Quelles techniques atténuent les risques du partage de données?
Accès non autorisé aux données, fuites et perte d’intégrité, confidentialité et privacy non respectées… Les risques inhérents au partage des données sont multiples mais peuvent être atténués avec différentes techniques et approches parfois complémentaires.
Les entreprises qui partagent leurs données avec des partenaires externes peuvent espérer y gagner un net avantage concurrentiel. Encore faut-il adopter les outils adéquats à même de faciliter le partage des données. Dans un récent rapport sur le sujet*, le Boston Consulting Group (BCG) fait remarquer que pour choisir ces outils, il convient de faire un compromis en mettant dans la balance la valeur business qu’il est possible de tirer des données et le degré d’atténuation des risques permise par différents outils. Il peut s’agir de risques liés à la gestion des accès, aux fuites de données, à la question de leur intégrité, ainsi que des risques concernant la confidentialité et la protection des données.
Gestion des accès et fuites de données
Quand une entreprise partage ses données, elle doit d’abord s’assurer que seules les personnes autorisées puissent y accéder. Ici interviennent les processus de gestion des identités et des accès (IAM). BCG mentionne également l’utilisation d’API.
Mais si un accès non autorisé survient malgré tout, les entreprises doivent faire en sorte que les données qui ont fuité ne puissent pas être lues par des tiers. D’où l’utilité des techniques de masquage (obfuscation) et de chiffrement. Le chiffrement homomorphe permet par exemple des calculs sur des données chiffrées. Revers de la médaille, selon BCG: ces solutions peuvent générer une perte de granularité. Aux techniques de chiffrement servant à l’obfuscation des données s’ajoutent les solutions sécurisées de stockage et de transfert de données, tant au repos qu’en transit.
Intégrité des données
Les entreprises qui partagent leurs données souhaitent en outre pouvoir contrôler si les sources de données sont fiables (qui saisit quelle information) et s’assurer qu’elles n’ont pas été modifiées. La blockchain répond à ces besoins. Son architecture décentralisée rend en effet très difficile la falsification de données. Un atout sur lequel mise notamment la firme romande Farmer Connect, avec sa plateforme qui promet d’assurer traçabilité et validation des données par toutes les parties d’une chaîne d’approvisionnement agricole.
Mise en commun de données confidentielles
Aucun des outils abordés précédemment ne permet toutefois, à des entreprises qui le souhaitent, de mettre leurs données sensibles en commun pour en tirer parti sans pour autant les dévoiler. Au cœur du domaine de l’informatique confidentielle, les environnements d’exécution de confiance (Trusted Execution Environments ou TEE) répondent à ce besoin. Ces enclaves sécurisées au niveau du hardware sont par exemple exploitées par la start-up suisse Decentriq. Au niveau logiciel, des techniques telles que le calcul multipartite sécurisé (MPC) permettent une analyse sans révéler les détails des données sous-jacentes. Une recherche impliquant l’EPFL et le CHUV a permis d’élaborer un système couplant MPC et chiffrement homomorphe.
La question de la privacy
Le domaine de l’IA et du machine learning présente un défi particulier, car la création d’algorithmes performants nécessite l’utilisation d’une grande quantité de données, tout en respectant les principes de confidentialité et de protection des données. L’apprentissage fédéré peut répondre à ce défi: un algorithme centralisé est entraîné de manière distribuée, sans que les utilisateurs n’aient à dévoiler leurs données. Des chercheurs de l’EPFL et de l’INRIA ont d’ailleurs développé un système complexe permettant d’améliorer la performance de cette approche.
(*) The New Tech Tools in Data Sharing, BCG, 2021
