LEBIGDATA.FR I.A, Cloud & Cybersécurité
Alors que les infrastructures de données comme Hadoop se démocratisent de plus en plus, la sécurité de ces solutions laisse cruellement à désirer. Le risque de vulnérabilité majeure pour le Big Data est de plus en plus redouté par les spécialistes.
À la vitesse à laquelle les logiciels Big Data sont commercialisés, et compte tenu de la quantité de données qui en dépendent, le marché s'expose à des problèmes majeurs de sécurité. Tôt ou tard, une faille critique risque d'être découverte et de semer le chaos. Selon une étude menée par Gartner, très peu d'entreprises sont préoccupées par la sécurité d'infrastructures comme Hadoop. Seuls 2% des personnes interrogées considèrent la sécurité comme une priorité.
Les CIO semblent préférer fermer les yeux et espérer qu'aucun problème de sécurité ne vienne perturber leurs projets Big Data. Malheureusement, prier ne suffira pas pour éviter le pire. Il ne faut pas oublier que les Big Data sont enracinées dans des origines qui ne sont pas surveillées et suivies de façon consistante, notamment à cause de leur taille.
Un manque de sécurité
Il est probable que la plupart des utilisateurs d'Hadoop supposent que la plateforme est sécurisée. Il n'en est rien. Des vulnérabilités existent à toutes les échelles des stacks, y compris au niveau des données. En 2014, seuls 5% des requêtes Hadoop couvertes par l'équipe Info Mgmt concernaient la sécurité.
Selon l'ingénieur en sécurité Ray Burgemeestre, de plus en plus de personnes s'interrogent pour savoir si un cluster est réellement sécurisé une fois que tous les paramètres de sécurités d'Hadoop ou Spark sont activés. En réalité, des efforts doivent être déployés par la communauté Hadoop pour augmenter cette sécurité. Elle n'est pas satisfaisante à l'heure actuelle.
Selon Bolke de Bruin, directeur R&D chez ING Bank, la communauté Hadoop continue à prêter une attention limitée à l'intégrité des données. En d'autres termes, à maintenir et à assurer la précision et l'intégralité des données tout au long de leur cycle de vie. Elle est pourtant désormais consciente de la nécessité de protéger la confidentialité des données au sein des clusters. Par ailleurs, même la sécurité native d'Hadoop n'est souvent pas implémentée, car perçue comme trop complexe. Dans d'autres cas, cette sécurité est ignorée parce que des frameworks comme Apache Ranger sont difficilement utilisables.
Un problème de temps
En tant que leader des infrastructures Big Data, si Hadoop ne peut élever son niveau de sécurité en dépit des petabytes de données stockées dans ses clusters, une catastrophe semble tout bonnement inévitable. Le principal problème est le manque de temps.
Comme le démontre MobileIron dans un récent rapport sur la sécurité mobile, plus un logiciel reste sur le marché, plus les vulnérabilités ont des chances d'être identifiées. C'est particulièrement vrai en ce qui concerne les logiciels open source, offrant la capacité d'explorer le code source avant ou après qu'une vulnérabilité apparaisse.
Le marché des infrastructures Big Data, quoi qu'il en soit, n'est pas assez ancien pour que des vulnérabilités soient découvertes. Un rapport publié par Gartner en 2015 avertit les acheteurs d'entreprises de ne pas se baser sur des versions d'Hadoop datées de plus d'un an. Les anciennes vieillissent, et les nouvelles apparaissent plus rapidement.
Ce rythme rapide est appréciable au nom de l'innovation, mais représente également un problème de sécurité. Plus Hadoop se démocratise, plus les risques majeurs se profilent. Ils ne concernent d'ailleurs pas qu'Hadoop, mais également Spark, Kafka, et d'autres infrastructures de données. Selon Zeynep Tufekci, ce sont de véritables gratte-ciels bâtis sur des zones de séisme.
Le prix de la sécurité
En réponse, des vendeurs comme Cloudera ou Hortonworks tentent déjà de se démarquer en proposant une sécurité renforcée. Par conséquent, la sécurité pourrait se payer au prix fort, mais ce prix doit être payé.
- Partager l'article :
