Avec la démocratisation des applications d’intelligence d’affaires (Business Intelligence ou BI), notamment l’opérationnalisation de l’intelligence d’affaires, est apparu un défi de taille à savoir comment sécuriser les environnements et les systèmes d’intelligence d’affaires. En effet les entrepôts de données et les applicatifs permettant d’y accéder sont devenus des applications accessibles à la majorité des employés de l’entreprise. L’enjeu du point de vue de la sécurité opérationnelle est donc de ne fournir à l’utilisateur que l’information pertinente compte tenu de son profil et de l’empêcher d’accéder à une information dont l’usage est restreint. Celle-ci peut être simplement un NAS, un numéro de carte de crédit ou encore le dossier d’un employé. En plus de la sécurisation des données confidentielles se pose la problématique de l’accès sécurisé au niveau granulaire (Row-Level Security ou RLS). Le RLS est quasiment devenu un standard pour les applications BI. Il reste également la problématique des environnements de développements et de tests et leur sécurisation en terme de données. L’auteur propose à travers des exemples réels, une approche et une méthodologie permettant de bâtir un modèle de sécurité robuste, efficace et évolutif pour les applications BI ainsi que des « best pratices » pour gérer les environnements BI.
Gestion et implantation de la sécurité dans les projets d\'intelligence d\'affaires
1. Sécurité opérationnelle
Gestion et implantation de la sécurité
dans les projets d'intelligence d’affaires (BI)
Youssef Loudiyi
BI Expertise
2. Gestion et implantation de la sécurité dans les
projets d'intelligence d'affaires
La problématique
• Démocratisation et opérationnalisation du BI
=> comment sécuriser les environnements et les
systèmes BI
• Un enjeu, ne fournir à chaque employé que
l’information pertinente compte tenu de son profil
•Problématique des environnements de
développements et de tests
•Basée sur des exemples réels, une approche et une
méthodologie permettant de bâtir un modèle de
sécurité robuste, efficace et évolutif pour les
applications BI ainsi que des « best pratices » pour
gérer les environnements BI.
3. Gestion et implantation de la sécurité dans les
projets d'intelligence d'affaires
Conférencier
•15 ans en TI, SAP R/3 & BW, PeopleSoft,
JD Edwards
•10 ans en Business Intelligence,
(Datawarehousing, Enterprise Information
Integration, Enterprise Performance
Management, etc …)
•Spécialisation ces 4 dernières années en
BI dans le domaine des services financiers
et bancaires
Youssef Loudiyi
BI Expertise
4. Gestion et implantation de la sécurité dans les
projets d'intelligence d'affaires
Agenda
•Obligations légales
•Rappel sur les systèmes BI
•Planifier la Sécurité et la confidentialité
•Gestion du projet BI
•Gestion des environnements BI
Youssef Loudiyi
BI Expertise
5. Gestion et implantation de la sécurité
dans les projets d'intelligence d'affaires
Pourquoi sécuriser le BI ?
• Obligations légales (HIPAA, SOX-C198, CNIL, …)
• Risque d’affaires (externe)
– ex:divulgation des objectifs à la concurrence
• Risque organisationnel (interne)
– ex:divulgation des salaires
• Risque réputationnel
– ex:divulgation des données clients
• Risque opérationnel
– ex: corruption des données
BI Expertise
6. Gestion et implantation de la sécurité
dans les projets d'intelligence d'affaires
Pourquoi sécuriser le BI ?
Name of Regulation Type Purpose
Gramm-Leach-Bliley (Privacy Provide customers with privacy notices on the financial
Federal
Rule) institution’s information collection and sharing practices
Gramm-Leach-Bliley (Safeguards Protect the confidentiality and integrity of personal
Federal
Rule) information
HIPAA Federal Ensure the privacy of medical information
State Disclose any breach of security involving computerized
SB 1386
(California) customer data to the affected individual
State Protect personal information in a computerized medium
AB 1950
(California) from unauthorized access, use, etc.
State Protect the unauthorized listing of customer’s mobile
HR 3558 (pending)
(California) phone numbers in a wireless directory
EU data protection laws— European Enforces the fundamental rights and freedoms of
Directive 95/46/EC Union European citizens, especially the right to privacy
Summary of privacy regulations – (Raymond J. Elson and Rey LeClerc)
BI Expertise
7. Gestion et implantation de la sécurité
dans les projets d'intelligence d'affaires
Pourquoi sécuriser le BI ?
• Un exemple au Québec
• Exigences minimales relatives à la sécurité des
dossiers informatisés des usagers du réseau de la
Santé et des Services sociaux (AVRIL 1992)
• La confidentialité des renseignements nominatifs
et leur communication
– Le dossier des usagers est soumis à la plus stricte
confidentialité. L’article 53 de la Loi sur l'accès et l’article
19 de la Loi sur les services de santé et les services sociaux
stipulent qu’aucun renseignement ne peut être tiré du
dossier sans le consentement de l’individu concerné.
BI Expertise
10. Un exemple:
le reporting financier
Un processus bien souvent manuel …
11. Un processus Manuel
Règles d’affaire
Grand Livre Utilisateur
Règles d’affaire
EXCEL Files
Temporaires Consolidation
Facturation
Règles d’affaire Utilisateur
Règles d’affaire
Autres
systèmes Utilisateur
65 % des grandes organisations
utilisent un processus manuel Fichiers EXCEL Finaux
pour des composantes critiques
Weekly
du reporting financier Monthly
Yearly
-AMR Research 02#2005-
12. Reporting Manuel - Problématique
• Processus d’extraction
– Propriétaire
– Requête SQL spécifique
– Inconsistent
– Dépendant de l’utilisateur
– Non-reproductible
• Gestion des Règles d’affaire
– Enfouies dans les requêtes SQL
– Mais aussi dans les fichiers Excel
– Instables et maintenues manuellement
– Dépendant de l’utilisateur
• Processus coûteux en ressources et temps
– 1 à 10 FTE
• Presentation and publication process
– Excel
– E-mail
13. Intelligence d’affaires
Définitions
- « Business Intelligence is a set of tools (…)
enabling the delivery of information to decision
makers » (Meta Group)
- « The processes, technologies and tools needed
to turn data into information, information into
knowledge, and knowledge into plans that drive
profitable business action » (TDWI)
14. Intelligence d’affaires
Définitions
• Entrepôt(s) de données
• Analyse multidimensionnelle
• Requêtes ad hoc & reporting
• Statistiques & Analyse prédictive
• Alertes & notifications
• Dashboards & Scorecards
•Gestion de la Performance
16. Intelligence d’affaires
Le marché
Magic Quadrant for Business Intelligence Platforms, 2008
Source:
Gartner (January 2008)
17. Intelligence d’affaires
Le marché
Magic Quadrant for Business Intelligence Platforms, 2008
Hyperion Oracle
ProClarity Microsoft
Cognos IBM
Business Objects SAP
Source:
Gartner (January 2008)
19. Évolution de l’Intelligence d’affaires
Une brève histoire...
- Enjeux historiques :
- Référentiel unique
- Homogène et fiable
- Historique
- Orienté utilisateur
20. Évolution de l’Intelligence d’affaires
Une brève histoire...
Les systèmes décisionnels dans le temps :
• Infocentres
• Entrepôts de données
• Bases multidimensionnelles
• Data Mining
21. Intelligence d’affaires
Acronymes
- OLTP : On Line Transaction Processing
- OLAP : On Line Analytical Processing
- ODS : Operational Data Store
- DWH : Data Warehouse
- DM : Data Mart
- EIS : Executive Information Systems
- BPM : Business Performance Measurement
- CPM : Corporate Performance Management
22. Un processus Manuel
Règles d’affaire
Grand Livre Utilisateur
Règles d’affaire
EXCEL Files
Temporaires Consolidation
Facturation
Règles d’affaire Utilisateur
Règles d’affaire
Autres
systèmes Utilisateur
65 % des grandes organisations
utilisent un processus manuel Fichiers EXCEL Finaux
pour des composantes critiques
Weekly
du reporting financier Monthly
Yearly
-AMR Research 02#2005-
23. L’intelligence d’affaire: une solution
Reporting Corporatif & Analyses adhoc Gestion
Tableau de bord
•Standardisation des
Métriques Financières •Analyses détaillées Métadonnées
•Vue Consolidée des rapports •Drill-down
•Visibilité en temps réel •Environnement •Drill-through
collaboratif
•Alertes sur les exceptions ou Écarts
•Accès sécurisé
Définitions
Règles d’affaire
Entrepôt de données corporatif
Contrôles
•Consolidation des données de sources multiples
Rapports
•Gestion des flux de données
•Intégration des données
•Gestion de la qualité des données
Comptes Autres Systèmes
Grand Livre Facturation
Fournisseurs Transactionnels
Source: Infosys Research
24. Un exemple de plateforme
d’intelligence d’affaires
SYSTEMES PLATEFORME DE
ENTREPOT DE PRÉSENTATION UTILISATEURS
OPERATIONELS
DONNÉES DATA MARTS DIFFUSION INTRANET WEB
Grand Livre
DATA MARTs
DATA WAREHOUSE
BUSINESS
Facturation
INTELLIGENCE
SERVER
ETL RAPPORTS CORPORATIFS
ANALYSES
Gestion Clients
Drill-down
Extraction
Drill-through
Transformation
Incident causes
Chargement CUBES OLAP RÉFÉRENTIEL Trends
25. Planifier la sécurité dans le domaine
de l’Intelligence d’Affaires
Quelle approche choisir ?
26. Sécurité et Intelligence d’affaires
Conformité aux
différentes législations
Flexibilité nécessaire Procédures de
aux applications BI sécurité efficaces
27. Sécurité et Intelligence d’affaires
5 axes de travail
Définition d’une politique de sécurité
Des procédures de sécurité efficaces
Gestion de la sécurité logique
Gestion de la sécurité physique
Revue périodique des contrôles internes
D’après Raymond J. Elson and Rey LeClerc - TDWI
28. Sécurité et Intelligence d’affaires
5 Axes de travail
Établir des politiques efficaces de confidentialité et
de sécurité de l’information au niveau corporatif
Authentification des utilisateurs
Contrôle des accès
Utilisation du cryptage
Limiter l’accès physique aux serveurs
Mettre en place des revues périodiques des
contrôles internes de sécurité et de
confidentialité
29. Sécurité et Intelligence d’affaires
Définition d’une politique de sécurité(1)
Implication de la Haute Direction
Idéalement, mise en place d’une politique de
la sécurité de l’information signée par le CEO
Définition des exigences minimales de
sécurité et de confidentialité pour la
conception, l’implémentation, administration et
utilisation de l’intelligence d’affaires au sein
de l’organisation.
30. Sécurité et Intelligence d’affaires
Définition d’une politique de sécurité (2)
Elle doit définir clairement l’approche de
l’organisation en termes de confidentialité de
l’information client.
La tolérance zéro devrait être la règle pour toute
divulgation non-autorisée.
Tous les membres de l’organisation doivent avoir
pris connaissance de la politique de sécurité =>
implications et responsabilisation au niveau
individuel.
31. Sécurité et Intelligence d’affaires
Définition d’une politique de sécurité (3)
Communication claire: Intranet par exemple.
Alignée sur la gestion des risques au niveau
corporatif.
Focus sur les risques associés à la sécurité et la
confidentialité
Évaluation des menaces potentielles
Évaluation des faiblesses et vulnérabilités de
l’organisation
Conformité avec les obligations légales au
niveau local, régional, national et international.
32. Sécurité et Intelligence d’affaires
Sécurité Logique
Garantir l’accès aux seules personnes
autorisées et uniquement à l’information qui
leur est destinées.
3 axes de travail:
Authentification de l’utilisateur
Contrôle des accès
Cryptage des données
33. Sécurité et Intelligence d’affaires
Sécurité Logique: Authentification
On privilégera une approche SSO (Single-Sign-
On)
Il faut s’assurer que le serveur BI de
présentation et de diffusion est compatible avec
l’annuaire d’entreprise
LDAP
Active Directory
Etc …
Extranet: + risques
34. Sécurité et Intelligence d’affaires
Sécurité Logique: contrôle des accès
Read-only vs Insert, update, delete
Au niveau de l’OS, de la base de données et de
l’application BI
Plusieurs technologies Row Level Security
(RLS):
Oracle VPD
Business Objects (universe)
Cognos …
35. Sécurité et Intelligence d’affaires
Sécurité Logique: contrôle des accès et RLS
Row Level Security (RLS):
Permet de restreindre les lignes
visibles par l’utilisateur
Peut affecter la performance
Requiert un critère granulaire pour
pouvoir discriminer les lignes
concernées
Propre à chaque fournisseur
36. Sécurité et Intelligence d’affaires
Sécurité Logique: gestion des mots de passe
Si Web , utiliser des mots de passe d’une
complexité adéquate
Changement requis tous les 60-90 jours
Déconnexion si inactivité (20 mn)
37. Sécurité et Intelligence d’affaires
Sécurité Logique: cryptage des données(1)
Une des meilleures défenses de
l’environnement BI
Utilisation à plusieurs niveaux
particulièrement si c’est un accès web
Confidentialité, intégrité et certification
de l’information
38. Sécurité et Intelligence d’affaires
Sécurité Logique: cryptage des données(2)
Indispensable dans le domaine de la santé
Utilisation à plusieurs niveaux , colonne,
lignes, sert de défense dans le cas d’une
attaque passive.
Un exemple, le dossier patient, un
numéro de carte de crédit, NAS, etc …
Utilisation de clés privées
ou publiques
39. Sécurité et Intelligence d’affaires
Sécurité Logique: cryptage des données(3)
Indispensable dans le domaine de la santé
Mise en place en environnement de
développement et test
Prérequis pour le projet BI
Prototype (POC) si c’est la première
implantation
Implémenter en amont de l’entrepôt de
données pour minimiser le risque
Délicat à gérer en maintenance
40. Sécurité et Intelligence d’affaires
Sécurité Physique
Concerne les serveurs et postes clients
Particulièrement les data centers
Les postes clients utilisés pour administrer
et gérer les applications BI
particulièrement les base de données BI.
41. Sécurité et Intelligence d’affaires
Contrôles internes périodiques
Vérificateur interne pour valider
périodiquement la validité de la sécurité des
environnements et applicatifs BI.
Valider que la politique de confidentialité est
connue et appliquer par tous les employés
Les procédures de sécurité sont adéquates et
efficaces
Les failles de sécurité du BI sont surveillées
et gérées dans les délais impartis.
Les données clients sont protégées
correctement
42. Sécurité et Intelligence d’affaires
Les défis actuels en sécurité dans le BI
Les informations des environnements BI sont
devenues disponibles à partir de multiples
applications clientes: laptop, téléphones
cellulaires, blackberry, etc ….
Les caches (Excel ?) utilisés par ces applications
ainsi que la mobilité des utilisateurs augmentent
le risque de façon inégalée.
Toute organisation doit évaluer ce risque avant
d’ouvrir les applications BI à ce type de
terminaux
43. Un exemple de plateforme
d’intelligence d’affaires
SYSTEMES PLATEFORME DE
ENTREPOT DE PRÉSENTATION UTILISATEURS
OPERATIONELS
DONNÉES DATA MARTS DIFFUSION INTRANET WEB
Cryptage
Grand Livre
Cryptage
DATA MARTs
DATA WAREHOUSE
BUSINESS
Facturation
INTELLIGENCE
SERVER
ETL RAPPORTS CORPORATIFS
ANALYSES
Gestion Clients
Drill-down
Extraction
Drill-through
Transformation
Incident causes
Chargement CUBES OLAP RÉFÉRENTIEL Trends