Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Pseudonymiser pour concilier IA et se ?curite ? des donne ?es ?

avril 2021 par Timothe ?e Rebours, Cofondateur et CEO de Seald

Face a ? l’explosion des cyberattaques, les entreprises doivent faire de la se ?curite ? informatique une priorite ?. Mais pour proposer de nouveaux produits, services ou fonctionnalite ?s, elles ont besoin de recourir au Machine Learning (ML) et a ? l’IA, des technologies ne ?cessitant d’utiliser des donne ?es lisibles. Pseudonymiser les donne ?es utiles a ? l’IA et chiffrer de bout-en-bout les autres est la solution.

Envisager la se ?curite ? informatique de manie ?re traditionnelle est faillible

En 2020, le nombre de cyberattaques a ? l’encontre d’entreprises de tous secteurs a explose ?. Face a ? cela et aux conse ?quences dramatiques qu’elles peuvent entrai ?ner en termes d’image, mais aussi d’un point de vue financier (le cou ?t des cyberattaques avoisinera les 6 000 milliards de dollars fin 2021), les entreprises continuent d’adopter une attitude de ?sinvolte vis-a ?-vis de leur se ?curite ? informatique. Et pour cause. Lance ?es dans une course effre ?ne ?e de de ?veloppements de nouveaux produits, services ou fonctionnalite ?s, elles jugent le de ?ploiement d’outils se ?curitaires comme une perte de temps et une source de cou ?t a ? court terme. Par ailleurs, elles les conside ?rent comme un obstacle a ? l’utilisation de techniques de machine learning ou d’intelligence artificielle, ceux- ci ne ?cessitant d’acce ?der a ? de grands volumes de donne ?es. Toute la proble ?matique pour les entreprises est donc de concilier rapidite ? d’exe ?cution de leur activite ? et se ?curite ? informatique. Mais est-ce compatible ? Aujourd’hui des entreprises comme Zoom, Doctolib, Alan ou encore Google pour sa messagerie, ont change ? la fac ?on d’aborder la cyberse ?curite ? en inte ?grant du chiffrement de bout-en-bout, premier pas vers le zero-trust, un concept qui place le principe de moindre privile ?ge au centre de la conception de nouveaux produits et architectures.

De ?crit de ?s 2003 par le Jericho Forum puis par Forrester en 2010, le zero-trust fait le constat que la fac ?on traditionnelle d’envisager la se ?curite ? informatique en plac ?ant une grande « barrie ?re » autour des syste ?mes d’information e ?tait toujours faillible. Le zero-trust pre ?conise donc de prote ?ger les donne ?es a ? chaque e ?tape, y compris d’inte ?grer cette protection directement au niveau des applications pluto ?t que de faire confiance aveugle ?ment a ? « l’infrastructure ». La responsabilite ? est, de ce fait, de ?porte ?e sur les de ?veloppeurs d’applications. Techniquement, la protection des donne ?es la plus stricte est atteinte en mettant en place du chiffrement de bout- en-bout. Gra ?ce a ? cette technologie, les donne ?es ne peuvent plus e ?tre lues que par l’expe ?diteur et le destinataire de l’information. A ? titre d’exemple, la spe ?cificite ? de WhatsApp (ou Olvid son concurrent franc ?ais) est d’assurer a ? ses utilisateurs qu’aucune conversation ne peut e ?tre lue par un tiers. Mais si ce chiffrement de bout-en-bout des donne ?es rend illisible les informations, il interdit aussi toute possibilite ? d’effectuer du ML, de l’IA ou me ?me de lancer une recherche sur ces donne ?es. Les entreprises ne peuvent donc plus utiliser ces technologies indispensables a ? leur compe ?titivite ? et leur rapidite ? de commercialisation des offres. D’ou ? leurs re ?ticences a ? mettre sous cloche toutes leurs donne ?es.

Prote ?ger les donne ?es en pre ?servant la capacite ? a ? utiliser le ML et l’IA

Existe-t-il des moyens de lever cette antinomie entre donne ?es se ?curise ?es et IA ? Outre l’utilisation de techniques de chiffrement dites « homomorphes » qui n’en sont qu’a ? leurs de ?buts, cette difficulte ? peut, en effet, e ?tre contourne ?e par le tri des donne ?es selon la finalite ? qui leur est destine ?e. Ainsi, pour celles utiles aux projets de ML et d’IA, les entreprises peuvent les pseudonymiser, c’est-a ?-dire remplacer les donne ?es identifiantes par un « pseudonyme » unique et ale ?atoire. Les donne ?es identifiantes originales sont alors conserve ?es dans une table de pseudonymes, elle-me ?me prote ?ge ?e par un chiffrement de bout-en-bout. Ce processus revient donc a ? couper les donne ?es en deux cate ?gories, d’un co ?te ? les pseudonymise ?es que l’on exploite de fac ?on automatise ?e et de l’autre celles chiffre ?es de bout-en-bout. En d’autres termes, cela revient a ? appliquer le principe du moindre privile ?ge (fondation du zero-trust) et cela se rapproche du RGPD qui, rappelons-le, impose de « mettre en œuvre les mesures techniques et organisationnelles approprie ?es afin de garantir un niveau de se ?curite ? adapte ? au risque » et qui cite notamment « la pseudonymisation et le chiffrement des donne ?es a ? caracte ?re personnel » comme moyens a ? employer.

Le chiffrement de bout-en-bout imple ?mente ? de cette fac ?on et le zero-trust en ge ?ne ?ral permettent donc de prote ?ger les donne ?es tout en pre ?servant la capacite ? a ? utiliser le ML et l’IA. Toutefois cela impose une ve ?ritable transformation de la gestion de la se ?curite ? informatique pour qu’elle soit plus pre ?ventive que re ?active et de la gouvernance de la donne ?e pour mieux savoir ou ? sont collecte ?es et utilise ?es les donne ?es. Cette transformation est probablement inexorable, la retarder c’est mettre en danger ses donne ?es et donc prendre des risques pouvant gravement nuire a ? une entreprise. Re ?agir aux cyberattaques et fuites de donne ?es au lieu de les anticiper c’est analogue a ? reconstruire un gratte-ciel apre ?s chaque se ?isme pluto ?t que d’y inte ?grer des techniques parasismiques lors de son e ?dification. Tout va bien tant qu’il n’y pas de tremblement de terre !


Voir les articles précédents

    

Voir les articles suivants