Affronter les nouveaux risques du big data et du cloud : une approche holistique de la sécurité des données

Les fruits des travaux de recherche en informatique sont si fondamentaux pour nos activités personnelles et professionnelles, que nous pouvons difficilement imaginer vivre sans à l’heure actuelle. En parallèle, l’ampleur que prend cette discipline, notamment avec le cloud computing et le big data, nous force à être particulièrement vigilants face aux risques qu’ils présentent et à trouver de nouvelles approches pour assurer la sécurité de nos données. La plupart des chercheurs se concentrent sur le renforcement d’un seul aspect de la sécurité, parfois au détriment d’autres. Le professeur Bryan Ford estime cependant que la question ne peut être traitée que de façon holistique, en répondant simultanément aux multiples attentes que les utilisateurs placent dans les systèmes de protection des données. Pour lui, c’est une question urgente que nous devons traiter dès aujourd’hui : à l’heure actuelle, il est inconcevable de faire marche arrière sur les capacités des méthodes informatiques les plus avancées, mais les attaques informatiques sont de plus en plus sophistiquées et les possibilités de failles du système présentent des risques de plus en plus importants. Grâce à ce programme de recherche, le professeur Ford entend identifier les risques les plus menaçants et les moins étudiés afin de proposer de nouvelles façons de les traiter.
Les trois principaux enjeux de la sécurité des données sont leur disponibilité (il s’agit de s’assurer que les données ne sont pas perdues ou inaccessibles), et leur intégrité (qu’elles ne soient pas corrompues ou manipulées par une entité malveillante), et leur confidentialité (autrement dit, qu’elles ne soient pas divulguées ou utilisées à mauvais escient). Le défi du professeur Ford est de répondre à l’un de ces enjeux sans que cela affecte les autres. Il est par exemple souvent nécessaire d’outrepasser la confidentialité des données des utilisateurs pour vérifier leur intégrité. Le professeur Ford a commencé à travailler sur ce problème en construisant des systèmes décentralisés à petite échelle qui assurent une confidentialité forte ainsi qu’une vraie ’intégrité à l’échelle du système et des protections permettant la disponibilité des données. Le défaut de ces systèmes est cependant le faible nombre d’utilisateurs qu’ils peuvent supporter, mais les précédents travaux du professeur (sur un projet appelé Dissent) a prouvé qu’en utilisant des techniques novatrices, ceux-ci pouvaient être améliorés pour supporter des milliers d’utilisateurs ou plus, ce qui permettrait de les implémenter en pratique. Le chercheur va ensuite améliorer le cadre qu’il a conçu pour les systèmes de communication, mais aussi pour construire des outils de sécurité permettant de préserver la confidentialité pour un certain nombre d’autres fonctions importantes, comme les applications de vote, le stockage d’archives numériques et l’utilisation de crypto-monnaie comme Bitcoin.
Si les progrès formidables de l’informatique rendent possible tout ce qui précède, le développement du cloud computing est aussi à l'origine de nouveaux risques dont les plus connus ne sont que la partie émergente de l'iceberg, indique le professeur Ford. Ce ne sont pas tant les problèmes directement liés au fournisseur de cloud, comme les pannes qui y bloquent l'accès, qui l'inquiètent ; mais plutôt les risques de second ordre. Ceux-ci incluent des services cloud qui peuvent sembler indépendants mais partagent en fait des ressources de façon non-visible, ce qui met en péril la sécurité que permettent d’habitude les redondances au sein d’un système. « Cela pourrait être à l'origine de pannes corrélées inattendues et potentiellement catastrophiques, qui ne sont pas sans rappeler les effondrements de l'industrie financière, » explique le professeur Ford. Il est également urgent de s'attarder sur les défis qu'ajoute le cloud computing à la préservation d'artefacts computationnels. La technologie évolue rapidement et les versions deviennent rapidement obsolètes, ce qui met en danger l'accès aux données sur le long terme. En utilisant des applications basées sur le cloud, les utilisateurs ne possèdent jamais de copie complète et fonctionnelle à stocker dans leurs archives, de même que l’on ne possède jamais l’intégralité des données disponibles via les moteurs de recherche et les applications de cartographie, tandis que c’est le cas pour les logiciels de traitement de texte installés directement sur les ordinateurs. Comment les archivistes numériques peuvent-ils donc conserver des artefacts dans le cloud à forte valeur historique pour une préservation à long terme ?
Le projet de recherche du professeur Ford va tout d'abord permettre de mieux comprendre les questions que la nouvelle ère du cloud computing nous pousse à nous poser. Le professeur va également concevoir des architectures de systèmes capables de répondre aux problèmes liés aux risques du cloud computing. Il souhaite ainsi développer des méthodes permettant de quantifier les risques de mise en péril de la confidentialité ou de failles du système. Il va ensuite créer des prototypes capables d'utiliser ces mesures pour reconfigurer les systèmes de cloud présentant des risques. En commençant dès à présent ses recherches sur ces risques, le professeur Ford espère les comprendre et élaborer des solutions avant, d'après ses propres termes, « que notre tissu socio-économique ne devienne inextricablement dépendant de ce modèle informatique pratique, mais potentiellement instable. »

Titre scientifique : Chaire AXA sur la sécurité de l’information et la confidentialité des données