplées  aux  DRM  •  Complexité    •  UNlisabilité  •  InformaNons  non  structurées  

•  Nouveaux  Défis  ?  •  Les  netups,  PME,  projets  ad-­‐hoc,  Entreprise  Virtuelle  Etendue,  etc.  •  Data  in  the  Cloud  (DiC)  

•  Transparence,  uNlisabilité  &  Confiance    

Page 31: Keynote 5th Swiss Data Protection day, 2012

DLP + DRM = DPM Importance pour les Organisations

•  Technologies  pour  la  gesNon  électronique  des  droits  et  des  poliNques  régissant  l’uNlisaNon  de  contenus  au  sens  large  de  façon  persistante:  •  Permet  une  ges6on  responsable  de  l’uNlisaNon  de  contenus  tant  à  l’intérieur  qu’à  l’extérieur  du  périmètre  de  l’Entreprise  (firewall,  VPN…)  

•  Aide  à  la  gesNon  des  classifica$ons  (e.g.  “confidenNel  pour  l’entreprise”,  “comité  de  direcNon”,  projets,  etc.)  

•  Aide  à  la  gesNon  et  la  mise  en  conformité  des  cadres  régulatoires  et  des  poliNques  d’Entreprises  •  Sarbanes-­‐Oxley,  Basel  II,  HIPAA,  NASD  2711,  etc.  

•  PoliNques  de  réten$on  (email,documents,etc.)  •  Tracabilité  (Traces  d’audit,  tracking,  monitoring,  mesure)  •  Aide  à  la  gesNon  des  octrois  /  révoca$ons  des  poliNques  d’accès  

Page 32: Keynote 5th Swiss Data Protection day, 2012

32  

Ce que DLP & DRM ne peuvent pas faire

•  Offrir  une  sécurité  totale  “  niveau  militaire  ”  •  Juste  équilibre  entre  la  sécurité  et  un  niveau  de  risque  “  commercialement  viable  ”  

•  La  sécurité  absolue  n’existe  pas  

•  ProtecNon  contre  les  agaques  “analogiques”(The  Analog  Hole,  la  passoire  analogique)  

           

Page 33: Keynote 5th Swiss Data Protection day, 2012

Un Paradoxe

On parle de Confiance (Trusted Computing) à l’ère

du numérique…

…mais tout l’édifice repose sur une hypothèse de “non-confiance”

http://zatoichi.homeip.net/~brain/TrustedComputing.jpg

Page 34: Keynote 5th Swiss Data Protection day, 2012

Moyens  Techniques:  Exemple  de  Nouveaux  Services  

Page 35: Keynote 5th Swiss Data Protection day, 2012

Exemple  de  Nouveaux  Services  

hgps://Priv.ly/posts/2342536674    

Page 36: Keynote 5th Swiss Data Protection day, 2012

PerspecNves  

Page 37: Keynote 5th Swiss Data Protection day, 2012

La  Portabilité  des  Données  Une  Idée  “simple”  

Page 38: Keynote 5th Swiss Data Protection day, 2012

Travaux  récents  et  en  cours  •  GesNon  d’ExcepNons  dans  les  environnements  DRM  

(Morin,  2009,  2010)  

•  Approche  de  gesNon  des  données  personnelles  combinant  les  technologies  DRM  et  les  mécanismes  de  gesNon  d’excepNons  (Morin,  2010)  

•  Les  technique  de  “Personal  DRM”  (Tchao  et  al.,  2012)  –  Approche  décentralisé  –  Objet  acNf  autonome,  adaptaNfs  –  Algorithmes  système  immunitaire  arNficiel  (SIA)  –  Système  ouvert  et  distribué  :  faible  barrière  à  l’entrée  

Page 39: Keynote 5th Swiss Data Protection day, 2012

Personal  Social  Cloud  of  Things  (PSCoT)  

(Morin  et  al.,  2010)  

Page 40: Keynote 5th Swiss Data Protection day, 2012

Service de sensibilisation à la protection

des données et à la transparence

hgp://on.}.me/yeVnxY  

@ThinkData101  

h`p://thinkdata.ch/  5’400+  visites  de  plus  de  3’  depuis  le  27  janvier  2012  

SensibilisaNon  et  FormaNon  

Page 41: Keynote 5th Swiss Data Protection day, 2012

Menace  sur  la  protecNon  des  données  et  la  transparence  à  Genève  

hgp://goo.gl/5XTCT  

hgp://www.facebook.com/PPDTGE  

Page 42: Keynote 5th Swiss Data Protection day, 2012

Pour  Conclure…  

•  La  technologie  a  ses  limites  (moyen)  •  La  Confiance  comme  base  de  la  Responsabilité  •  Travaillons  ENSEMBLE  à  la  concepNon  de  soluNons  innovantes  de  demain  

•  Eduquer,  Sensibiliser,  Former  

Page 43: Keynote 5th Swiss Data Protection day, 2012

S o y o n s N u m é r i q u e m e n t E x i g e a n t s e t R e s p o n s a b l e s !

L a c o n v e r s a t i o n c o n t i n u e …

M e r c i

Contacts:

Jean-Henry Morin University of Geneva – CUI

Institute of Services Science http://iss.unige.ch/

[email protected]

@jhmorin  

hgp://ch.linkedin.com/in/jhmorin  

hgp://www.slideshare.net/jhmorin  

hgp://jean-­‐henry.com/