Sécurité des données : l’intelligence artificielle et le défi du pseudonymat

Les entreprises se trouvent aujourd’hui dans une situation où elles sont confronter à beaucoup plus d’attaques informatique qu’il y a 5 ou 10 ans.

Face à cette explosion de la cybermalveillance, il est fait mention des recourir à l’intelligence artificielle et à l’apprentissage machine. Des technologies qui dans une certaine mesure nécessitent pour bien fonctionner, l’utilisation de données lisible. Pourtant cela n’est pas si simple que cela. En effet la tendance est au chiffrement des données. Il faudrait faire en sorte de trouver le juste milieu, pour satisfaire les besoins de l’intelligence artificielle et du machine learning, tout en protégeant au mieux les données.

Cet article va aussi vous intéresser : 6 menaces informatiques auxquelles votre entreprise pourrait être exposée

Mais revenons en 2020. Les attaques informatiques ont explosé. Les entreprises se trouve embourbés dans un canevas assez pitoyable. La facture des attaques informatiques est salée. Plus de 6 000 milliards de pertes. Malgré tout ceci les entreprises continuent à être négligentes. Car elles sont beaucoup trop concentrées à développer de nouveaux services ou des nouveaux outils. La sécurité informatique devient alors secondaire. Elle est d’ailleurs perçu comme un obstacle au développement de l’intelligence artificielle pour les raisons que nous avons mentionné plus haut. Une terrible et grande erreur pourtant.

« Toute la problématique pour les entreprises est donc de concilier rapidité́ d’exécution de leur activité́ et sécurité́ informatique. Mais est-ce compatible ? Aujourd’hui des entreprises comme Zoom, Doctolib, Alan ou encore Google pour sa messagerie, ont changé la façon d’aborder la cybersécurité́ en intégrant du chiffrement de bout-en-bout, premier pas vers le zero-trust, un concept qui place le principe de moindre privilège au centre de la conception de nouveaux produits et architectures. », explique Timothée Rebours, Cofondateur et CEO de Seald « Décrit dès 2003 par le Jericho Forum puis par Forrester en 2010, le zero-trust fait le constat que la façon traditionnelle d’envisager la sécurité informatique en plaçant une grande « barrière » autour des systèmes d’information était toujours faillible. Le zero-trust préconise donc de protéger les données à chaque étape, y compris d’intégrer cette protection directement au niveau des applications plutôt que de faire confiance aveuglement à « l’infrastructure ». La responsabilité́ est, de ce fait, déportée sur les développeurs d’applications. Techniquement, la protection des données la plus stricte est atteinte en mettant en place du chiffrement de bout-en-bout. Grâce à cette technologie, les données ne peuvent plus être lues que par l’expéditeur et le destinataire de l’information. À titre d’exemple, la spécificité́ de WhatsApp (ou Olvid son concurrent français) est d’assurer à ses utilisateurs qu’aucune conversation ne peut être lue par un tiers. Mais si ce chiffrement de bout-en-bout des données rend illisible les informations, il interdit aussi toute possibilité́ d’effectuer du ML, de l’IA ou même de lancer une recherche sur ces données. Les entreprises ne peuvent donc plus utiliser ces technologies indispensables à leur compétitivité́ et leur rapidité́ de commercialisation des offres. D’où leurs réticences à mettre sous cloche toutes leurs données. » ajoute ce dernier.

Alors la question tourne autour d’un point central. Celui de trouver le juste milieu avec le déplacement de l’intelligence artificielle d’autant de compromettant pas la sécurisation des données. Seulement est-ce que cas de figure est possible ? À cette question, Timothée Rebours répond : « Outre l’utilisation de techniques de chiffrement dites « homomorphes » qui n’en sont qu’à leurs débuts, cette difficulté peut, en effet, être contournée par le tri des données selon la finalité qui leur est destinée. Ainsi, pour celles utiles aux projets de ML et d’IA, les entreprises peuvent les pseudonymiser, c’est-à-dire remplacer les données identifiantes par un « pseudonyme » unique et aléatoire.

Les données identifiantes originales sont alors conservées dans une table de pseudonymes, elle-même protégée par un chiffrement de bout-en-bout. Ce processus revient donc à couper les données en deux catégories, d’un côté les pseudonymisées que l’on exploite de façon automatisée et de l’autre celles chiffrées de bout-en-bout. En d’autres termes, cela revient à appliquer le principe du moindre privilège (fondation du zero-trust) et cela se rapproche du RGPD qui, rappelons-le, impose de « mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » et qui cite notamment « la pseudonymisation et le chiffrement des données à caractère personnel » comme moyens à employer. ».

Accédez maintenant à un nombre illimité de mot de passe :