L’informatique en nuage est-elle sûre? Cette question a fait couler beaucoup d’encre chez les internautes depuis que les premiers services en nuage sont devenus accessibles, et on est encore loin d’y répondre. Le projet WITDOM entendait clore le débat en élaborant un nouveau cadre de sécurité et de protection de la vie privée pour les données externalisées dans des environnements TIC non fiables.

Économie numérique

Sécurité

Au cours de la dernière décennie, les données sensibles ont quitté la sphère des domaines «fiables» – des ordinateurs locaux hébergeant des services de sécurité critiques – au profit des fournisseurs de services en nuage capables d’affecter des ressources pratiquement illimitées à l’exécution de lourdes tâches de calcul. Le problème est que les clients n’ont qu’un contrôle limité sur ces ressources, contrairement au fournisseur de services en nuage, ce qui fait que ces environnements sont considérés comme des domaines «non fiables». C’est à ce niveau qu’intervient WITDOM (empoWering prIvacy and securiTy in non-trusteD envirOnMents). Sa plateforme, développée par un consortium de sept entités dirigées par Atos Espagne, assure la gestion d’un éventail de processus complexes visant à protéger les données sensibles dans le domaine de confiance, afin de permettre un traitement, un stockage et un partage sécurisés et respectueux de la vie privée dans un domaine non sécurisé. «WITDOM avait pour objectif principal d’élaborer un cadre pour la protection de bout en bout des données dans des environnements fondés sur les TIC de nature non fiable et en évolution rapide. Nous accordons une attention particulière aux scénarios d’externalisation des données, dans lesquels les nouvelles menaces, vulnérabilités et risques découlant de nouvelles utilisations exigent des solutions de sécurité de bout en bout à l’épreuve du progrès pendant toute la durée de vie des applications qu’ils prennent en charge», explique Elsa Prieto, coordinatrice du projet. Pour ce faire, le consortium a étudié diverses techniques de protection des données, telles que le chiffrement homomorphe, une méthode qui permet de calculer les données chiffrées et de générer un résultat qui, une fois déchiffré, correspond au résultat de l’opération telle qu’elle avait été effectuée sans chiffrement. Les autres techniques à l’étude comprenaient l’anonymisation, le traitement sécurisé du signal (SSP), le masquage, la vérification et l’intégrité des données et le chiffrement de bout en bout. Le cadre WITDOM exploite le paradigme orienté services pour isoler les applications de la mise en œuvre et de l’emplacement spécifiques de ses éléments. Il structure de nombreux composants de protection dans un cadre complet, et son architecture a été adaptée à des modèles de cloud hybrides. Ses principales composantes comprennent un «courtier», un orchestrateur de protection, une composante de gestion des identités et des accès (IAM) et un service de gestion des clés (KM). Des services supplémentaires peuvent également être ajoutés sous forme de blocs modulaires. «Notre cadre a été instancié et validé dans deux scénarios d’application: un scénario santé fondé sur le partage de données génétiques pour les grandes analyses de données de recherche et les analyses cliniques individuelles externalisées; et un scénario de services financiers fondé sur la gestion des données des clients et des données financières des contrats ainsi que sur la fourniture de services financiers sécurisés externalisés sur des instances cloud privées et publiques», explique M. Prieto. Des fonctionnalités supplémentaires ont été développées spécialement pour ces scénarios. Il s’agit notamment d’un système de gestion de l’information des laboratoires de génomique (GLIMS) qui appuie les activités d’analyse de l’ADN qui exigent un important effort de calcul et une grande capacité de stockage; des services mettant en œuvre l’interface entre les applications financières internes et les composantes WITDOM; des services statistiques et d’apprentissage machine pour répondre aux besoins du scénario financier; et des services de génomique, y compris l’alignement des séquences, l’annotation des variantes et la réannotation des variantes. Depuis l’achèvement du projet fin 2017, les partenaires intègrent ses résultats dans leur portefeuille de solutions pour les clients. Certaines demandes de brevet ont été déposées, dont une d’IBM sur la technologie de masquage de données, deux de la part d’UVIGO associées au composant SSP, une liée au scénario génomique et une autre liée au scénario des services financiers. «Certains composants, en particulier ceux qui offrent des fonctionnalités de protection des données, ne sont pas encore à maturation et ont besoin d’un peu de temps avant d’être mis sur le marché», souligne M. Prieto.

Mots‑clés

WITDOM, cloud, internet, domaine de confiance, protection des données