DLP et DRM: Enjeux, défis et opportunités pour la protection et le contrôle de l'information

  • 1,111 views
Uploaded on

Conference

Conference

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,111
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
24
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. DLP et DRM: Enjeux, défis etopportunités pour la protection et le contrôle de linformation Conférence-débat du CLUSIS “Prévenir la perte de données (DLP)” @ IDHEAP, Lausanne Prof. Jean-Henry Morin Université de Genève – CUI Institute of Services Science Jean-Henry.Morin@unige.ch 13 septembre 2011
  • 2. Sommaire•  Contexte et problématique•  DLP & DRM : Les Enjeux•  Défis•  Paradoxe de la Confiance•  Quelles Opportunités ? 2011 J.-H. Morin
  • 3. Qui n’a JAMAIS « contourné » un politique de sécurité pour faire un travail légitime que des systèmes vous empêchent de faire ? 32011 J.-H. Morin
  • 4. 53 % !!! 42011 J.-H. Morin
  • 5. Secteur des Organisations•  53% admettent contourner les politiques de sécurité de l’organisation pour pouvoir travailler (EMC RSA Security, 2008)•  Parmi les raisons les plus citées de contourner les politiques de sécurité d’une l’organisation (Cisco, 2008) a)  Ne correspond pas à la réalité opérationnelle ni à ce qui est demandé pour faire son travail b)  Nécessité d’accéder à des applications ne faisant pas partie (ou pas autorisées par) des politiques IT de l’organisation pour travailler•  Conséquences: accroissement des risques et des coûts •  Requiert de la « créativité » pour faire son travail ! •  Augmentation du stress lié à des actions non autorisées •  Inefficacités •  Transgressions / violations : intracables 2011 J.-H. Morin 5
  • 6. Faits et Chiffresn  Tendances confirmées par les études suivantes 6 2011 J.-H. Morin
  • 7. Faits et Chiffres But most corporations do lose intellectual property through employees. Whether http://datalossdb.org/ intentionally or inadvertently … Gartner G2 News Analysis, Feb 25, 2003A Deloitte & Touche auditor forgot in the seat pouch of anairplane an unencrypted CD holding data of 9’000 McAfeeemployees (names, social security #, shares of thecompany held) Etc. http://www.privacyrights.org/data-breach 7 2011 J.-H. Morin
  • 8. Sécurité = Arbitrage 82011 J.-H. Morin
  • 9. Facteur Humain ! IMG: J. Anderson 92011 J.-H. Morin
  • 10. Facteur Humain (2) La Sécurité se contourne, elle ne s’attaque pas Inspiré par Adi Shamir, Turing Award lecture, 2002! 102011 J.-H. Morin
  • 11. Sécurité de l’Information David Lacey, Managing the human factor in information security, John Wiley & Sons, 2009 112011 J.-H. Morin
  • 12. Contexte•  Entreprise Virtuelle Etendue & Cloud Computing•  DLP•  DRM / EDRM / IRM / ERM 12 2011 J.-H. Morin
  • 13. La protection de l’information aujourd’hui La notion de Périmètre•  Basée sur le “périmètre” et les Listes de Contrôle d’Accès (ACL). En dehors ? RIEN !!! (ou presque) Mobile Worker VPN Corporate Network 13 2011 J.-H. Morin
  • 14. La gestion des “politiques” aujourd’hui … encore un Vœux Pieux ! 142011 J.-H. Morin
  • 15. Data Loss Prevention (DLP)•  Qu’est-ce que le Data Loss Prevention ? •  Technologie de « détection d’extrusions » •  Permet d’identifier des informations « sensibles » par leurs contenus (sniffing) selon 3 situations AVANT leurs « fuite » •  Data in Motion (DIM) : sur le réseau •  Data at Rest (DAR) : sur des serveurs de données, archivage •  Data in Usage (DIU) : sur des terminaux utilisateurs•  Origine : •  Records Management : Gestion du cycle de vie de l’information•  Où est-ce utilisé ? •  Secteur de l’Entreprise •  Nombreux acteurs et solutions 15 2011 J.-H. Morin
  • 16. Digital Rights Management (DRM) Gestion des Droits Électoniques•  Qu’est-ce que la technologie DRM ? •  Technologie permettant d’associer cryptographiquement des Règles d’usage à des Contenus Numériques •  Ces règles gouvernent/régissent l’usage de ces contenus •  Le contenu devient protégé de façon persistante où qu’il soit (superdistribution)•  Exemples : •  Un contenu numérique ne peut pas être utilisé plus de 3 fois •  Destinataires d’un email ne peuvent pas FAIRE SUIVRE, IMPRIMMER, COPIER un email •  Cette présentation EXPIRE le 13 sept 2011, à 17H30•  Où est-ce utilisé ? •  Initialement dans le secteur du divertissement et des médias© •  Depuis 2003 : Secteur de l’Entreprise, suite aux scandales financiers, questions de conformité, cadres régulatoires, PI, etc. •  Logiciels, jeux, etc. 16 2011 J.-H. Morin
  • 17. DLP + DRM = DPM Questions clés pour les Organisations•  Technologies pour la gestion électronique des droits et des politiques régissant l’utilisation de contenus au sens large de façon persistante: •  Permet une gestion responsable de l’utilisation de contenus tant à l’intérieur qu’à l’extérieur du périmètre de l’Entreprise (firewall, VPN…) •  Aide à la gestion des classifications (e.g. “confidentiel pour l’entreprise”, “comité de direction”, projets, etc.) •  Aide à la gestion et la mise en conformité des cadres régulatoires et des politiques d’Entreprises •  Sarbanes-Oxley, Basel II, HIPAA, NASD 2711, etc. •  Politiques de rétention (email,documents,etc.) •  Tracabilité (Traces d’audit, tracking, monitoring, mesure) •  Aide à la gestion des octrois / révocations des politiques d’accès 2011 J.-H. Morin
  • 18. Ce que DLP & DRM ne peuvent pas faire•  Offrir une sécurité totale “ niveau militaire ” •  Juste équilibre entre la sécurité et un niveau de risque “ commercialement viable ” •  La sécurité absolue n’existe pas•  Protection contre les attaques “analogiques”(The Analog Hole, la passoire analogique) 18 2011 J.-H. Morin
  • 19. Faits et Chiffres Global Digital Rights Management Market to Cross $2.4 Billion by 2015 Global Industry Analysts, Inc., April 2009 Data Loss Prevention Market 25% yearly growth over 2010-2014 The Radicati Group, 20102011 J.-H. Morin 19
  • 20. DLP & DRM Quels Rapports•  Information Protection & Control (IPC) •  Deux faces d’une même médaille •  En amont, DLP : Prévention, détection •  En aval, DRM : Protection persistante•  Limites : •  Standards et Interoperabilité •  DLP Partiellement couplées aux DRM •  Complexité •  Utilisabilité •  Informations non structurées•  Nouveaux Défis ? •  Les netups, PME, projets ad-hoc, Entreprise Virtuelle Etendue, etc. •  Data in the Cloud (DiC) •  Transparence & Confiance 20 2011 J.-H. Morin
  • 21. Un Paradoxe On parle de Confiance (Trusted Computing) à l’ère du numérique… …mais tout l’édifice repose sur une hypothèse de “non-confiance”http://zatoichi.homeip.net/~brain/TrustedComputing.jpg 2011 J.-H. Morin
  • 22. Discussion•  Les technologies DLP & DRM dans leurs formes actuelles sont elles adaptées ? Manifestement NON !•  Il faut rendre la confiance à l’individu, le libre arbitre de l’humain •  Pas en termes « calculable » •  Mais en termes de faisabilité (éclairée) 2011 J.-H. Morin
  • 23. Can we “fix” it ?•  Considérant que : •  La sécurité est nécessaire (notion de contenus gérés) •  Une sécurité absolue n’est ni réaliste ni désirable •  Avec une « expérience utilisateur » raisonnable, la plupart des gens se conforment volontiers (e.g., iTunes) •  La plupart des gens ne sont pas des criminels•  Nous devons prendre du recul pour : •  Repenser de façon critique la Sécurité •  Reconsidérer le débat en dehors des extrêmes (tout ou rien, abolitionnistes et intégristes de la sécurité, etc.) •  Intégrer par Design ces questions 23 2011 J.-H. Morin
  • 24. Repenser & Reconcevoir•  Reconnaître le rôle central de l’utilisateur et de son « expérience » (QoE) •  Rétablir les utilisateurs dans leurs Rôles, Droits et Responsabilités •  Présomption d’innocence & le fardeau de la preuve•  Principe fondamental pour repenser et reconcevoir DRM « Copyright Balance principle » (Felten, 2005) “Since lawful use, including fair use, of copyrighted works is in the public interest, a user wishing to make lawful use of copyrighted material should not be prevented from doing so by any DRM system.”•  Proposition : •  Rendre la Confiance aux utilisateurs •  Renverser l’hypothèse de Non-Confiance•  Il s’agit d’un changement de paradigme majeur 24 2011 J.-H. Morin
  • 25. Proposition :Un modèle de Gestion d’Exceptions
  • 26. Proposition: La gestion d’exceptions•  La Gestion d’Exceptions dans la sécurité: mélange explosif ? Pas nécessairement ! •  Renverser l’hypothèse de non-confiance replace l’utilisateur face à ses responsabilités •  Permet aux utilisateurs de générer des demandes d’exception et de leurs accorder des licences de courte durée sur la base d’une trace auditable •  Utiliser des Crédentiels comme « jetons » pour tracer et détecter les abus •  Les crédentiels sont révocables de façon à gérer les situations d’abus •  Reconnaissance mutuelle de la nécessité de Contenus Gérés tout en permettant à l’ensemble des acteurs une utilisation adaptable aux situations particulières. 26 2011 J.-H. Morin
  • 27. La Gestion d’Exceptions dans des environnements de « contenus gérés »•  Qu’est-ce qu’une Exception ? •  Une déclaration / demande faite par un utilisateur souhaitant légitimement accéder ou utiliser une ressource.•  Basé sur des modèles existants de crédentiels •  Modèle de délégation basé sur des autorités chainées •  Rapprochement entre des autorités de gestion de crédentiels et les utilisateurs •  Gestion et possession locale des crédentiels (base personnelle de crédentiels) •  Durée de vie courte ou limitée •  Révocables •  Détermination dynamique au moment du besoin (enforcement point) 27 2011 J.-H. Morin
  • 28. La Gestion d’Exceptions dans des environnements de « contenus gérés »•  Modèle auditable pour les abus, incluant la possibilité de révocation •  Fardeau de la preuve reposant sur la partie ayant une raison justifiable de croire qu’un abus s’est produit (présomption d’innocence) •  Monitoring en (quasi) temps réel des politiques de sécurité 28 2011 J.-H. Morin
  • 29. Principe et Scénario Général avec Gestion d’Exceptions2011 J.-H. Morin
  • 30. Transfert de TechnologiePartenariat avec Fasoo.com •  Intégration du modèle de Gestion d’Exceptions •  Juin 2011 •  « Provisional License » 30 2011 J.-H. Morin
  • 31. Perspectives futures•  Nouvelle direction de recherche •  Systèmes autonomes, adaptatifs et artificielles immunes (Artificial Immune Systems, AIS) •  Self-protecting content •  Personal DRM •  Faible barrière à l’entrée •  Ouvert •  Distribué 31 2011 J.-H. Morin
  • 32. Conclusion•  La confiance présuppose de laisser le libre arbitre à l’humain (l’exception par design)•  Elle n’est en revanche pas aveugle (gérée)•  Nous sommes face à un défi MAJEUR de notre Société participative dématérialisée!•  Une approche socialement responsable de la confiance à l’ère du numérique est-elle possible ? •  … rejoignez la conversation ! 32 2011 J.-H. Morin
  • 33. Références J.-H. Morin, “Rethinking DRM Using Exception Management”, chapter III in Handbook of Research on Secure Multimedia Distribution, S. Lian and Y. Zhang (Eds), Information Science Reference (ISR), ISBN: 978-1-60566-262-6, IGI Global, March 2009, pp 39-54. http://www.igi-global.com/reference/details.asp?id=33143 J.-H. Morin, “Exception Based Enterprise Rights Management : Towards a Paradigm Shift in Information Security and Policy Management”, International Journal On Advances in Systems and Measurements, issn 1942-261x, vol. 1, no. 1, 2008, pp. 40-49. http://www.iariajournals.org/systems_and_measurements/ Think Tank sur la Science des Services et l’Innovation Think Group Données, Société et Transparence (Dec 2010) … rejoignez la conversation 332011 J.-H. Morin
  • 34. N’oubliez pas ! 34 2011 J.-H. Morin
  • 35. Merci… … Q & A Contacts:@jhmorin Prof. Jean-Henry Morin Université de Genève – CUIhttp://ch.linkedin.com/in/jhmorin Institute of Services Science http://iss.unige.ch/http://jean-henry.com/ Jean-Henry.Morin@unige.chhttp://www.slideshare.net/jhmorin