• Save
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'affaires
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

Gestion et implantation de la sécurité dans les projets d\'intelligence d\'affaires

  • 4,387 views
Uploaded on

Avec la démocratisation des applications d’intelligence d’affaires (Business Intelligence ou BI), notamment l’opérationnalisation de l’intelligence d’affaires, est apparu un défi de taille à savoir......

Avec la démocratisation des applications d’intelligence d’affaires (Business Intelligence ou BI), notamment l’opérationnalisation de l’intelligence d’affaires, est apparu un défi de taille à savoir comment sécuriser les environnements et les systèmes d’intelligence d’affaires. En effet les entrepôts de données et les applicatifs permettant d’y accéder sont devenus des applications accessibles à la majorité des employés de l’entreprise. L’enjeu du point de vue de la sécurité opérationnelle est donc de ne fournir à l’utilisateur que l’information pertinente compte tenu de son profil et de l’empêcher d’accéder à une information dont l’usage est restreint. Celle-ci peut être simplement un NAS, un numéro de carte de crédit ou encore le dossier d’un employé. En plus de la sécurisation des données confidentielles se pose la problématique de l’accès sécurisé au niveau granulaire (Row-Level Security ou RLS). Le RLS est quasiment devenu un standard pour les applications BI. Il reste également la problématique des environnements de développements et de tests et leur sécurisation en terme de données. L’auteur propose à travers des exemples réels, une approche et une méthodologie permettant de bâtir un modèle de sécurité robuste, efficace et évolutif pour les applications BI ainsi que des « best pratices » pour gérer les environnements BI.

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
4,387
On Slideshare
4,362
From Embeds
25
Number of Embeds
5

Actions

Shares
Downloads
0
Comments
0
Likes
4

Embeds 25

http://www.linkedin.com 16
https://www.linkedin.com 5
http://www.slideshare.net 2
http://www.lmodules.com 1
http://10.1.12.249 1

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Sécurité opérationnelle Gestion et implantation de la sécurité dans les projets d'intelligence d’affaires (BI) Youssef Loudiyi BI Expertise
  • 2. Gestion et implantation de la sécurité dans les projets d'intelligence d'affaires  La problématique • Démocratisation et opérationnalisation du BI => comment sécuriser les environnements et les systèmes BI • Un enjeu, ne fournir à chaque employé que l’information pertinente compte tenu de son profil •Problématique des environnements de développements et de tests •Basée sur des exemples réels, une approche et une méthodologie permettant de bâtir un modèle de sécurité robuste, efficace et évolutif pour les applications BI ainsi que des « best pratices » pour gérer les environnements BI.
  • 3. Gestion et implantation de la sécurité dans les projets d'intelligence d'affaires  Conférencier •15 ans en TI, SAP R/3 & BW, PeopleSoft, JD Edwards •10 ans en Business Intelligence, (Datawarehousing, Enterprise Information Integration, Enterprise Performance Management, etc …) •Spécialisation ces 4 dernières années en BI dans le domaine des services financiers et bancaires Youssef Loudiyi BI Expertise
  • 4. Gestion et implantation de la sécurité dans les projets d'intelligence d'affaires  Agenda •Obligations légales •Rappel sur les systèmes BI •Planifier la Sécurité et la confidentialité •Gestion du projet BI •Gestion des environnements BI Youssef Loudiyi BI Expertise
  • 5. Gestion et implantation de la sécurité dans les projets d'intelligence d'affaires  Pourquoi sécuriser le BI ? • Obligations légales (HIPAA, SOX-C198, CNIL, …) • Risque d’affaires (externe) – ex:divulgation des objectifs à la concurrence • Risque organisationnel (interne) – ex:divulgation des salaires • Risque réputationnel – ex:divulgation des données clients • Risque opérationnel – ex: corruption des données BI Expertise
  • 6. Gestion et implantation de la sécurité dans les projets d'intelligence d'affaires  Pourquoi sécuriser le BI ? Name of Regulation Type Purpose Gramm-Leach-Bliley (Privacy Provide customers with privacy notices on the financial Federal Rule) institution’s information collection and sharing practices Gramm-Leach-Bliley (Safeguards Protect the confidentiality and integrity of personal Federal Rule) information HIPAA Federal Ensure the privacy of medical information State Disclose any breach of security involving computerized SB 1386 (California) customer data to the affected individual State Protect personal information in a computerized medium AB 1950 (California) from unauthorized access, use, etc. State Protect the unauthorized listing of customer’s mobile HR 3558 (pending) (California) phone numbers in a wireless directory EU data protection laws— European Enforces the fundamental rights and freedoms of Directive 95/46/EC Union European citizens, especially the right to privacy Summary of privacy regulations – (Raymond J. Elson and Rey LeClerc) BI Expertise
  • 7. Gestion et implantation de la sécurité dans les projets d'intelligence d'affaires  Pourquoi sécuriser le BI ? • Un exemple au Québec • Exigences minimales relatives à la sécurité des dossiers informatisés des usagers du réseau de la Santé et des Services sociaux (AVRIL 1992) • La confidentialité des renseignements nominatifs et leur communication – Le dossier des usagers est soumis à la plus stricte confidentialité. L’article 53 de la Loi sur l'accès et l’article 19 de la Loi sur les services de santé et les services sociaux stipulent qu’aucun renseignement ne peut être tiré du dossier sans le consentement de l’individu concerné. BI Expertise
  • 8. Intelligence d’affaires Évolution ou Révolution … Youssef Loudiyi BI Expertise
  • 9. Un exemple: le reporting financier Un processus bien souvent manuel …
  • 10. Un processus Manuel Règles d’affaire Grand Livre Utilisateur Règles d’affaire EXCEL Files Temporaires Consolidation Facturation Règles d’affaire Utilisateur Règles d’affaire Autres systèmes Utilisateur 65 % des grandes organisations utilisent un processus manuel Fichiers EXCEL Finaux pour des composantes critiques Weekly du reporting financier Monthly Yearly -AMR Research 02#2005-
  • 11. Reporting Manuel - Problématique • Processus d’extraction – Propriétaire – Requête SQL spécifique – Inconsistent – Dépendant de l’utilisateur – Non-reproductible • Gestion des Règles d’affaire – Enfouies dans les requêtes SQL – Mais aussi dans les fichiers Excel – Instables et maintenues manuellement – Dépendant de l’utilisateur • Processus coûteux en ressources et temps – 1 à 10 FTE • Presentation and publication process – Excel – E-mail
  • 12. Intelligence d’affaires  Définitions - « Business Intelligence is a set of tools (…) enabling the delivery of information to decision makers » (Meta Group) - « The processes, technologies and tools needed to turn data into information, information into knowledge, and knowledge into plans that drive profitable business action » (TDWI)
  • 13. Intelligence d’affaires  Définitions • Entrepôt(s) de données • Analyse multidimensionnelle • Requêtes ad hoc & reporting • Statistiques & Analyse prédictive • Alertes & notifications • Dashboards & Scorecards •Gestion de la Performance
  • 14. Intelligence d’affaires  Le marché Source : METAspectrum META Group, 2004
  • 15. Intelligence d’affaires  Le marché Magic Quadrant for Business Intelligence Platforms, 2008 Source: Gartner (January 2008)
  • 16. Intelligence d’affaires  Le marché Magic Quadrant for Business Intelligence Platforms, 2008 Hyperion  Oracle ProClarity  Microsoft Cognos  IBM Business Objects  SAP Source: Gartner (January 2008)
  • 17. Intelligence d’affaires  Cadre d’analyse - utilisateurs - données Stratégique Scorecards Dashboards Statistiques Analyse prédictive Analyse multidimensionnelle Alertes Notifications Reporting + utilisateurs Requêtes ad hoc + données Opérationnel
  • 18. Évolution de l’Intelligence d’affaires  Une brève histoire... - Enjeux historiques : - Référentiel unique - Homogène et fiable - Historique - Orienté utilisateur
  • 19. Évolution de l’Intelligence d’affaires  Une brève histoire... Les systèmes décisionnels dans le temps : • Infocentres • Entrepôts de données • Bases multidimensionnelles • Data Mining
  • 20. Intelligence d’affaires  Acronymes - OLTP : On Line Transaction Processing - OLAP : On Line Analytical Processing - ODS : Operational Data Store - DWH : Data Warehouse - DM : Data Mart - EIS : Executive Information Systems - BPM : Business Performance Measurement - CPM : Corporate Performance Management
  • 21. Un processus Manuel Règles d’affaire Grand Livre Utilisateur Règles d’affaire EXCEL Files Temporaires Consolidation Facturation Règles d’affaire Utilisateur Règles d’affaire Autres systèmes Utilisateur 65 % des grandes organisations utilisent un processus manuel Fichiers EXCEL Finaux pour des composantes critiques Weekly du reporting financier Monthly Yearly -AMR Research 02#2005-
  • 22. L’intelligence d’affaire: une solution Reporting Corporatif & Analyses adhoc Gestion Tableau de bord •Standardisation des Métriques Financières •Analyses détaillées Métadonnées •Vue Consolidée des rapports •Drill-down •Visibilité en temps réel •Environnement •Drill-through collaboratif •Alertes sur les exceptions ou Écarts •Accès sécurisé Définitions Règles d’affaire Entrepôt de données corporatif Contrôles •Consolidation des données de sources multiples Rapports •Gestion des flux de données •Intégration des données •Gestion de la qualité des données Comptes Autres Systèmes Grand Livre Facturation Fournisseurs Transactionnels Source: Infosys Research
  • 23. Un exemple de plateforme d’intelligence d’affaires SYSTEMES PLATEFORME DE ENTREPOT DE PRÉSENTATION UTILISATEURS OPERATIONELS DONNÉES DATA MARTS DIFFUSION INTRANET WEB Grand Livre DATA MARTs DATA WAREHOUSE BUSINESS Facturation INTELLIGENCE SERVER ETL  RAPPORTS CORPORATIFS  ANALYSES Gestion Clients  Drill-down Extraction  Drill-through Transformation  Incident causes Chargement CUBES OLAP RÉFÉRENTIEL  Trends
  • 24. Planifier la sécurité dans le domaine de l’Intelligence d’Affaires Quelle approche choisir ?
  • 25. Sécurité et Intelligence d’affaires Conformité aux différentes législations Flexibilité nécessaire Procédures de aux applications BI sécurité efficaces
  • 26. Sécurité et Intelligence d’affaires  5 axes de travail  Définition d’une politique de sécurité  Des procédures de sécurité efficaces  Gestion de la sécurité logique  Gestion de la sécurité physique  Revue périodique des contrôles internes D’après Raymond J. Elson and Rey LeClerc - TDWI
  • 27. Sécurité et Intelligence d’affaires  5 Axes de travail  Établir des politiques efficaces de confidentialité et de sécurité de l’information au niveau corporatif Authentification des utilisateurs Contrôle des accès Utilisation du cryptage  Limiter l’accès physique aux serveurs  Mettre en place des revues périodiques des contrôles internes de sécurité et de  confidentialité
  • 28. Sécurité et Intelligence d’affaires  Définition d’une politique de sécurité(1)  Implication de la Haute Direction  Idéalement, mise en place d’une politique de la sécurité de l’information signée par le CEO  Définition des exigences minimales de sécurité et de confidentialité pour la conception, l’implémentation, administration et utilisation de l’intelligence d’affaires au sein de l’organisation.
  • 29. Sécurité et Intelligence d’affaires  Définition d’une politique de sécurité (2)  Elle doit définir clairement l’approche de l’organisation en termes de confidentialité de l’information client.  La tolérance zéro devrait être la règle pour toute divulgation non-autorisée.  Tous les membres de l’organisation doivent avoir pris connaissance de la politique de sécurité => implications et responsabilisation au niveau individuel.
  • 30. Sécurité et Intelligence d’affaires  Définition d’une politique de sécurité (3)  Communication claire: Intranet par exemple.  Alignée sur la gestion des risques au niveau corporatif.  Focus sur les risques associés à la sécurité et la confidentialité  Évaluation des menaces potentielles  Évaluation des faiblesses et vulnérabilités de l’organisation  Conformité avec les obligations légales au niveau local, régional, national et international.
  • 31. Sécurité et Intelligence d’affaires  Sécurité Logique Garantir l’accès aux seules personnes autorisées et uniquement à l’information qui leur est destinées. 3 axes de travail: Authentification de l’utilisateur Contrôle des accès Cryptage des données
  • 32. Sécurité et Intelligence d’affaires  Sécurité Logique: Authentification On privilégera une approche SSO (Single-Sign- On) Il faut s’assurer que le serveur BI de présentation et de diffusion est compatible avec l’annuaire d’entreprise LDAP Active Directory Etc … Extranet: + risques
  • 33. Sécurité et Intelligence d’affaires  Sécurité Logique: contrôle des accès Read-only vs Insert, update, delete Au niveau de l’OS, de la base de données et de l’application BI Plusieurs technologies Row Level Security (RLS): Oracle VPD Business Objects (universe) Cognos …
  • 34. Sécurité et Intelligence d’affaires  Sécurité Logique: contrôle des accès et RLS Row Level Security (RLS): Permet de restreindre les lignes visibles par l’utilisateur Peut affecter la performance Requiert un critère granulaire pour pouvoir discriminer les lignes concernées Propre à chaque fournisseur
  • 35. Sécurité et Intelligence d’affaires  Sécurité Logique: gestion des mots de passe Si Web , utiliser des mots de passe d’une complexité adéquate Changement requis tous les 60-90 jours Déconnexion si inactivité (20 mn)
  • 36. Sécurité et Intelligence d’affaires  Sécurité Logique: cryptage des données(1) Une des meilleures défenses de l’environnement BI Utilisation à plusieurs niveaux particulièrement si c’est un accès web Confidentialité, intégrité et certification de l’information
  • 37. Sécurité et Intelligence d’affaires  Sécurité Logique: cryptage des données(2) Indispensable dans le domaine de la santé Utilisation à plusieurs niveaux , colonne, lignes, sert de défense dans le cas d’une attaque passive. Un exemple, le dossier patient, un numéro de carte de crédit, NAS, etc … Utilisation de clés privées ou publiques
  • 38. Sécurité et Intelligence d’affaires  Sécurité Logique: cryptage des données(3) Indispensable dans le domaine de la santé Mise en place en environnement de développement et test Prérequis pour le projet BI Prototype (POC) si c’est la première implantation Implémenter en amont de l’entrepôt de données pour minimiser le risque Délicat à gérer en maintenance
  • 39. Sécurité et Intelligence d’affaires  Sécurité Physique Concerne les serveurs et postes clients Particulièrement les data centers Les postes clients utilisés pour administrer et gérer les applications BI particulièrement les base de données BI.
  • 40. Sécurité et Intelligence d’affaires  Contrôles internes périodiques Vérificateur interne pour valider périodiquement la validité de la sécurité des environnements et applicatifs BI. Valider que la politique de confidentialité est connue et appliquer par tous les employés Les procédures de sécurité sont adéquates et efficaces Les failles de sécurité du BI sont surveillées et gérées dans les délais impartis. Les données clients sont protégées correctement
  • 41. Sécurité et Intelligence d’affaires  Les défis actuels en sécurité dans le BI Les informations des environnements BI sont devenues disponibles à partir de multiples applications clientes: laptop, téléphones cellulaires, blackberry, etc …. Les caches (Excel ?) utilisés par ces applications ainsi que la mobilité des utilisateurs augmentent le risque de façon inégalée. Toute organisation doit évaluer ce risque avant d’ouvrir les applications BI à ce type de terminaux
  • 42. Un exemple de plateforme d’intelligence d’affaires SYSTEMES PLATEFORME DE ENTREPOT DE PRÉSENTATION UTILISATEURS OPERATIONELS DONNÉES DATA MARTS DIFFUSION INTRANET WEB Cryptage Grand Livre Cryptage DATA MARTs DATA WAREHOUSE BUSINESS Facturation INTELLIGENCE SERVER ETL  RAPPORTS CORPORATIFS  ANALYSES Gestion Clients  Drill-down Extraction  Drill-through Transformation  Incident causes Chargement CUBES OLAP RÉFÉRENTIEL  Trends
  • 43. Youssef Loudiyi yl@biexpertise.com www.biexpertise.com
  • 44. Merci de votre attention !
  • 45. Architecture proposée Source: DM Review 2004