Dans un monde résolument connecté, les consommateurs sont de plus en plus enclins à partager leurs informations sur Internet. Aujourd’hui, la valeur de la data n’est plus à démontrer et intéresse aussi bien les entreprises que les cybercriminels. On l’a d’ailleurs vu il y a peu avec l’attaque opérée sur Yahoo! & Dyn, et par ricochet Spotify, Airbnb, Amazon, eBay, etc., qui visait uniquement à collecter des données d’utilisateurs. Etre en mesure de traiter et d’analyser les informations échangées par les individus tout en s’assurant qu’elles soient bien protégées est le défi à relever à la fois par les entreprises et les fournisseurs de services. A l’heure du Big Data, comment gérer les flux massifs de données et être assurées du niveau de confidentialité nécessaire ?
Les données, une mine d’or.
Le nombre d’utilisateurs d’appareils mobiles et par association de données ne cesse d’augmenter chaque année. Le trafic de données mobiles aurait été multiplié par 4 000 entre 2005 et 2015. Ce qui signifie autant de richesse informationnelle pouvant être analysée et utilisée par les entreprises pour répondre à des problématiques business. Combien d’individus ont suivi le match de foot du week-end, et via quel écran (TV, Internet, mobile, etc.) ? Quelle a été leur expérience client ? etc. Pour répondre à ces questions, il faut pour l’entreprise s’appuyer sur les données collectées et en tirer profit dans le développement de leur activité (marketing, service client, etc.). Ou dans le cas d’un fournisseur de services pour accroître la surveillance, la performance et l’efficience de son réseau.
La confidentialité au cœur des enjeux.
L’utilisation et l’analyse de ces données dans le cadre du Big Data est un procédé qui semble parfois assez intrusif. Google est ainsi capable de lire les emails de son réseau Gmail et d’appliquer des algorithmes d’apprentissage à ses systèmes informatiques, afin de dresser des profils d’individu type. En comparaison, les fournisseurs de services disposent d’un accès à davantage d’informations sur le comportement et les services utilisés par les consommateurs : données de localisation, informations voix et vidéo, messages, etc. Autant d’informations qui peuvent être analysées, exploitées, voire croisées avec des données de facturation clients pour obtenir des informations démographiques sur les utilisateurs.
Le problème majeur de l’utilisation de ces données réside dans leur nature, majoritairement d’ordre privée et personnelle. Il est donc important que ces données soient anonymisées/sécurisées en amont de tout échange ou partage. A qui en incombe la tâche ?
En France, les fournisseurs de services essentiels sont, depuis le 6 juillet dernier, soumis à des règles de cyber-sécurité et de notifications d’incidents imposés par la directive européenne NIS (Network and Infrastructure Security). Dans ce cadre, ils devront prendre un ensemble de mesures pour assurer la sécurité de leur infrastructure et de fait celle des données stockées, transmises et traitées sur leur réseau. Ils auront également pour obligation de signaler aux autorités françaises tout incident de sécurité majeur.
Afin de garantir la flexibilité du transit des packs d’informations et l’accessibilité aux données en temps réel, il est nécessaire d’assurer le chiffrement des données dès leur création/capture. Pour les informations les plus sensibles, il faudra, dès que la donnée est générée, masquer ou effacer les informations les plus sensibles de sorte que les informations clients soient consultables à la fois à partir d’outils d’analyse de données et de services assurances avec le paramètre de sécurité approprié.
D’autres mesures de protection simples peuvent aussi être adoptées pour protéger les souscripteurs de services tels que le camouflage des identités, des communications personnelles et de l’historique de navigation. De même, l’administration des fonctionnalités liées à la vie privée doit être opérée au cas par cas en fonction de l’utilisateur. Concernant les administrateurs et les gestionnaires de données, la restriction de l’accès aux fonctionnalités « Save Packet » ou « Packet Decode », et leur activité, dès lors qu’elle touche à des données sensibles, devrait être tracée.
La valeur du Big Data est évidente et le besoin des fournisseurs de services de maîtriser les comportements clients et de les monétiser afin d’être davantage compétitif est prépondérant. Le traitement du Big Data ne pourra cependant coexister avec la confidentialité des données personnelles qu’à la condition que les différentes parties prenantes mettent en place des mesures de protection et de contrôle, visant à assurer le respect de la confidentialité des données utilisateurs.
___________
Daniel Crowe est Directeur Régional France et Europe du Sud – NETSCOUT