Profiter des métadonnées afin d’assurer une meilleure protection des informations

La gestion des politiques de sécurité des données est souvent un casse-tête. Afin d’y remédier, IBM a développé un framework exploitant la contextualisation de l’information grâce aux métadonnées et automatisant les contrôles de sécurité.

Créer une politique de sécurité des données orientée métier afin, entre autres, d’éviter les fuites à l’extérieur de l’entreprise et d’assurer la confidentialité des informations, est complexe. Pour simplifier et automatiser cette mise en œuvre, exploiter les métadonnées qui conceptualisent l’information s’avère judicieux. Une métadonnée, associée à une information, permet de décrire de manière formelle et structurée son contexte d’utilisation. Il en existe deux types : technique et métier.

Les métadonnées techniques contiennent des informations sur le propriétaire de cette donnée, le format, les règles de son stockage, sa structure, etc. Les métadonnées métiers décrivent le contexte relatif à cette donnée et la définition métier. Pour assurer la sécurité d’une donnée, il est ainsi indispensable de la taguer avec les métadonnées convenables afin de contrôler comment cette information pourrait être manipulée et par qui.

Dans la plupart des sociétés, les données sont taguées en tant que secrètes (elles doivent rester dans un environnement restreint de l’entreprise), confidentielles (elles ne doivent être diffusées qu’à certaines personnes), internes ou publiques.

Que signifie confidentiel ?

D’après le retour de plusieurs de nos clients, cette classification s’avère insuffisante. Un document a beau être tagué secret, il peut être nécessaire de l’envoyer au service juridique. Et pour quelle raison un document est-il tagué confidentiel ? Parce qu’il contient les résultats financiers de l’entreprise ? Parce qu’il décrit un procédé technique en passe d’être breveté ? Se baser sur le seul tag « confidentiel » est donc insuffisant et il est nécessaire d’enrichir cette classification afin de contextualiser cette donnée. La valeur ajoutée qu’apporte cette contextualisation est le pouvoir d’automatiser les procédures de génération de politiques et de règles de sécurité fines orientées métier au niveau de l’infrastructure de sécurité existante.

Que ce soit en matière de DLP (Data Loss Prevention), DAM (Data Activity Monitoring), IAM (Identity Access Management), FAM (File Activity Monitoring) ou encore de chiffrement, la gestion des métadonnées permet le déploiement de politiques orientées métiers alignées avec les besoins opérationnels de l’entreprise. Dans le cas d’un document traitant par exemple des résultats financiers d’une entreprise (Rapport/Relevé client), cette contextualisation permettra au DLP de laisser sortir de l’entreprise le document s’y relatant, pourtant classé confidentiel, si le destinataire est un membre du conseil d’administration du client en question.

Une solution de metadata management est indispensable

Chez IBM, nous avons mis au point un framework capable de capturer, lire et analyser automatiquement ces données. La procédure passe par plusieurs étapes. La première est la découverte, c’est-à-dire la détection d’un nouveau document. Il faut ensuite attribuer les métadonnées adéquates à ce document, en suivant les règles fixées par le responsable de la gouvernance des données (data governance).

Cela nécessite une solution de metadata management, car le nombre de métadonnées possibles se chiffre en millions. Elle s’appuie pour cela sur une taxonomie propre au métier, tel que le secteur bancaire. Dans ce cas, le document pourra par exemple être classé confidentiel tout en lui affectant plusieurs autres métadonnées donnant une indication sur le type, les départements/clients concernés, les méthodes de manipulation autorisées.

L’étape suivante est consacrée à l’exploitation automatisée de ces métadonnées. C’est à cette étape qu’est ajustée automatiquement la classification d’une donnée d’un point de vue sécurité. Ce processus (Lineage Analysis) est d’autant plus important que le document est manipulé et a subi des transformations après avoir été traité par une application. Par exemple, si une donnée est anonymisée, son statut de donnée personnelle à caractère confidentiel peut sans doute être révisé. Inversement, si plusieurs données prises individuellement n’ont pas de caractère personnel (nom, adresse, téléphone), elles deviennent des données confidentielles une fois réunies dans un même document.

Intégration automatisée avec les outils de sécurité

Après cette étape s’ensuit l’intégration automatisée avec l’infrastructure réseau et les différents outils de sécurité. Grâce à la métadonnée indiquant le nom du responsable d’un projet de fusion-acquisition par exemple, l’outil d’IAM accordera des droits accès sur ce projet au membre de l’équipe de ce responsable. L’outil de DLP, au moment de l’interception d’un courrier comportant un document relatif à cette fusion-acquisition (donc classé par défaut MNPI, pour Material non public information), laissera ou non sortir ce courriel de l’entreprise en fonction du nom de l’expéditeur et du destinataire : si le nom de l’expéditeur est celui qui figure dans la métadonnée « responsable du projet » et si le destinataire est son homologue dans l’entreprise en passe d’être acquise, il autorisera l’envoi du mail. Ce framework tire donc parti des métadonnées pour renforcer la sécurité des informations. Le processus est simplifié et les politiques de sécurité des DLP et IAM sont mises à jour automatiquement.