Sécurité des entrepôts de données. Sécurité des entrepôts de données. Sécurité des entrepôts de données. Sécurité des entrepôts de données

Transcription

1 Master en Informatique Spécialité CD ntreposage et Fouille de Données Complexes - - ouria Harbi Maître de conférences Responsable du Master 2 PSI (rganisation et Protection des Systèmes d Information dans les ntreprises) nouria.harbi@univ-lyon2.fr Laboratoire RIC Université lumière Lyon 2 Bt L, 5av Pièrre Mendès-France BR PLA Introduction Motivation Spécificités des entrepôts de les niveaux de sécurité les mécanismes de sécurité Remarques sur ces travaux Projet de recherche : entrepôt de complexes os travaux Conclusion Bibliographie 2 Introduction La sécurité Le concept de sécurité est très large et couvre: les questions sociales et éthiques, les questions morales, Respect de la vie privée, Ainsi que les questions juridiques. 3 Introduction Sécurité des Systèmes d information Le concept de sécurité des systèmes d information : Concepts techniques, ormes qualité, Méthodes et modèles d organisation Prévention : gestion des risques, plan de reprise d activité utils juridiques 4 Introduction La pertinence des entrepôts de et de l analyse en ligne (LAP) pour une organisation du système d'aide à la décision a rapidement augmentéau cours des dernières années. n même temps, une sensibilité à la sécurité de l'information et de la vie privée a évolué. Cependant, pas beaucoup de démarchespour amener ces deux champs ensemble. Motivation Les entrepôts de, par leur nature même créent un conflit au niveau de la sécurité : l'objectif de chaque entrepôt de est de rendre disponibles, compréhensibles, et facile d'accès des précieuses. Utilisation via les réseaux informatiques, Internet 5 6 1

2 Motivation Augmentation des risques d attaquessur nos réseaux, notre messagerie, nos systèmes matériels, et sur nos entrepôts de Motivation Autres constats L'équipe chargée de la mise en place d un entrepôt de s occupe plus provoquées par (menaces) : par des hackers, crackers Industriels, concurrence Un jeune qui considère l intrusion dans un système informatique comme un jeu, les adultes tentent de manipuler des informations commerciales frauduleuses, de simples curieux des employés qui ne peuvent pas résister à la tentation d'explorer 7 du repérage des et du choix de matériel et de logiciel et un plan de sécurité global de base n est jamais fait. Ainsi, la sécurité de l'entrepôt de lors de sa conception passe souvent à travers les mailles du filet. 8 Motivation Motivation Autres constats Autres constats La sécurité se limite alors à confier la sécurité du réseau à quelqu'un d'autre, et se contenter des dispositifs disponibles au niveau des logiciels utilisés. Même s'il est facile de peindre un sombre tableau de la possibilité d'avoir un jour des De nombreux réseaux d'entreprise sont si vastes et si entrepôts de sécurisés adéquats, complexes que personne ne connait vraiment le nombre de points d'accès. beaucoup reste à faire. Dans de nombreux cas, l'information sensible est située juste sur la table et n'a pas été «maltraitée» seulement par inadvertance xemple(extrait d un Forum): Datamart RH contenant des sensibles (paye, primes, etc.). L'architecture est la suivante : - bases de opérationnelles info-hébergée -extraction des des bases opérationnelles dans une base Access cryptée -Alimentation du datamart par TL (Genio) qui lit la base Access et écrit dans le datawarehouse - Datamart sous racle (9i) - Interrogation par Business bjects ous avons dessiné tous les flux de, nous avons cherché à identifier toutes les failles. Puis nous avons évalué le risque de chaque faille et les solutions pour combler les failles. Dommage: les documents sont confidentiels 11 1) 1.1) Fuite de accès à des informations ou accès aux en lecture 1.1.1) Fuite d'un rapport B "offline" ou d'un mail citant les : très probable, grave = risque critique 1.1.2) Vol d'un accès B : probable, grave = risque critique 1.1.3) Vol d'un accès BDD : peu probable, grave = risque moyen 1.1.3) Vol d'un accès serveurs : très peu probable, peu grave = risque mineur 1.1.4) Interception des communications réseaux : très peu probable, grave = risque faible 1.1.5) Virus sniffeur/troyen : très peu probable, grave = risque faible 12 2

3 2) Sécurité 2.1) Attaque destructrice 2.1.1) Vol d'un accès B : probable, peu grave = risque moyen 2.1.2) Vol d'un accès BDD limité : probable, grave = risque critique 2.1.3) Vol d'un accès BDD DBA : très peu probable, critique = risque critique 2.1.4) xploitation de failles systèmes/logiciel : très peu probable, grave = risque moyen 2.1.5) Virus destructeur : très peu probable, critique = risque moyen 2.2) Attaque modificatrice suppression choisie de, modifications de certaines informations 2.2.1) Vol d'un accès B : probable, mineur = risque mineur 2.2.2) Vol d'un accès BDD limité : probable, grave = risque critique 2.2.3) Vol d'un accès BDD DBA : très peu probable, critique = risque critique 2.2.4) xploitation de failles systèmes/logiciel : très peu probable, grave = risque moyen 2.2.5) Virus sniffeur/troyen : très peu probable, grave = risque faible 13 en gros on a dit : -les DBA ont accès à tout et on leur fait confiance (donc pas de BDD illisible pour les DBA mais on a crypté les fichiers de la BDD quand même, pour éviter le vol de sauvegardes) -on fait confiance à la sécurité pour tout ce qui est virus et sniffeur de réseau (donc pas de SSL pour les communications réseaux) - on laisse pas traîner n'importe quoi n'importe où -on fait très gaffe aux mots de passe de la BDD et aux droits de chacun (limite on audite qui se connecte) -on est très stricts sur les accès B -on casse tête au premier qui s'amuse à balancer un document B enregistré en PDF par mail ou à le laisser traîner sur un répertoire partagé. Si ça a pu t'aider un peu Spécificités des entrepôts de Données du SI La réalité des systèmes d information les systèmes opérationnels seraient des gisements informationnels inépuisables. n fait, il n en est rien : Les dans ces systèmes sont : parpillées : de multiples systèmes, conçus pour être efficaces pour les fonctions sur lesquelles ils sont spécialisés. Peu structurées pour l analyse : structurées pour être conserver en mémoire Focalisées pour améliorer le quotidien : volume, qualité, rapidité d accès Utilisées pour des fonctions critiques : les systèmes existants sont conçus dans le but unique de nous servir avec des temps de réponse corrects. 15 Spécificités des entrepôts de Des Données opérationnelles aux décisionnelles Données opérationnelles rientées application, détaillées, précises au moment de l accès Mise à jour interactive possible de la part des utilisateurs Accédées de façon unitaires par une personne à la fois Cohérence atomique Haute disponibilité en continu Uniques (pas de redondance en théorie) Structure statique, contenu variable Petite quantité de utilisées par un traitement Réalisation des opérations au jour le jour Forte probabilité d accès Utilisées de façon répétitive Données décisionnelles rientée activité (thème, sujet), condensées, représentes des historiques Pas de mise à jour interactive de la part des utilisateurs Utilisées par l ensemble des analystes, gérées par sous-ensemble Cohérence globale xigence différente, haute disponibilité ponctuelle Peuvent être redondantes Structure flexible Grande quantité de utilisée par les traitements Cycle de vie différent Faible probabilité d accès Utilisée de façon aléatoire Tableau 1 : différences entre du système de production et décisionnelles 16 Spécificités des entrepôts de Des Données opérationnelles aux décisionnelles Spécificités des entrepôts de Des Données opérationnelles aux décisionnelles des informations importantes qui nécessitent de construire une structure pour les héberger, les organiser et les restituer à des fins d analyse. Cette structure est l entrepôt de ou Data Warehouse : e produit pas de un moyen de la mettre à la disposition des utilisateurs de manière efficace et organisée. 17 La mise en œuvre d un entrepôt de est un processus complexe. L objectif à atteindre est de recomposer les disponibles pour en donner : une vision intégrée et transversale aux différentes fonctions de l entreprise, une vision métier au travers de différents axes d analyse, une vision agrégée ou détaillée suivant le besoin des utilisateurs. L entrepôt de permet la mise en place d un outil décisionnel s appuyant sur les informations pertinentes pour l entreprise, centrées sur le métier utilisateur 18 3

4 Spécificités des entrepôts de Des Données opérationnelles aux décisionnelles D après Bill Inmon, en 1994 : «Un Data warehouse est une collection de orientées sujet, intégrées, non volatiles et historisées, organisées pour le support d un processus d aide à la décision». Spécificités des entrepôts de Des Données opérationnelles aux décisionnelles Quelques principes rientées sujet nsemble des informations utiles sur un sujet le plus souvent transversal aux structures fonctionnelles et organisationnelles de l entreprise Intégrées Homogénéiser les et leurs donner un sens unique 19 on volatiles (rien ne se perd) les informations stockées au sein du Data warehouse ne doivent pas disparaître 20 Spécificités des entrepôts de Des Données opérationnelles aux décisionnelles Quelques principes Historisées Permet de suivre dans le temps l évolution des différentes valeurs des indicateurs à analyser. rganisées Les sont organisées de manière spécifique pour l aide à la décision. 21 Spécificités des entrepôts de Des Données opérationnelles aux décisionnelles Critère Système de production Data Warehouse iveau de détail des Très détaillé Synthétique, parfois détaillé informations utilisateurs Utilisateurs Une ou quelques fonctions de l entreprise Plusieurs fonctions de l entreprise Données figées on évolution en temps réel ui archivage Historique on ui pérations sur les Ajout/mise à jour/ consultation Consultation uniquement Tableau 3 : différences entre système de production et Data Warehouse 22 C est : Au niveau des trois composants qui caractérisent un entrepôt de : Acquisition Stockage Accès Les niveaux de sécurité 23 Les niveaux de sécurité L acquisition lle se compose de trois phases : l extraction, la préparation et le chargement : L extraction: collecter les utiles dans le système de production. La préparation : plusieurs technologies sont utilisables : les passerelles, fournies par les éditeurs de base de, les utilitaires de réplication, utilisables si les systèmes de production et décisionnel sont homogènes, les outils spécifiques d extraction. La préparation inclus la mise en correspondance des formats de, le nettoyage, la transformation et l agrégation. Le chargement : il constitue la dernière phase d alimentation. Il est indispensable de maîtriser la structure du SGBD (tables et index) pour optimiser au mieux le processus. 24 4

5 Les niveaux de sécurité Les niveaux de sécurité Le stockage Le composant de base est le SGBD : adapté aux caractéristiques de l accès décisionnel. Du fait de l importance de l historique, la structuration physique des est également très importante. Le SGBD apporte la transparence à l évolution matérielle, l indépendance, que ce soit au niveau des types et du nombre de processeurs, des disques ou des mémoires, ainsi que la transparence à l évolution des systèmes d exploitation. 25 L accès Définir une architecture globale servant de support aux accès décisionnels imposer des choix technologiques non structurants. mettre en place une infrastructure commune à toutes les applications décisionnelles, tout en laissant aux utilisateurs l opportunité d utiliser les solutions d accès les mieux adaptées à leur problématique. 26 Les niveaux de sécurité Sécurité de la logistique t également Sécurité des applicatifs Sécurité physique Accès aux salles, alarmes - des moyens de transport de l information (canaux, protocoles) - environnements applicatifs - des messages (documents) Sécurité infrastructure (firewall) 27 Les mécanismes de sécurité La sécurité selon l IS L IS distingue sept services: Pour les entrepôts de l authentification de l entité homologue le contrôle d accès la confidentialité des le secret des flux l intégrité des l authentification de l origine la non-répudiation, qui fait qu un récepteur ne peut nier avoir reçu le message 28 Les mécanismes de sécurité A ces services correspondent diverses combinaisons parmi sept mécanismes de sécurité : le chiffrement: basé sur un codage à l aide de clés. Il permet la réalisation de plusieurs services : la confidentialité, l intégrité, et l authentification. l échange d authentification: si les moyens de communication sont considérés comme sûrs; l identification de l identité homologue peut être obtenue par un système de mot de passe simple ou double. la signature: permet d authentifier lorsque les entités ne font ni confiance à leurs homologues, ni aux moyens de communication. 29 Les mécanismes de sécurité le contrôle d accès: il utilise l identité authentifiée des entités pour déterminer le droit d accès à une ressource. l intégrité: obtenue par des codes de détection d erreur, des codes de contrôle cryptographique et l horodatage. le bourrage: Pour dissimuler les variations de trafic (qui peuvent être significatives pour un tiers) on effectue un bourrage de voie. le contrôle de routage: utilisation de routes différentes, soit après détection d une attaque, soit en fonction de l importance du trafic. 30 5

6 Les mécanismes de sécurité Les domaines de la sécurité et les solutions associées Les mécanismes de sécurité Les domaines de la Caractère sécurité des et les solutions dont la associées diffusion doit être limitée aux seules personnes ou autres entités autorisées Propriété associée aux qui, pendant leur traitement, leur conservation en mémoire ou leur transport par voie électronique, ne subissent aucune altération ou destruction volontaire ou accidentelle 31 Authentification Processus permettant de vérifier l'identité déclarée d'une personne ou de toute autre entité, ou de garantir l'origine et l'intégrité des messages transitant par un réseau informatique, tel Internet Caractère d'une information dont l'origine et l'intégrité sont garanties 32 Les mécanismes de sécurité La sécurité est l'ensemble des moyens mis en œuvre pour minimiser la vulnérabilité d'un système contre des menaces accidentelles ou intentionnelles. Voici les exigences de sécurité pour les entrepôts de : 33 iveaux de sécurité C M P S A T S De D Domaine de la sécurité Acquisition Stockage Accès - xigences des contrôles d'accès LAP classées selon leur complexité. (Torsten Priebe et al University of ssen, Germany) (Slemo Warigon, CISA, MBA) - Gestion automatique des droits d accès (Arnon Rosenthal et al, The MITR Corporation Bedford, MA, USA) - xigences des contrôles d'accès LAP classées selon leur complexité. (Torsten Priebe et al University of ssen, Germany) - Détection d intrusions : de l utilisation de signatures statistiques (P. Gupta et al, 2008) - Plan sécurité d un entrepôt de (Kimball) - Détection d intrusions : de l utilisation de signatures statistiques (P. Gupta et al, 2008) Plan sécurité d un entrepôt de (Kimball) - Détection d intrusions : de l utilisation de signatures statistiques (P. Gupta et al, 2008) 34 iveaux de sécurité V I R M T De D Domaine de la sécurité Applicatifs Logistique Physique -Détection d intrusions : de l utilisation de signatures statistiques (P. Gupta et al, 2008) - Plan sécurité d un entrepôt de (Kimball) - Plan sécurité d un entrepôt de (Kimball) (Slemo Warigon, CISA, MBA) 35 iveaux de sécurité C M P S A T S De D Domaine de la sécurité Acquisition Stockage Accès Un aperçu de la sécurité LAP dans l'd et la nécessité de disposer de mécanismes de contrôle d accès adéquat pour assurer la confidentialité des sensibles. - Introduction d une méthodologie de conception de la sécurité LAP en fonction des différents niveaux d'accès de manière à réduire à la fois l apprentissage pour les administrateurs et le coût des nouveaux logiciels. - Les auteurs explorent ces questions de sécurité dans le - xigences des contrôles d'accès cadre du projet GAL. LAP classées selon leur complexité. - Présentation d une étude comparative de quelques (Torsten Priebe et al University of ssen, produits commerciaux LAP qui Germany) proposent des solutions pour faire face aux exigences Processus de sécurisation sécurité d un (contrôle entrepôt de d accès) :(Slemo Warigon, CISA, MBA) Microsoft SQL Server (LAP / Analysis, MicroStrategy 7, - Gestion automatique des droits - Détection d intrusions : Plan sécurité d un Cognos PowerPlay, racle xpress d accès de l utilisation de entrepôt de (Arnon Rosenthal et al, The MITR Corporation - Ces produits ont des approches signatures statistiques (P. (Kimball) très exclusives Bedford, MA, USA) - Il n'existe Gupta pas et al, de 2008) concept spécifique - Détection pour d intrusions le contrôle : - xigences des contrôles d'accès d'accès dans le domaine du multidimensionnel. de l utilisation de LAP classées selon leur complexité. signatures statistiques (P. (Torsten Priebe et al University of ssen, - Propose quelques orientations intéressantes Gupta et al, 2008) Germany) - Détection d intrusions : de l utilisation de signatures statistiques (P. Gupta et al, 2008) - Plan sécurité d un entrepôt de (Kimball) Towards LAP Security Design Survey and Research Issues (2000) Torsten Priebe et al 36 6

7 C M P S A T S De D Domaine de la sécurité Propose un système automatisé de gestion des autorisations d accès. Il permet de créer un cadre d accès homogène qui peut être inféré d une façon automatique à d autres utilisateurs (accès - xigences des contrôles d'accès aux tables). Approche basée sur la séparation Acquisition LAP classées selon leur complexité. des droits d accès sur les informations et droits (Torsten Priebe et al University of ssen, Germany) d accès physique, et sur l utilisation de filtre pour les sensibles. Stockage Processus de sécurisation bjectifs d un entrepôt : de (Slemo Warigon, CISA, MBA) - Gestion automatique des droits - mise - Détection à jour rapide d intrusions des droits : Plan d accès sécurité (en d un fonction d accès des sources) de l utilisation afin de de tenir compte entrepôt des évolutions de (Arnon Rosenthal et al, The MITR Corporation fréquentes. signatures statistiques (P. (Kimball) Bedford, MA, USA) - Gain Gupta de temps et al, 2008) au niveau administration - Détection d intrusions : - xigences des contrôles d'accès - Gain au niveau acquisition de de logiciel l utilisation de Accès LAP classées selon leur complexité. signatures statistiques (P. (Torsten Priebe et al University of ssen, Gupta et al, 2008) Germany) - Détection d intrusions : de l utilisation de signatures statistiques iveaux de sécurité (P. Gupta et al, 2008) - Plan sécurité d un entrepôt de (Kimball) View Security as the Basis for Data Warehouse Security (2000) Rosenthal A. et al (Voir la sécurité comme base de la sécurité de l'entrepôt de ) 37 Détection d intrusions : de l utilisation de signatures statistiques P. Gupta et al, (2008) - Il s agit de la détection de fraudes dans les réseaux, applications WB lors de la fouille de en utilisant les logs générés par l application WB. Domaine - Ils proposent de une nouvelle approche de détection de fraudes basée sur un paramétrage la sécurité automatique du comportement des requêtes normales et de la distribution de valeurs d attributs. iveaux - de Les connaissances extraites représentées sous la forme de signatures statistiques sécuritépeuvent alors être utilisées pour rechercher efficacement des comportements malveillants dans le flot de requêtes. Afin de prendre - xigences compte des contrôles nouveaux d'accès services et minimiser les fausses alarmes, les C Acquisition signatures sont LAP maintenues classées selon leur de complexité. manière incrémentale (Torsten Priebe et al University of ssen, Germany) M P Stockage (Slemo Warigon, CISA, MBA) S A T - Gestion automatique des droits d accès (Arnon Rosenthal et al, The MITR Corporation Bedford, MA, USA) - xigences des contrôles d'accès - Détection d intrusions : de l utilisation de signatures statistiques (P. Gupta et al, 2008) Plan sécurité d un entrepôt de (Kimball) - Détection d intrusions : de l utilisation de S Accès LAP classées selon leur complexité. signatures statistiques (P. (Torsten Priebe et al University of ssen, Gupta et al, 2008) De D Germany) - Détection d intrusions : de l utilisation de signatures statistiques (P. Gupta et al, 2008) - Plan sécurité d un entrepôt de (Kimball) 38 Hackers, Crackers, and Spooks Kimball (1997) Data Warehouse Control and Security Slemo Warigon, (1997) iveaux de sécurité V I R M T De D Sensibilisation sur la sécurité des D : Risques, vulnérabilité Les auteurs proposent un processus complet de mis en place d D sécurisé Domaine de la sécurité Applicatifs Logistique Physique -Détection d intrusions : de l utilisation de signatures statistiques (P. Gupta et al, 2008) - Plan sécurité d un entrepôt de (Kimball) - Plan sécurité d un entrepôt de (Kimball) (Slemo Warigon, CISA, MBA) 39 Phases d entreposage Auteurs TL (Acquisition) Stockage Analyse Kimball R. (1997) Warigon S. (1997) Priebe T. et al (2000) Rosenthal A. et al (2000) Ponniah P. (2001) Kimball R. et al (2002) Laurent A. et al (2004) Karray A. et al (2006) den C. et al (2006) Cuppens F. et al (2007) Kimball R. et al (2007) Gupta P. et al, (2008) 40 Remarques sur des travaux Remarques sur des travaux Très peu de travaux, pensant que : la sécurité de l environnement est suffisante (infrastructure, réseaux, ) pour garantir la sécurité de l D les logiciels utilisés gèrent toute la sécurité et manque de sensibilité sur le sujet, niveau de connaissance des risques, menaces 41 n commence à prendre conscience de la nécessité de travailler sur la sécurisation des entrepôts de Tenir compte des spécificités des D par rapport aux BD opérationnelles pour proposer un processus de sécurisation des entrepôts de (Kimball, Slemo Warigon ) La plupart des travaux s intéressent plus à la sécurisation des accès (gestion de la confidentialité) et peu les autres aspects de la sécurité et ceci au niveau du composant accès du processus d entreposage et moins au niveau des phases acquisition et stockage les spécificités des (types complexes) qui nécessitent un traitement spécifique pour leur sécurisation ne sont pas abordées 42 7

8 ntreposage et analyse de complexes : notre approche Documents XML Modèle Sources de conceptuel UML complexes Phase Acquisition : xploitation des Données s assurer de l intégrité et Complexes de la disponibilitédes de types complexes Modélisation multidimensionnelle Méta Phase Accès : s assurer de la confidentialitéet de la disponibilitédes complexes Projet de recherche LAP DW Cubes de DC Fouille de DS BDR XML Phase stockage : s assurer de la confidentialité, l intégritéet la disponibilitédes complexes Depuis septembre 2009 os travaux Thèse en cotutelle (Salah TRIKI) : Sécurité des entrepôts de : de la conception à l exploitation : objectif : proposer un cadre permettant la sécurisation des entrepôts de aux niveaux conceptuel et exploitation. Au niveau conceptuel, permettre assez tôt la spécification des besoins de sécurité dans le cycle de développement de l entrepôt afin de concevoir un entrepôt de sécurisé Au niveau exploitation, nous cherchons à obtenir une technique assurant le soutien des besoins de sécurité lors de l exploitation d un entrepôt de afin de renforcer les droits d accès/habilitations des utilisateurs, et à interdire tout utilisateur malicieux d inférer des interdites à partir des auxquelles il a accès Résumé du travail fait : 1 ) tat de l art de la sécurisation des entrepôts de (conception et prévention des inférences) Synthèse de l état de l art : les travaux portant sur le premier volet (conception) ne prennent pas en compte le cas de conflits d intérêts. Celui-ci peut surgir lorsqu un utilisateur a le privilège de consulter des en conflit qui lui permettent d accéder à des confidentielles. Quant au volet prévention des inférences, identification de deux classes d approches : La première consiste à interdire les requêtes des utilisateurs malicieux à l aide de ses anciennes requêtes. La deuxième classe d approches consiste à ajouter des perturbations aux originales : deux inconvénients : Ces perturbations entrainent un traitement supplémentaire après la phase d alimentation de l entrepôt de. Le second est la perte totale des originales une fois les perturbations appliquées. os travaux 45 2 ) Propositions os travaux le profil UML SCDW+ qui est une version étendue de SCDW permettant la prise en compte des conflits d intérêts au niveau conception une approche basée sur les réseaux Bayésiens visant la prévention contre les inférences précises. lle consiste sur la base d un ensemble d algorithmes de construire les réseaux Bayésiens correspondant aux requêtes des utilisateurs et d interdire celles qui sont susceptibles de générer des inférences optimisation de notre approche basée sur les réseaux Bayésiens en lui ajoutant un module faisant intervenir la variance d une distribution statistique proposition d un algorithme visant la prévention contre les inférences partielles. L algorithme basé sur le calcul de l écart moyen qui permet d avoir une idée sur la répartition des valeurs des mesures autour de la moyenne 46 os travaux os travaux proposition d une approche qui se base sur le diagramme de classes des sources d alimentation afin de détecter les inférences au niveau conceptuel. De plus, elle suppose que le schéma de l entrepôt a été élaboré et il a été mis en correspondance avec la source d alimentation. otre approche comprend trois phases. : La première phase, réalisée par le concepteur (responsable de sécurité), consiste à identifier les éléments à protéger dans le modèle multidimensionnel. Dans la deuxième phase, on construit d abord automatiquement un graphe d inférences qui permet de détecter les susceptibles d aboutir à des inférences ; ensuite, le concepteur indique les éléments qui permettent des inférences précises et ceux qui permettent des inférences partielles. Dans la troisième phase, on enrichit automatiquement le modèle multidimensionnel par des annotations UML faisant ressortir les éléments aboutissant à des inférences 47 Architecture globale Modèle multidimensionnelle A U D I t Conflit d intérêts Inférences Rè gle s Gestion des rôles Modèle multidimensionnelle Sécurisé M ntrepôt de 48 8

9 os travaux: les publications os travaux Cohérence Complétude Conflit d intérêt (KD 2010) Prévention des inférences (MDI 2011) iveau Conception Septembre 2011, Stage recherche CD (K. Karkouta) au Laboratoire RIC : Sécurité des entrepôts dans les nuages (Cloud Computing). Détection des utilisateurs malicieux Sécurisation des requêtes Sum Sécurisation des requêtes Max Sécurisation des requêtes Min (ASD 2009, DA 2010) iveau xploitation Il s agit de l utilisation de l algorithme de partage de clés de Shamir pour sécuriser les des entrepôts stockés auprès de plusieurs fournisseurs (Sera détaillé au prochain cours) Article proposé à UGC 2012 : et disponibilité des entreposées dans les nuages (ISI 2012) Slemo Warigon, Il dit : «la plupart des entrepôts de sont construits avec peu ou pas de considération accordée à la sécurité durant la phase de développement.» Il propose : un processus de sécurisation des entrepôts de en sept phases: 1) identification des, 2) classification des, 3) valorisation des, 4) identification des vulnérabilités de l entrepôt de, 5) identification des mesures de protection des et à leur coût, 6) Sélection des mesures de sécurité, 7) évaluation de l'efficacité des mesures de sécurité. Phase 1 - Identification les identifier toutes les de l entreprise stockées dans L D : informations exactes sur toutes les bases de : des tables, des colonnes, des lignes, et les types de de l D ainsi que, qui utilise les et à quelle fréquence Phase 2 - classification les classer toutes les de l'environnement D est nécessaire pour satisfaire aux exigences de sécurité: confidentialité, l'intégrité et la disponibilité des de manière prudente. Dans certains cas, la classification des est une condition exigée par la loi. Cette tâche exige la participation des propriétaires des, les administrateurs et les utilisateurs finaux. Les sont généralement classées en fonction de leur sensibilité à la divulgation, la modification et la destruction. 53 PUBLIC ( moins sensibles): moins sensibles que les d'entreprise confidentielles. non classées et soumis à la divulgation publique par des lois, accessibles à tous CFIDTIL ( modérément sensibles): plus sensibles que les publiques, mais moins sensibles que les top secret. non assujetti à la divulgation publique. Le principe du moindre privilège s'applique à cette catégorie de, l'accès aux est limité à un besoin (pour accomplir une tâche) 54 9

10 TP SCRT ( sensibles): plus sensibles que les confidentielles. Les de cette catégorie sont très sensibles et essentielles à la mission. l'accès a des exigences bien plus stricts que celles des confidentielles. réservés aux utilisateurs de haut niveau de l D l'objectif essentiel de cette classification des par rapport au niveau de sensibilité, est de prévoir les différentes mesures de protection à mettre en oeuvre pour chaque catégorie Le classement des en fonction des différentes catégories n'est pas aussi simple. Certaines représentent un mélange de deux ou plusieurs catégories selon le contexte utilisé (par exemple, le temps, l'emplacement, et des lois en vigueur) Phase 3 - valorisation des Il s agit de l'affectation «valeur marchande» à des regroupées sous différentes catégories de sensibilité. n elle-même, la donnée n'a aucune valeur intrinsèque. Toutefois, la valeur des est mesurable par le coût : de sa reconstruction en cas de perte de, restauration de l'intégrité des corrompues, déni de service, Indemnité financière pour payer la divulgation de confidentielles. les pertes de revenus causées par la fuite de secrets commerciaux vers des concurrents 57 Phase 4 - Identification des vulnérabilités de l D Cette phase nécessite l'identification et la documentation des faiblesses liées à l'environnement de l D. Quelques vulnérabilités de l D : La sécurité intégrée des SGBD : La plupart des D s'appuient fortement sur la sécurité intégrée des SGBD. insuffisant pour l D, car facilement contourné par un dump direct des. ne protège pas les pendant la transmission de serveurs pour les clients et expose les à des accès non autorisés avec des utilisateurs finaux souvent imprévisibles 58 Les limites des SGBD : les systèmes de base de n ont pas tous la capacité de traiter simultanément les de différents niveaux de sensibilité : un serveur peut traiter les de l D top secret et confidentielles en même temps. les programmes de traitement de de haute sécurité ne peut pas empêcher les fuites de vers les programmes de traitement des confidentielles, et les utilisateurs de l D autorisés d'accéder uniquement aux confidentielles ne peuvent être empêchés d'accéder aux top secret. Double sécurité : Certains combinent la sécurité des SGBD et celle du système d'exploitation pour satisfaire leurs besoins en matière de sécurité de l D. Ceci aggraver la complexité de l'administration de la sécurité de l D. 59 Attaques indirectes : les utilisateurs peuvent accéder aux publiques, mais seul un petit nombre a accès aux top secret ou confidentielles. les utilisateurs peuvent accéder aux protégées par déduction, sans avoir un accès direct aux protégées. Facteurs de : la disponibilité est une exigence à l'accès partagé, c est le principe de l D. lle peut entrer en conflit avec la sécurité et compromettre la confidentialité et l'intégrité des de l D. Facteurs humains : actesaccidentels, d'omissions, de modifications, de destruction, de détournement, de divulgation, de sabotage, de fraude, de négligence et qui génèrent de lourdes pertes pour les organisations. Ces actes portent atteinte à l'intégrité, la confidentialité et la disponibilité des de l D

11 Menaces internes : Les utilisateurs de l D (employés) représentent la plus grande menace pour ces précieuses. mployé mécontent peut fuir avec des secrètes, peut les passer à la concurrences, les divulguer au public... Menaces externes: Les concurrents et autres parties extérieures peuvent être une menace. Ces acteurs externes se livrent à l'espionnage électronique et d'autres techniques de piratage, d'achat, ou de recueil des stratégiques de l entreprise dans l D. Les facteurs naturels : incendies, l'eau, tempête peuvent rendre les serveurs et les clients de D inutilisables. Les risques et les pertes varient d'une organisation à l'autre en fonction principalement de l'emplacement et des facteurs imprévus. Facteurs Utilitaires : L'interruption de l'électricité et de services de communications causent des perturbations coûteuses de l'environnement D. Ces facteurs ont une plus faible probabilité d'occurrence, mais ont tendance à se traduire par des pertes excessives. Un inventaire complet des vulnérabilités de l D doit être documenté et organisé (par exemple, majeur ou mineur) et sert pour la prochaine phase Phase 5 - Identification des mesures de protection de l D et leurs coûts Les vulnérabilités identifiées dans la phase précédente doivent être prise en considération pour déterminer les mesures de protection des de l D en fonction des niveaux de sensibilité. Quelques mesures de protection de l D: Le mur de l'homme : Les employés représentent la première ligne de défense contre les failles de sécurité dans tout environnement informatique décentralisé, y compris D. Cela passe par la formation (sensibilisation à la sécurité), périodique, la vérification des antécédents. Classement des autorisations d accès utilisateurs : Classement des utilisateurs de l entrepôt de : 1) Accès total, 2) Accès limité, et 3) Un accès illimité pour le contrôle des d'accès des utilisateurs 63 Contrôles d'accès : Faire en sorte que les utilisateurs finaux accèdent uniquement aux ou aux programmes pour lesquels ils ont l autorisation. Les de l'entreprise doivent être protégées en fonction de leur valeur. l'accès aux sensibles doit s'appuyer sur plus d'un mécanisme d'authentification. Ces contrôles d'accès minimisent les dommages accidentels et les attaques malveillantes. 64 Contrôles de l'intégrité : L'utilisation d'un mécanisme de contrôle a) empêcher tous les utilisateurs de mettre à jour et supprimer des historiques dans le DW, b) restreindre l'accès aux, fusionner les activités autorisées seulement, c) quiper l D pour éviter de pannes de courant, plantage du système et corruption, d) permettre une récupération rapide des et des opérations en cas de catastrophes, et e) d'assurer de la disponibilité d'informations cohérentes, fiables et à jour pour les utilisateurs. Ceux-ci sont réalisés par le biais de contrôles d'intégrité de l's et par les tests des procédures plan de reprise, continuité d activités en cas de sinistre. 65 Cryptage des : Cryptage des sensibles dans l D assure : l accessibilité des. Il inhibe aussi le dumping non autorisées et l'interprétation des, et permet une authentification sécurisée des utilisateurs. n bref, le cryptage assure la confidentialité, l'intégrité et la disponibilité des dans l D. Partitionnement : Utiliser un mécanisme de partage de sensibles dans des tableaux distincts de sorte que seuls les utilisateurs autorisés peuvent accéder à ces tables. Schéma de partitionnement s'appuie sur SGBD construit en fonction de la sécurisation des sensibles de l D. Toutefois, l'utilisation de cette méthode présente quelques problèmes de redondance des

12 Le développement des contrôles : Utilisez les normes qualité pour guider le développement : cette approche garantit que les exigences de sécurité sont suffisamment prises en compte pendant et après la phase de développement. et assure la souplesse du système (adaptable ou adapté à l'évolution des besoins de sécurité). Le coût estimé de chaque mesure de sécurité devrait être déterminé et documenté pour la prochaine phase Phase Six - Sélection des mesures de sécurité toutes les mesures de sécurité impliquent des dépenses, les dépenses liées à la sécurité doivent être justifiées, cette phase s'appuie sur les résultats des phases précédentes afin d'évaluer l'impact financier des à risque de l'entreprise, et choisir les mesures de sécurité adéquates pour protéger les contre les vulnérabilités connues, les coûts de la protection des à risque ne doit pas dépasser la valeur des Phase Sept - valuation de l'efficacité des mesures de sécurité Une évaluation de l'efficacité des mesures de sécurité doit être menées continuellement afin de déterminer si les mesures appliquées sont : Simples et directes L évaluation de l'efficacité des mesures de sécurité doit être effectuées régulièrement pour déterminer si les mesures sont toujours efficaces, L administrateur de l'entrepôt de (DWA), a les droits et la responsabilité pour assurer l'efficacité des mesures de sécurité. Raisonnablement efficace en termes de temps, d espace mémoire et centré l activité des utilisateurs «Élastiques» qu elles puissent répondre efficacement à l'évolution des besoins en matière de sécurité Soigneusement analysé, testé et vérifié, Utilisé correctement et de manière sélective afin de ne pas exclure l accès légitime Conclusions Les sept phasesdu processus sont utiles dans la prévention de la surprotectionou sous protection l D. choix du rapport coût-efficacitédes mesures de sécurité (protéger ce qui est nécessaire). Le programme comporte également la gestion des changements: prendre des mesures correctives dans une période de crise et la prévention des problèmes de sécurité dans l D. «l'objectif de DW est de fournir aux décideurs l'accès cohérent, fiable et rapide aux d'analyse, et les objectifs de la protection est de permettre la recherche, l'exploration et l'analyse le plus efficacement possible conformément aux exigences de sécurité: l'intégrité, disponibilité et confidentialité des.» il s'agit d'une stratégie gagnante pour assurer un heureux mariage entre l'idéalisme d D basé sur le pouvoir d'information et de traitement, et de la protection basée sur la sécurité des pratiques prudentes dans l'environnement informatique

13 Conclusions Bibliographie n commence à prendre conscience de la nécessité de développer des axes de recherche au niveau de la sécurisation des entrepôts de S inspirer du domaine des BD, adapter aux spécificités des D rienter les réflexions vers les composants acquisition et stockage de l entreposage tudier la sécurité à travers les spécificités des (types complexes) qui nécessitent un traitement particulier Un domaine ou tout est à FAIR 73 Gupta P., Raïssi C., Dray G., Poncelet P., Brissaud J., Détection d intrusions : de l utilisation de signatures statistiques, GC 2008, Sophia Antipolis, ice Kimball R.: Hackers, Crackers, and Spooks; nsuring that your data warehouse is secure. In DBMS Magazine; April 1997 Kouba Z., Mikšovský P., Matoušek, K., Zach, P.: Application A1 Specification. GAL Technical Report TR8; ICCopernicus project no ; March Rosenthal A., Sciore., Doshi V.: Security Administration for Federations, Warehouses, and other Derived Data. In Database Security, IFIP 11.3; Rosenthal A., and Sciore.. View Security as the Basis for Data Warehouse Security. Proceedings of the Intemational Workshop on Design and Management of Data Warehouse (DMDW'2000), Manfred A. Jeusfeld, Hua Shu, Karlstad Martin Staudt, Gottfried Vossen (ditor), Sweden, June Rosenthal A., Sciore., xtending SQL s Grant and Revoke perations, IFIP Workshop on Database Security, Amsterdam, August 2000 Rosenthal A., Sciore., Doshi V., Security Administration for Federations, Warehouses, and other Derived Data, IFIP 11.3 Working Conference on Database Security, Seattle (Kluwer, 2000). 74 Bibliographie Bibliographie lemo Warigon, Data Warehouse Control and Security CISA, MBA Association of College and University Auditors LDGR, Vol. 41, o. 2, April 1997; pp Copyright 1997 The Ledger -- All rights reserved Steger, J., Günzel, H.: Identifying Security Holes in LAP Applications. To appear in Proc. Fourteenth Annual IFIP WG 11.3 Working Conference on Database Security Schoorl (near Amsterdam); The etherlands August 21-23, 2000 Thuraisingham, B., Schlipper, L., Samarati. P., Lin, T.Y., Jajodia, S., Clifton, C.: Security issues in data warehousing and data mining: panel discussion. In Data-base Security XI; IFIP, Priebe T., and Pemul G.. Towards LAP Security Design -Survey and Research Issues. Proc. of the 3rd ACM International Workshop on Data Warehousing and LAP (DLAP 2000), Washington, DC, ovember 10, 2000 Wagner, D. et Dean D.. Intrusion detection via static analysis. Proceedings of the 2001 I Symposium on Security and Privacy, Robert L. Grossman,YunhongGu, Michael Sabala, Wanzhi Zhang, Compute and Storage CloudsUsing Wide Area High Performance etworks, ational Center for Data Mining, University of Illinois at Chicago, January 31, Katerina Doka, Dimitrios Tsoumakos, ectarios Koziris, Browndwarf : A distributed data warehouse for the cloud, TUA Technical report, november Daniel J. Abadi,Data Management in the Cloud : Limitations and pportunities.copyright 2009 I, bulletin of the I Computer Society Technical Committee on Data ngineering,p7 Jeffrey Dean,Sanja Ghemawat,MapReduce : Simplified Data Processing on Large Clusters, SDI 2004 Hadoop :http ://hadoop.apache.org/ Manish Mehta, David J. DeWitt,Data placement in sharednothing parallel database systems.the research was supported by the IBM Corporation through a Research Initiation Grant.dited by M. Adiba. Received May 11, 1993 / Accepted April 24, Bibliographie David Loshin,ew Paradigms for High Performance Analytical Computing.Knowledge Integrity, Inc,ctober, 2009,p13. Philippe Grange : Livre blanc sécurité du Cloud computing, analyse des risque, réponses et bonnes pratiques, Syntec num erique, quatrième trimestre JorgSchwenk, Luigi Lo Lacono, Meiko Jensen, ils Gruschka, n Technical Security Issues in CloudComputing, I International Conference on Cloud Computing, Cong Wang, KuiRen,Qian Wang,Wenjing Lou, nsuring Data Storage Security in Cloud Computing, In the 17th I International Workshop on Quality of Service (IWQoS 09), Charleston, South Carolina, July 13-15, Danwei Chen, Yanjun He, A Study on Secure Data Storage Strategy in Cloud Computing, Journalof Convergence Information Technology, Volume 5, umber 7, September http ://fr.wikipedia.org/wiki/partage de cl e secr`ete de Shamir. A.Parakh, S. Kak, nline data storage using implicit security, Information Sciences, vol.179, no , Bibliographie : os publications. Harbi, G. Maaroufi,. Boussaïd, " -état de l'art-", 3ème Atelier sur les Systèmes Décisionnels (ASD 08), Mohammédia, Maroc, 2008 S. Triki, J. Feki, H.A. Ben-Abdallah,. Harbi, "Sécurisation des entrepôts de : tat de l'art et proposition d'une architecture", Quatrième Atelier sur les Systèmes Décisionnels (ASD'2009), Jijel, Algérie, novembre M. Laari, Sécurité TL (xtraction Transformation Load) des, rapport de stage recherche, Master 2 PSI, Laboratoire RIC université Lyon2, Septembre 2009, encadré par. Harbi. Halaci, Contrôle d accès aux entrepôts de basé sur la gestion des profil, rapport de stage recherche, Master 2 PSI, Laboratoire RIC université Lyon2, Septembre 2009, encadré par. Harbi D.M. Farid, J. Darmont,. Harbi, C.M. Rahman, "A new supervised learning algorithm using naive bayesian classifier", IADIS International Conference on Information Systems (IS 10), Porto, Portugal, March 2010 D.M. Farid, J. Darmont,. Harbi, H.H. guyen, M. Rahman, "Adaptive etwork Intrusion Detection Learning: Attribute Selection and Classification", International Conference on Computer Systems ngineering (ICCS 09), Bangkok, Thailand, December

14 Bibliographie : os publications Triki S., Ben-Abdallah H., Feki J., Harbi. «Sécurisation des entrepôts de contre les inférences en utilisant les réseaux Bayésiens». Revue des ouvelles Technologies de l Information (RTI). d. Cépadués, vol. n B-6, pages 35-47, ISB Triki S., Ben-Abdallah H., Feki J., Harbi. «Modeling Conflict of Interest in the design of secure data warehouses». KD ctobre 2010, Valencia, Spain. Triki S., Ben-Abdallah H., Feki J., Harbi. «Sécurisation des entrepôts de contre les inférences précises et partielle» uméro Spécial Revue ISI : Qualité des ntrepôts de Données : Conception et Manipulation. d. Lavoisier, Triki S., Ben-Abdallah H., Harbi., Boussaid., «Securing Data Warehouses: A Semi-automatic Approach for Inference Prevention at the Design Level» 1st International Conference on Model & Data ngineering. 28 au 30 septembre 2011, Óbidos, Portugal, Lecture otes in Computer Science (LCS) by Springer-Verlag. Karkouda K (septembre2011). dans les nuages, mémoire de stage du master 2 CD (extraction des connaissances à partir des ), encadré par Mme ouria Harbi, Mr Jérome Darmont et Mr Gerald Gavin, laboratoire RIC, université Lyon