« Le stockage n’est pas la problématique du bigdata » , assènent Chadi Hantouche et Gérôme Billois, tous deux de Solucom, lors de leur présentation durant les GS Days 2014.

Et en effet, quand on parle de big data, il est courant de mentionner les 3v : volume, vitesse et variété. Autrement dit, du stockage, certes, mais également des sources d’information très variées et traitées le plus rapidement possible.

Et comme l’on peut s’en douter, chacune de ces trois dimensions amène des contraintes et des risques spécifiques, à la fois pour la DSI et pour les métiers.

Les consultants identifient trois axes de risques potentiels : les sources de données, la réglementation autour de ces données, et leur contrôle d’accès / cycle de vie. Pour chacun de ces axes, il décline une série de risques purement DSI, et d’autres liés aux métiers.

Les sources de données

Ici les risques métiers principaux concernent l’introduction de données corrompues (« garbage in, garbage out » disent à juste titre les anglo-saxons) et l’acquisition de données en dehors des règles imposées (par exemple acheter une base de données utilisateurs, avec des données à caractère personnel, et la verser dans le big data sans prendre en compte le caractère spécifique de ce type de données).

Du côté de la DSI, le risque est quant à lui bien connu : il s’agit avant tout du vol ou de la perte des données soumise en entrée, à la suite d’une erreur ou d’un acte de malveillance.

Les parades, côté métier en tout cas, sont essentiellement juridiques : il conviendra de contractualiser avec des fournisseurs de données fiables (avec des clauses strictes sur les données issues de sources tierces notamment). Mais l’entreprise devra également, sur le plan organisationnel, être en mesure d’identifier en entrée les données qui exigent un traitement différent (à caractère personnel ou de paiement, par exemple !)

Sur le front de la IT, il s’agira de mettre en place les processus nécessaires pour fiabiliser la collecte et l’alimentation du « lac de données », et bien entendu de nettoyer et étiqueter ces données (tout un projet en soi !) en fonction des indications du métier notamment.

La réglementation autour des données

Ici, le risque métier concerne notamment un éventuel traitement non-conforme réalisé par les métiers (par exemple qui permettrait de dé-anonymiser par recoupement, ou non adapté à la destination des données).

Sur le plan des technologies, il s’agit plutôt d’un risque lié à la faible maturité des solutions big data : les protocoles, les pratiques et les technologies sont jeunes et mouvants, et il peut être risqué de faire un choix structurant pour l’instant (à noter que l’on ne peut écarter non plus le risque de voir la législation évoluer et certaines technologies devenir inadaptées aux traitements qui leur sont demandés, ndlr)

Les parades sont ici, bien entendu, essentiellement d’ordre juridique interne : s’assurer une visibilité permanente sur les processus de traitement et l’utilisation des données, et donc impliquer les équipes juridiques.

L’accès et le cycle de vie de la donnée

Que ce soit sur le plan métier ou IT, les risques ici sont probablement les mieux connus : il s’agit de l’habituel risque d’accès frauduleux aux données (depuis une application métier, par exemple) ou des difficultés à tracer les insertions, modifications ou suppression de données par les métiers ou les équipes IT en charge de l’administration des solutions.

Sur un plan purement IT, le risque est quant à lui essentiellement lié à la confidentialité (interception des données et des logins) et à la continuité d’activité (perte des infrastructures).

Les bonnes questions à se poser

Gérôme Billois et Chadi Hantouche proposent une série de questions à se poser afin de passer son projet big data au crible en matière de sécurité. Elles pourront être utilisées telle une check-list capable d’assurer sainement les bases :

• A qui appartiennent les données que je collecte, et quelle est leur nature (données spécifiques, à caractère personnel…)
• Quel sont mes fournisseurs externes et quelle est la structure de mon contrat avec eux ?
• Quel est mon objectif avec ces données ? Est-il déclaré ?
• Existe-t-il des contraintes réglementaires particulières ?
• Quels types de traitement vont-ils être réalisés, et par qui ?
• Les résultats seront-ils utilisés légitimement ?
• Sais-je où les données seront stockées, et suis-je capable de les modifier ?
• Combien de temps seront-elles stockées ?
• Les technologies sont-elles maîtrisées ?
• Sont elles utilisées dans des versions à jour ?
• Sont-elles entièrement maintenues ?
• Chaque type de données est-il protégé de manière adéquate contre les différentes menaces (modification, accès illégitime, vol…) ?

Cette check-list, bien entendu, n’a rien d’exhaustif. Mais elle a le mérite de préparer sainement le terrain aujourd’hui alors que le big data est encore un concept – relativement – simple. Solucom prévoit en effet que d’une approche plutôt statique aujourd’hui (échantillons de données statiques, sources pré-définies, données structurées et cloisonnées, etc…), ces pratiques évolueront dans l’entreprise pour devenir totalement dynamiques (sources de données multiples, diversité des formats, temps réel, « lac de données » non structurées…).

Bref, autant partir d’emblée sur de bonnes bases…