Pascal BASSET, - PMU Responsable Risques Numériques, Expériences Utilisateurs et DSI international CRiP Thématique Sécurité de l informatique de demain 03/12/14
Agenda Introduction big data et lien avec la sécurité Use cases SSI, fraude et autres Aspects organisationnels au sein des entreprises Architecture technique Conclusion Q&R
Introduction big data lien avec la sécurité Des solutions de stockage et de traitement de données scalables, évolutives, tolérantes aux pannes Des outils d accès, des traitements batchs et temps réel, sur des données non structurées Des performances optimisées par la distribution du calcul Le log La valorisation des logs Le volume (x100 Go / jour)
Big data lien avec les autres besoins (fraude, etc...) Les calculs de statistiques par batch dans l écosystème big data permettent de faire de la BI La corrélation d événements métiers à partir de données applicatives pour la détection de fraude L analyse des logs et des erreurs applicatives
Use case SSI la fuite d informations L injection SQL et l extraction des données des bases locales aux applis front SI Front SI Back Internet Fonctions sécurité : - FW - WAF - RP / LB - SSL Applicatifs web front: - front apache - middle tomcat - bases locales Reste du SI - applications métiers back - autres Evènements WAF Injection SQL, LFI, etc. (passante) Fuite d infos BDD locale Evènements applicatifs / comportement applicatif: - 1 requête longue - n requêtes sur une page - Volumétrie par session par page (par IP) - Evènements bdd
Use case SSI couplé aux autres usages Chaque utilisateur traite ses données SI Front SI Back Internet Attaquants Evènements infras sécu, systèmes Logs techniques applicatifs pour troobleshooting Preuves réglementaires Indicateurs métiers (métrologie applicative) Copie logs Sécurité opérationnelle Développeurs Services clients Réglementation / Conformité Marketing Fraude
Use case SSI couplé aux autres usages Chaque utilisateur dispose d un accès aux données SI Front SI Back Internautes / Attaquants Internet Logs infras sécus Logs techniques applicatifs Logs applicatifs Sécurité opérationnelle Développeurs Réglementation / Conformité Service Client Marketing Fraude
Use case SSI la séparation des pouvoirs Le risque des habilitations sur toute une chaîne de traitement Métiers Front Métiers Back Autres Définition et attribution des profils métiers Profils Profils Profils Application des droits techniques dans les applications (via l annuaire) Q: Réalité d une vrai séparation des pouvoirs front/back? Q: Accès à des opérations sensibles et utilisation des opérations sensibles? Applis front office Applis back office ERP R: analyse des logs applicatives sur les opérations sensibles
Les aspects organisationnels Responsabilité/propriété du data-lake? Logique de service voire d OpenData privé Equipe d analystes pluridisciplinaires Nouveaux profils Nouvelle organisation ou mission d une organisation existante Fonction/responsabilité transverse par définition et qui va bien audelà de la DSI
Yarn Hue Zookeeper Elastic Jobs.. Hcat Architecture Composants techniques Recherche Rapports Alertes Qlik, BO, SQL, excel, Kibana BI HIVE PIG Hbase Map Reduce HDFS Datalake Flume Indexation Grok Sources
Hadoop connect Yarn Hue Zookeeper Elastic Jobs.. Interactions SIEM Recherche Rapports Alertes Recherche Rapports Alertes Qlik, BO, SQL, excel, Kibana BI HIVE PIG Hcatalog SIEM Hbase Map Reduce HDFS Datalake Flume Grok Sources
Points de vigilance techniques Une contribution des développeurs est nécessaire (co-sponsor) La «plomberie» d un cluster multi nœuds nécessite des compétences adhoc Peu de fonctions de sécurité built-in (cloisonnement des données, chiffrement, contrôle d intégrité)
Points de vigilance Les parois des silos sont épaisses Le mélange de données techniques et métiers n est pas naturel Les données applicatives ne sont pas nécessairement accessibles (hébergeurs, sous-traitants, cloisonnement réseau, ) Les volumes peuvent être très importants De multiples initiatives Big Data naissent un peu partout dans l entreprise (sans cohérence ni cohésion) Nécessite de nouvelles relations entre les équipes / métiers (SSI/Dev SSI/Fraude SSI/Exploitation IT, ) Commencer sur des uses cases simples et pragmatiques
Conclusions techniques comme composants/connecteurs des SIEM comme compléments des solutions de détection existantes
Conclusions La sécurité, pour être efficiente, ne peut plus se passer des données applicatives Par exemple les approches DevOps bouleversent les processus en place. Pour accéder/collecter les données nécessaires, il va falloir franchir les silos organisationnels. Le volume de donnés est tel qu il faut éviter une duplication par organisation et utiliser les solutions techniques des géants du web (commodity storage & processing). Il faut envisager la mise en place d un nouveau service IT de Data- Lake ou OpenData privé. L analyse de ces données nécessite de nouvelles coopérations au sein d équipes pluridisciplinaires (def. des patterns d analyse)
Merci de votre attention Q&R