Avis d'expert : comment sécuriser la nouvelle ère du Big Data
La ruée vers l’or à laquelle nous assistons actuellement en matière de collecte et d’analyse du Big Data, alimenté de plus en plus par l’Internet des Objets, crée de nouveaux défis pour les réseaux et la sécurité des centres de données. Sous le titre "Sécuriser la nouvelle ère du Big Data", Christophe Auberger, Directeur Technique France de Fortinet à Sophia Antipolis, s'est attaché à les cerner. Voici son avis d'expert.
À l’heure du numérique, l’information constitue la nouvelle monnaie. Et pour obtenir cette information, les entreprises analysent leurs données – et un grand nombre - pour la connaissance qu’elles peuvent en extraire. A l’échelle du commerce en ligne et des réseaux sociaux, le volume des données est très important, compte tenu des centaines de millions de smartphones et d’équipements clients. A l’échelle des données grand public, médicales ou liées à l’univers de la recherche, ce volume peut être gigantesque, issu de capteurs et d’instruments recueillant de larges volumes de données brutes, à partir d’une source unique (à l’instar des instruments de surveillance d’un moteur d’avion lors d’un vol), ou des 26 milliards d’équipements qui constitueront à terme l’Internet des Objets.
La ruée vers l’or à laquelle nous assistons actuellement en matière de collecte et d’analyse du Big Data, alimenté de plus en plus par l’Internet des Objets, crée de nouveaux défis pour les réseaux et la sécurité des centres de données, et ceci dans trois domaines clés :
En premier lieu, celui de l’agrégation des données. Progressivement, plutôt que de traiter les données brutes et de réduire leur volume au niveau de la source, les données brutes sont transférées et stockées de manière centralisée. Ceci permet de les analyser de différentes façons et dans la durée. Aujourd’hui, les entreprises transfèrent des téraoctets de données tous les jours et sur des distances importantes. Cette inflation en matière de volumes implique de renforcer les capacités des cœurs de réseau et des centres de données, comme, par exemple, migrer vers des performances de 100GbE pour assurer le transfert de flux individuels de données à des débits de 10Gbps à minima.
Cette évolution met à l’épreuve les outils de sécurité en périphérie de réseau (pare-feux notamment), d’autant que nombre d’entre eux ne sont pas adaptés à des volumes aussi importants et à des sessions aussi nombreuses. A titre d’exemple, un pare-feu équipé de ports en 10 GbE ou de performances agrégées de 40 Gbps ne dispose pas forcément de ressources de traitement interne pour gérer un flux à 10 Gbps. La congestion liée au trafic d’entreprise classique sur les LAN est susceptible de saturer davantage les ressources mémoire et CPU, impliquant un ralentissement ou un décrochage des flux importants.
Dans un second temps, le traitement constitue un défi. Les flux liés au Big Data ne sont pas symétriques : les données brutes entrantes ne ressortent pas forcément dans les mêmes formats et volumes. Les données conservées dans les espaces de stockage sont généralement analysées via des serveurs intermédiaires. Le volume de données est ensuite réduit et restitué, souvent via des serveurs Web en front-end, en tant qu’informations synthétiques et donc de faible volume, nécessaires à la visibilité. C’est suite à cette étape que les données sortent du centre de données.
Ceci implique une bande passante plus importante, mais aussi davantage de trafic latéral (à savoir au sein du centre de données), comparé au trafic de type entrée-sortie. De nombreuses études estiment que le trafic latéral compte aujourd’hui jusqu’à 70% du trafic total au sein des centres de données, et que cette tendance continuera à progresser compte tenu de la multiplication des traitements analytiques du Big Data.
Le trafic latéral doit être segmenté et inspecté, pour neutraliser les mouvements latéraux liés aux menaces APT et aux attaques ciblées, mais aussi pour sécuriser les données en elles-mêmes, celles confidentielles notamment. La sécurité réseau doit évoluer d’une architecture de type périmétrique ou passerelle, vers une architecture hybride et multi-niveaux, pour prendre en charge un trafic latéral virtualisé et abstrait qui résulte de l’adoption des technologies de virtualisation serveurs et réseau, ainsi que du Cloud Computing.
Enfin, le troisième défi est celui de l’accès aux données. En matière de Big Data, les données sont archivées sur de longue période, d’où des interrogations : quelles sont les personnes autorisées à accéder à quelles données et pour quelles raisons? Souvent, les données ne sont pas stockées au même endroit mais peuvent être associées et analysées ensemble. Chaque ensemble de données contient des informations sensibles et susceptibles d’être soumises à réglementation ou à des audits internes. De plus, il existe souvent plusieurs équipes d’analystes et de chercheurs qui recherchent des informations différentes.
Un acteur majeur de l’industrie pharmaceutique a ainsi montré l’exemple, mettant les recherches et résultats de ses analyses Big Data à la portée de différents profils : collaborateurs internes, sous-traitants, stagiaires ou encore invités. Pour chacun de ces profils, une sandbox d’analyse distincte a été créée, pour accorder des droits d’accès spécifiques à des ensembles de données identifiés comme pouvant être consultés et associés.
Revisiter les fondamentaux de la sécurité informatique
Dans ce contexte, les directions informatiques doivent revisiter les fondamentaux de la sécurité informatique, plutôt que de s’engager dans des étapes supplémentaires pour sécuriser leur centre de données. Dans de nombreux cas, l’infrastructure même de leur centre de données est actuellement en phase de consolidation, et transformée compte tenu du Big Data, du cloud computing et des initiatives SaaS. Dans le cadre de cette transformation, les directions informatiques devraient privilégier une architecture présentant les caractéristiques suivantes :
Hautes performances – Prise en charge des volumes importants de données grâce à un renchérissement des débits sur le réseau et des ports hautes performances (40 ou 100GbE) et denses. L’évolutivité est également un impératif pour répondre à la croissance du volume des données.
Sécurisée – Repenser la sécurité du périmètre réseau en segmentant davantage pour se protéger des mouvements latéraux des données, et assurer la surveillance des menaces sophistiquées ou émanant de l’intérieur.
Consolidée – intégration de différentes fonctionnalités de sécurité, des fonctions classiques (pare-feu, VPC, antivirus et prévention des intrusions) aux fonctions évoluées de protection évoluée contre les menaces (Advanced Threat Protection), une authentification forte et le contrôle d’accès.
Enfin, les entreprises sont invitées à tirer profit du Big Data pour renforcer leur sécurité. Avec d’avantage de points de contrôle et de monitoring déployés sur le réseau et dans les centres de données, une plateforme SIEM (Security Information and Event Management) et des outils de gestion des logs capables d’agréger les volumes toujours plus importants de logs de sécurité et d’événements, il devient possible d’obtenir des informations décisionnelles en matière de sécurité, pour protéger le Big Data mais aussi le centre de données dans sa globalité.
Christophe Auberger
- Voir les autres avis d'expert de Christophe Auberger : Tag Auberger