L'Enisa alerte sur les faiblesses de sécurité des applications Big Data
Les systèmes de traitement et d'analyse de données massives (Big Data) servent les objectifs d'organisations complexes, des géants du commerce aux agences de renseignement, mais pas sans risques. « De plus en plus d'attaques élaborées et spécialisées sont menées pour exploiter les vulnérabilités et les faiblesses des applications du Big Data », observe dans un rapport l'Agence européenne chargée de la sécurité des réseaux et de l'information (Enisa). Les violations de données, les fuites et les dégradations sont nombreuses et s'expliquent aussi par le « niveau élevé de réplication (stockage distribué) et l'externalisation fréquente des traitements (de données structurées et non structurées) ».
Lier différents ensembles peut avoir « un impact significatif sur la confidentialité et la protection des données » exposées en cas d'incident, et peut augmenter le risque juridique et de conformité, soulignent les auteurs du rapport. D'autres risques existent, dont celui de conflits d'intérêts entre acteurs impliqués dans le Big Data, des propriétaires de données aux analystes spécialisés, en passant par les éditeurs de solutions et les fournisseurs de services d'infrastructure et de stockage.
La cryptographie au coeur des bonnes pratiques
Pour limiter ces risques, l'Enisa propose un ensemble de bonnes pratiques, parmi lesquelles : l'utilisation avisée de la cryptographie (norme ISO/CEI 27002), le renforcement du contrôle d'accès, l'usage des techniques d'anonymisation et de pseudonymisation, ainsi que la mise en place de mesures de protection contre les attaques par déni de service distribué (DDoS) ou encore le respect des standards de sécurité des données pour l'industrie des cartes de paiement (PCI DSS - Payment card industry Data security standard).
Enfin, l'Enisa recommande aux fournisseurs et aux opérateurs du Big Data de renforcer la gestion et l'évaluation détaillée des risques, et aux utilisateurs du Big Data d'étudier avec soin les accords de niveau de service (SLA - Service level agreement).
Lire aussi :
Données inutiles ou non classées : quand le Big Data coûte bonbon
Assises de la sécurité : Big Data et IoT bousculent le droit des individus
crédit photo © everything possible / shutterstock.com
Sur le même thème
Voir tous les articles Cybersécurité