keynote 5th swiss data protection day, 2012
DESCRIPTION
Keynote at Cinquième Journée suisse de droit de la protection des données, June 14, 2012, Bern (French)TRANSCRIPT
L'u$lisa$on des moyens techniques en vue d'une améliora$on de la
protec$on des données Jean-‐Henry Morin
Université de Genève
14 juin, 2012
2
Préambule (I)
La technologie n’est qu’un moyen au service de pratiques et de métiers, encore faut-il savoir en évaluer les
risques et les opportunités dans une société participative dématérialisée et
orientée services.
« L’e-illettrisme sera l'illettrisme du XXIe siècle » Rapport Stavros Lambrinidis, Paelement EU, 2009
3
Préambule (II) Sécurité = Arbitrage
Facteur Humain !
4 IMG: J. Anderson
5
Facteur Humain (2)
La Sécurité se contourne, elle ne s’a2aque pas
Inspiré par Adi Shamir, Turing Award lecture, 2002!
Les dimensions de la ProtecNon des Données
Data Protection
Droit Technologie
Politiques Publiques
De la Technologie aux Usages
Data Protection
Droit Technologie
Ethique
Politique
Marketing
Finance
Economie
Sociologie
Communication Etc.
Sommaire
• Contexte – 2 contextes et leurs défis
• Moyens Techniques – 3 approches et leurs limites
• PerspecNves futures & Conclusion
ProtecNon des Données
• Deux Contextes
– InsNtuNonnel & OrganisaNonnel
– Individuel & Privé
Et des nouveaux défis…
10
La protecNon de l’informaNon aujourd’hui La noNon de Périmètre
• Basée sur le “périmètre” et les Listes de Contrôle d’Accès (ACL). En dehors ? RIEN !!! (ou presque)
Mobile Worker
Corporate Network
VPN
11
La gesNon des “poliNques” aujourd’hui … encore un Vœux Pieux !
12
hgp://datalossdb.org/
hgp://www.privacyrights.org/data-‐breach Etc.
But most corporations do lose intellectual property through employees. Whether intentionally or inadvertently …
Gartner G2 News Analysis, Feb 25, 2003
A Deloitte & Touche auditor forgot in the seat pouch of an airplane an unencrypted CD holding data of 9’000 McAfee employees (names, social security #, shares of the company held)
Faits et Chiffres
53 % !!!
13
Nouveaux Défis
IaaS
PaaS
SaaS
Nouveaux Défis
ProtecNon des Données
• Contexte Individuel & Privé
http://goo.gl/WDUZ2
Privacy Made in Google
18 hgp://goo.gl/OgwX
Réforme de la législaNon EU sur la ProtecNon des Données
• La RéappropriaNon de nos données personnelles
Le Droit à l’Oubli
Le “Déni de Progrès”
hgp://goo.gl/oo3S3
La Portabilité des Données Exemple des médias sociaux
Qui est au centre ?
Quelle ConversaNon ?
hgp://www.alchemyuk.com/media/images/social_media_landscape.jpg
hgp://www.xcellimark.com/images/sce/silos.JPG What
?
Silos !
• Google ConversaNon • Facebook ConversaNon • Twiger ConversaNon • ImaginaNon for People
ConversaNon • Etc.
Jeremy Bentham’s PanopNcon (18ème siècle)
Social Networks PanopNcon (21ème siècle)
Vous êtes là !
Social Networks / Data Divide (risque de nouvelle fracture numérique)
Etc.
Moyens Techniques
• Data Loss PrevenNon (DLP)
• Digital Rights Management (DRM)
• Exemple de Nouveau Service
28
Data Loss PrevenNon (DLP)
• Qu’est-‐ce que le Data Loss Preven$on ?
• Technologie de « détecNon d’extrusions » • Permet d’idenNfier des informaNons « sensibles » par leurs contenus
(sniffing) selon 3 situaNons AVANT leurs « fuite » • Data in MoNon (DIM) : sur le réseau • Data at Rest (DAR) : sur des serveurs de données, archivage • Data in Usage (DIU) : sur des terminaux uNlisateurs
• Origine : • Records Management : GesNon du cycle de vie de l’informaNon
• Où est-‐ce u$lisé ? • Secteur de l’Entreprise • Nombreux acteurs et soluNons
29
Digital Rights Management (DRM) GesNon des Droits Électoniques
• Qu’est-‐ce que la technologie DRM ? • Technologie permegant d’associer cryptographiquement des Règles d’usage à
des Contenus Numériques • Ces règles gouvernent/régissent l’usage de ces contenus • Le contenu devient protégé de façon persistante où qu’il soit (superdistribuNon)
• Exemples : • Un contenu numérique ne peut pas être u$lisé plus de 3 fois • DesNnataires d’un email ne peuvent pas FAIRE SUIVRE, IMPRIMMER, COPIER un
email • Cege présentaNon EXPIRE le 14 juin 2012, à 18H00
• Où est-‐ce u$lisé ? • IniNalement dans le secteur du diver$ssement et des médias© • Depuis 2003 : Secteur de l’Entreprise, suite aux scandales financiers, quesNons
de conformité, cadres régulatoires, PI, etc. • Logiciels, jeux, etc.
30
DLP & DRM Quels Rapports • Informa$on Protec$on & Control (IPC)
• Deux faces d’une même médaille • En amont, DLP : PrévenNon, détecNon • En aval, DRM : ProtecNon persistante
• Limites : • Standards et Interoperabilité • DLP ParNellement couplées aux DRM • Complexité • UNlisabilité • InformaNons non structurées
• Nouveaux Défis ? • Les netups, PME, projets ad-‐hoc, Entreprise Virtuelle Etendue, etc. • Data in the Cloud (DiC)
• Transparence, uNlisabilité & Confiance
DLP + DRM = DPM Importance pour les Organisations
• Technologies pour la gesNon électronique des droits et des poliNques régissant l’uNlisaNon de contenus au sens large de façon persistante: • Permet une ges6on responsable de l’uNlisaNon de contenus tant à l’intérieur qu’à l’extérieur du périmètre de l’Entreprise (firewall, VPN…)
• Aide à la gesNon des classifica$ons (e.g. “confidenNel pour l’entreprise”, “comité de direcNon”, projets, etc.)
• Aide à la gesNon et la mise en conformité des cadres régulatoires et des poliNques d’Entreprises • Sarbanes-‐Oxley, Basel II, HIPAA, NASD 2711, etc.
• PoliNques de réten$on (email,documents,etc.) • Tracabilité (Traces d’audit, tracking, monitoring, mesure) • Aide à la gesNon des octrois / révoca$ons des poliNques d’accès
32
Ce que DLP & DRM ne peuvent pas faire
• Offrir une sécurité totale “ niveau militaire ” • Juste équilibre entre la sécurité et un niveau de risque “ commercialement viable ”
• La sécurité absolue n’existe pas
• ProtecNon contre les agaques “analogiques”(The Analog Hole, la passoire analogique)
Un Paradoxe
On parle de Confiance (Trusted Computing) à l’ère
du numérique…
…mais tout l’édifice repose sur une hypothèse de “non-confiance”
http://zatoichi.homeip.net/~brain/TrustedComputing.jpg
Moyens Techniques: Exemple de Nouveaux Services
Exemple de Nouveaux Services
hgps://Priv.ly/posts/2342536674
PerspecNves
La Portabilité des Données Une Idée “simple”
Travaux récents et en cours • GesNon d’ExcepNons dans les environnements DRM
(Morin, 2009, 2010)
• Approche de gesNon des données personnelles combinant les technologies DRM et les mécanismes de gesNon d’excepNons (Morin, 2010)
• Les technique de “Personal DRM” (Tchao et al., 2012) – Approche décentralisé – Objet acNf autonome, adaptaNfs – Algorithmes système immunitaire arNficiel (SIA) – Système ouvert et distribué : faible barrière à l’entrée
Personal Social Cloud of Things (PSCoT)
(Morin et al., 2010)
Service de sensibilisation à la protection
des données et à la transparence
hgp://on.}.me/yeVnxY
@ThinkData101
h`p://thinkdata.ch/ 5’400+ visites de plus de 3’ depuis le 27 janvier 2012
SensibilisaNon et FormaNon
Menace sur la protecNon des données et la transparence à Genève
hgp://goo.gl/5XTCT
hgp://www.facebook.com/PPDTGE
Pour Conclure…
• La technologie a ses limites (moyen) • La Confiance comme base de la Responsabilité • Travaillons ENSEMBLE à la concepNon de soluNons innovantes de demain
• Eduquer, Sensibiliser, Former
S o y o n s N u m é r i q u e m e n t E x i g e a n t s e t R e s p o n s a b l e s !
L a c o n v e r s a t i o n c o n t i n u e …
M e r c i
Contacts:
Jean-Henry Morin University of Geneva – CUI
Institute of Services Science http://iss.unige.ch/
@jhmorin
hgp://ch.linkedin.com/in/jhmorin
hgp://www.slideshare.net/jhmorin
hgp://jean-‐henry.com/