Les services cloud sont amenés à régner en maître sur l’ère numérique. Avec le RGPD qui est entré maintenant en vigueur, les experts n’ont eu d’autre choix que de trouver des moyens plus performants et plus souples d’assurer la confidentialité de ces services en adoptant des règles de conformité, même si le contexte évolue de manière continue.

Économie numérique

La confidentialité et la sécurité dès la conception est au cœur même du RGPD. En théorie, c’est un point fort: il fait appel à des entreprises et à des organismes qui stockent des données d’utilisateurs pour intégrer les principes du RGPD dans de nouveaux projets TI, et ce, dès les premiers stades de leurs conceptions. Mais la croissance exponentielle des services décentralisés sur le cloud, en constante mutation, peut rapidement jeter aux oubliettes la confidentialité dès la conception. Eliot Salant, directeur du projet au laboratoire de recherche IBM d’Haïfa, entend trouver une solution viable dans le cadre du projet RESTASSURED (Secure Data Processing in the Cloud). «Assurer la protection des données et la conformité grâce à des réglementations concernant la confidentialité numérique dans un environnement de cloud est un défi de taille. Le cloud public est intrinsèquement dépourvu de fiabilité, il est largement réparti d’un point de vue géographique et possède un système multi-partenarial dans lequel les données n’appartiennent ni au fournisseur du service cloud ni aux partenaires qui en assurent le traitement. En plus de cela, nous avons aussi un changement très dynamique au niveau des services cloud et des infrastructures». Alors, comment allons-nous avancer? «Grâce à des mécanismes et des composants cloud pour la détection de l’exécution, la prédiction et la prévention des violations de la protection des données, mais aussi grâce à de nouvelles techniques qui sécuriseront les informations au repos dans un environnement cloud,» déclare Eliot Salant.

Cinq innovations clés

Le projet RESTASSURED avait pour objectif d’apporter une aide aux responsables du traitement des données, qui représentent les entités responsables sur le plan juridique pour déterminer les raisons du traitement et comment le faire sur des données personnelles tout en respectant la conformité de la protection des données. Pour ce faire, le projet s’est focalisé sur cinq innovations clés. La première d’entre elles est l’utilisation de solutions de matériel émergent tels que le AMD SEV et le Intel SGX, afin d’assurer une enclave de sécurité pour le traitement des données. Le deuxième axe est le développement du chiffrement des fichiers Parquet, ce qui permet de réaliser un stockage très efficace et de pouvoir consulter des données pour des analyses de mégadonnées. De surcroît, l’équipe a porté son attention sur les moyens d’évaluer la conformité de la protection des données lors d’un accès courant, lors d’une gestion automatisée des risques et de la mise en œuvre de «politiques collantes» du système de fonctionnement pour déterminer l’accès aux données, l’utilisation et le stockage des règles. «Tout cela est très important», déclare Eliot Salant. «L’utilisation de “politiques collantes”, par exemple, va aider à créer des points de décision politique (PDP) et des points de renforcement politique (PRP) pour réguler le flux des données au sein des applications présentes sur le cloud. En même temps, la forte protection des données proposée à la fois par l’utilisation du chiffrement modulaire Parquet (CMP) et des enclaves de matériel de sécurité, permet de fournir un flux régulier et protégé de données au sein des environnements cloud établis dans l’UE». Selon Eliot Salant, le CMP représente sans aucun doute la réalisation la plus importante de ce projet. Il a été officiellement accepté comme référence par la communauté «Apache Parquet» et a trouvé sa place dans bon nombre de produits IBM.

Exemples de test réels

Les solutions proposées grâce au projet RESTASSURED ont été largement testées dans les domaines de la couverture sociale et de l’assurance «Pay as You Drive». «Le cas d’usage de la protection sociale a été observé sur un produit actuel offert par un partenaire du projet, la société Oxford Computer Consultants (OCC). Nous voulions montrer comment ce produit, qui fait référence à des bénévoles proposant leur aide et à des personnes qui en demandent, pouvait être déplacé vers le cloud», explique Eliot Salant. «Les différentes situations impliquaient un renforcement strict de l’accès aux données en fonction de la situation. En même temps, la gestion automatisée des risques, développée dans le projet RESTASSURED, présentait un grand intérêt pour la société OCC, dont l’objectif était d’analyser son produit courant et de découvrir les conséquences inhérentes au transfert de son produit dans un environnement cloud». D’autre part, l’assurance «Pay as You Drive» gérait la télématique automobile. Les données personnelles IdO sont capturées sur le site puis transférées vers le cloud, ce qui impose des restrictions liées au RGPD lors de leur traitement, ainsi que des restrictions au niveau des données en elles-mêmes, comme lorsque le véhicule de transport franchit des frontières nationales. Le projet s’est achevé en décembre 2019, mais son développement se poursuit. Des études sur le CMP sont en cours au sein d’un certain nombre d’autres projets H2020, tandis que plusieurs partenaires du projet RESTASSURED ont proposé depuis un projet «de suivi» appelé FogProtect (Protecting Sensitive Data in the Computing Continuum). Le projet FogProtect est programmé pour se dérouler jusqu’à la fin de l’année 2022.

Mots‑clés

RESTASSURED, IBM, cloud, RGPD, mégadonnées, analyses, conformité, protection des données, IdO