Your SlideShare is downloading. ×
Keynote 5th Swiss Data Protection day, 2012
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Keynote 5th Swiss Data Protection day, 2012

244

Published on

Keynote at Cinquième Journée suisse de droit de la protection des données, June 14, 2012, Bern (French)

Keynote at Cinquième Journée suisse de droit de la protection des données, June 14, 2012, Bern (French)

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
244
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 14  juin,  2012  Lu$lisa$on  des  moyens  techniques   en  vue  dune  améliora$on  de  la   protec$on  des  données   Jean-­‐Henry  Morin   Université  de  Genève  
  • 2. Préambule  (I) La technologie n’est qu’un moyen au service de pratiques et de métiers, encore faut-il savoir en évaluer les risques et les opportunités dans unesociété participative dématérialisée et orientée services.« L’e-illettrisme sera lillettrisme du XXIe siècle » Rapport Stavros Lambrinidis, Paelement EU, 2009 2
  • 3. Préambule  (II)  Sécurité  =  Arbitrage   3  
  • 4. Facteur  Humain  !   IMG:  J.  Anderson   4
  • 5. Facteur  Humain  (2)     La  Sécurité  se  contourne,   elle  ne  s’a2aque  pas   Inspiré par Adi Shamir, Turing Award lecture, 2002!                 5  
  • 6. Les  dimensions  de  la  ProtecNon  des  Données   Technologie Droit Data Protection Politiques Publiques
  • 7. De  la  Technologie  aux  Usages   Droit Technologie FinanceEthique Data Economie Politique Protection Sociologie Marketing Etc. Communication
  • 8. Sommaire  •  Contexte   –  2  contextes  et  leurs  défis  •  Moyens  Techniques   –  3  approches  et  leurs  limites  •  PerspecNves  futures  &  Conclusion  
  • 9. ProtecNon  des  Données  •  Deux  Contextes   –  InsNtuNonnel  &  OrganisaNonnel   –  Individuel  &  Privé       Et  des  nouveaux  défis…  
  • 10. La  protecNon  de  l’informaNon  aujourd’hui   La  noNon  de  Périmètre  •  Basée  sur  le  “périmètre”  et  les  Listes  de  Contrôle  d’Accès  (ACL).  En   dehors  ?  RIEN  !!!  (ou  presque)   Mobile Worker VPN Corporate Network 10  
  • 11. La  gesNon  des  “poliNques”  aujourd’hui   …  encore  un  Vœux  Pieux  !   11  
  • 12. Faits  et  Chiffres   But most corporations do lose intellectual property through employees. Whether intentionally or inadvertently … hgp://datalossdb.org/   Gartner  G2  News  Analysis,   Feb  25,  2003  A Deloitte & Touche auditor forgot in the seat pouch of anairplane an unencrypted CD holding data of 9’000 McAfeeemployees (names, social security #, shares of the company held) Etc.   hgp://www.privacyrights.org/data-­‐breach   12  
  • 13. 53  %  !!!   13
  • 14. Nouveaux  Défis  IaaS   SaaS   PaaS  
  • 15. Nouveaux  Défis  
  • 16. ProtecNon  des  Données  •  Contexte  Individuel  &  Privé  
  • 17. http://goo.gl/WDUZ2
  • 18. Privacy Made in Google hgp://goo.gl/OgwX   18
  • 19. Réforme  de  la  législaNon  EU  sur  la   ProtecNon  des  Données  •  La  RéappropriaNon  de  nos  données   personnelles    
  • 20. Le  Droit  à  l’Oubli  
  • 21. Le  “Déni  de  Progrès”   hgp://goo.gl/oo3S3  
  • 22. La  Portabilité  des  Données  Exemple  des  médias  sociaux   Qui  est  au  centre  ?  
  • 23. Quelle  ConversaNon  ?   Silos  !  What   hgp://www.xcellimark.com/images/sce/silos.JPG   •  Google  ConversaNon   ?   •  Facebook  ConversaNon   •  Twiger  ConversaNon   •  ImaginaNon  for  People   ConversaNon   •  Etc.   hgp://www.alchemyuk.com/media/images/social_media_landscape.jpg  
  • 24. Jeremy  Bentham’s  PanopNcon     (18ème  siècle)  
  • 25. Social  Networks  PanopNcon   (21ème  siècle)  Vous  êtes  là  !  
  • 26. Social  Networks  /  Data  Divide  (risque  de  nouvelle  fracture  numérique)   Etc.  
  • 27. Moyens  Techniques  •  Data  Loss  PrevenNon  (DLP)  •  Digital  Rights  Management  (DRM)  •  Exemple  de  Nouveau  Service  
  • 28. Data  Loss  PrevenNon  (DLP)  •  Qu’est-­‐ce  que  le  Data  Loss  Preven$on  ?   •  Technologie  de  «  détecNon  d’extrusions  »   •  Permet  d’idenNfier  des  informaNons  «  sensibles  »  par  leurs  contenus   (sniffing)  selon  3  situaNons  AVANT  leurs  «  fuite  »   •  Data  in  MoNon  (DIM)  :  sur  le  réseau   •  Data  at  Rest  (DAR)  :  sur  des  serveurs  de  données,  archivage   •  Data  in  Usage  (DIU)  :  sur  des  terminaux  uNlisateurs  •  Origine  :   •  Records  Management  :  GesNon  du  cycle  de  vie  de  l’informaNon  •  Où  est-­‐ce  u$lisé  ?   •  Secteur  de  l’Entreprise     •  Nombreux  acteurs  et  soluNons   28  
  • 29. Digital  Rights  Management  (DRM)   GesNon  des  Droits  Électoniques  •  Qu’est-­‐ce  que  la  technologie  DRM  ?   •  Technologie  permegant  d’associer  cryptographiquement  des  Règles  d’usage  à   des  Contenus  Numériques   •  Ces  règles  gouvernent/régissent  l’usage  de  ces  contenus   •  Le  contenu  devient  protégé  de  façon  persistante  où  qu’il  soit  (superdistribuNon)  •  Exemples  :   •  Un  contenu  numérique  ne  peut  pas  être  u$lisé  plus  de  3  fois   •  DesNnataires  d’un  email  ne  peuvent  pas  FAIRE  SUIVRE,  IMPRIMMER,  COPIER  un   email   •  Cege  présentaNon  EXPIRE  le  14  juin  2012,  à  18H00  •  Où  est-­‐ce  u$lisé  ?   •  IniNalement  dans  le  secteur  du  diver$ssement  et  des  médias©   •  Depuis  2003  :  Secteur  de  l’Entreprise,  suite  aux  scandales  financiers,  quesNons   de  conformité,  cadres  régulatoires,  PI,  etc.   •  Logiciels,  jeux,  etc.   29  
  • 30. DLP  &  DRM  Quels  Rapports  •  Informa$on  Protec$on  &  Control  (IPC)   •  Deux  faces  d’une  même  médaille   •  En  amont,  DLP  :  PrévenNon,  détecNon     •  En  aval,  DRM  :  ProtecNon  persistante  •  Limites  :   •  Standards  et  Interoperabilité   •  DLP  ParNellement  couplées  aux  DRM   •  Complexité     •  UNlisabilité   •  InformaNons  non  structurées  •  Nouveaux  Défis  ?   •  Les  netups,  PME,  projets  ad-­‐hoc,  Entreprise  Virtuelle  Etendue,  etc.   •  Data  in  the  Cloud  (DiC)   •  Transparence,  uNlisabilité  &  Confiance     30  
  • 31. DLP + DRM = DPM Importance pour les Organisations•  Technologies  pour  la  gesNon  électronique  des  droits  et  des   poliNques  régissant  l’uNlisaNon  de  contenus  au  sens  large  de   façon  persistante:   •  Permet  une  ges6on  responsable  de  l’uNlisaNon  de  contenus  tant  à   l’intérieur  qu’à  l’extérieur  du  périmètre  de  l’Entreprise  (firewall,  VPN…)   •  Aide  à  la  gesNon  des  classifica$ons  (e.g.  “confidenNel  pour  l’entreprise”,   “comité  de  direcNon”,  projets,  etc.)   •  Aide  à  la  gesNon  et  la  mise  en  conformité  des  cadres  régulatoires  et  des   poliNques  d’Entreprises   •  Sarbanes-­‐Oxley,  Basel  II,  HIPAA,  NASD  2711,  etc.   •  PoliNques  de  réten$on  (email,documents,etc.)   •  Tracabilité  (Traces  d’audit,  tracking,  monitoring,  mesure)   •  Aide  à  la  gesNon  des  octrois  /  révoca$ons  des  poliNques  d’accès  
  • 32. Ce que DLP & DRM ne peuvent pas faire•  Offrir  une  sécurité  totale  “  niveau  militaire  ”   •  Juste  équilibre  entre  la  sécurité  et  un  niveau  de  risque  “   commercialement  viable  ”   •  La  sécurité  absolue  n’existe  pas  •  ProtecNon  contre  les  agaques  “analogiques”(The   Analog  Hole,  la  passoire  analogique)               32  
  • 33. Un Paradoxe On parle de Confiance (Trusted Computing) à l’ère du numérique… …mais tout l’édifice repose sur une hypothèse de “non-confiance”http://zatoichi.homeip.net/~brain/TrustedComputing.jpg
  • 34. Moyens  Techniques:  Exemple  de  Nouveaux  Services  
  • 35. Exemple  de  Nouveaux  Services   hgps://Priv.ly/posts/ 2342536674    
  • 36. PerspecNves  
  • 37. La  Portabilité  des  Données   Une  Idée  “simple”  
  • 38. Travaux  récents  et  en  cours  •  GesNon  d’ExcepNons  dans  les  environnements  DRM   (Morin,  2009,  2010)  •  Approche  de  gesNon  des  données  personnelles   combinant  les  technologies  DRM  et  les  mécanismes  de   gesNon  d’excepNons  (Morin,  2010)  •  Les  technique  de  “Personal  DRM”  (Tchao  et  al.,  2012)   –  Approche  décentralisé   –  Objet  acNf  autonome,  adaptaNfs   –  Algorithmes  système  immunitaire  arNficiel  (SIA)   –  Système  ouvert  et  distribué  :  faible  barrière  à  l’entrée  
  • 39. Personal  Social  Cloud  of  Things  (PSCoT)   (Morin  et  al.,  2010)  
  • 40. SensibilisaNon  et  FormaNon  Service de sensibilisation à la protectiondes données et à la transparence h`p://thinkdata.ch/   5’400+  visites  de  plus  de  3’   depuis  le  27  janvier  2012   hgp://on.}.me/yeVnxY   @ThinkData101  
  • 41. Menace  sur  la  protecNon  des  données  et  la   transparence  à  Genève   hgp://goo.gl/5XTCT   hgp://www.facebook.com/PPDTGE  
  • 42. Pour  Conclure…  •  La  technologie  a  ses  limites  (moyen)  •  La  Confiance  comme  base  de  la  Responsabilité  •  Travaillons  ENSEMBLE  à  la  concepNon  de   soluNons  innovantes  de  demain  •  Eduquer,  Sensibiliser,  Former  
  • 43. Soyons Numériquement Exigeants et Responsables ! La conversation continue… Merci Contacts: @jhmorin   Jean-Henry Morin University of Geneva – CUI hgp://ch.linkedin.com/in/jhmorin   Institute of Services Science http://iss.unige.ch/ hgp://jean-­‐henry.com/   Jean-Henry.Morin@unige.ch hgp://www.slideshare.net/jhmorin  

×