Si des informations confidentielles tombent entre les mains de personnes malfaisantes, cela peut avoir de graves conséquences. Nous ne parlons pas ici de données contenues dans un ordinateur portable oublié dans un train ou volé dans un aéroport et « récupérées » par un informaticien malhonnête qui en tirera profit, mais plutôt de manœuvres criminelles visant à pénétrer des serveurs pour s’emparer d’identifiants, de numéros de cartes bancaires ou de secrets de fabrication. Des histoires récentes comme les vols effectués dans la Playstation Network de Sony – plusieurs centaines de millions de dollars de dommages – ont montré le genre de dégâts que pouvait entrainer des défauts de sécurité. Tous les experts du domaine comme les éditeurs de solutions de protection soulignent, jour après jour, les risques encourus non seulement financiers mais aussi judiciaires puisque les entreprises doivent désormais garantir la protection et l’inviolabilité des données qui leur sont confiées. La perte ou le vol d’un ordinateur portable peut être très dommageable mais l’intrusion dans une base de données, dans ce que l’on appelle aujourd’hui le « big data », peut ruiner une entreprise à jamais.

Dans plusieurs rapports récents le cabinet d’études Forrester incitait une nouvelle fois les entreprises dont le big data est la clé de voute à redoubler de précautions en préconisant quelques règles à observer d’urgence :

– Placer les systèmes de contrôle au plus près des données pour créer une ligne de défense plus efficace en cas de pénétration dans le sanctuaire big data

– Utiliser les technologies de contrôle et de protection existantes qui sont régulièrement mises à jour par les éditeurs de solutions de sécurité pour répondre aux contraintes spécifiques des environnements big data comme par exemple les grands volumes de données non structurées

– Définir avec les services juridiques de l’entreprise une politique d’archivage et des règles strictes de mise à disposition des données pour en maitriser ou en réduire la volumétrie et, de ce fait, mieux protéger l’information

– Contrôler tous les accès aux ressources big data et analyser le comportement de tous leurs utilisateurs afin de ne pas prêter le flanc à des menaces sur la confidentialité des données.

Une méthode de protection efficace est à prendre en considération : le cryptage des données qui peut devenir l’outil fondamental de leur mise en sécurité et de la stratégie de confidentialité de l’entreprise. Toutes les activités industrielles et commerciales, toutes les administrations, reposent aujourd’hui sur des services d’information informatisés qui génèrent d’énormes volumes de données.

Toutes ces informations sont plus ou moins sensibles mais, dans tous les cas, elles ne sont pas destinées à être utilisées par des tiers non-autorisés. Pour le cabinet Forrester, la seule façon de sécuriser efficacement les données et d’en annuler la valeur marchande c’est de pratiquer un cryptage suffisamment « dur » pour résister à des cybercriminels de plus en plus compétents en informatique. Les experts de Forrester considèrent en effet qu’une approche sécuritaire axée sur les données et non plus seulement sur leur environnement matériel ou logiciel est sûrement le moyen le plus efficace de se maintenir au niveau ou au dessus du niveau technologique des cybercriminels les plus déterminés. Les gouvernements ont généralement pris en compte ces enjeux en faisant évoluer la législation. L’usage de PGP (Pretty Good Privacy), logiciel de chiffrement en libre accès sur Internet, a été interdit en France jusqu’en 1996 car considéré comme « arme de guerre ». Puis la législation nationale s’est assouplie avec l’autorisation du cryptage symétrique utilisant des clés jusqu’à 128 bits. Depuis la promulgation de la loi pour la confiance dans l’économie numérique en 2004, liberté totale est donnée d’utiliser les moyens de cryptologie, leur importation ou exportation restant quand même soumises à déclaration ou autorisation.