Conférence donnée à l'ISG à Paris à l'occasion de la parution de : La responsabilité numérique. Restaurer la confiance à l’ère du numérique, Editions Fyp, Collection Stimulo, Avril 2014. http://www.fypeditions.com/responsabilite-numerique/
Towards Socially-Responsible Management of Personal Information in Social Net...
Responsabilité numérique. Restaurer la confiance à l’ère du numérique. Conférence à l'ISG Paris, 7 mai 2014¨
1. Responsabilité
Numérique:
Restaurer
la
confiance
à
l’ère
du
numérique
7 mai 2014
Conférence Planète Ouverte
ISG - Paris
Prof.
Jean-‐Henry
Morin
Université
de
Genève
–
CUI
Ins;tute
of
Services
Science
Jean-‐Henry.Morin@unige.ch
@jhmorin
2. 2
Préambule
(I)
La technologie n’est qu’un moyen au
service de pratiques et de métiers,
encore faut-il savoir en évaluer les
risques et les opportunités dans une
société participative dématérialisée et
orientée services.
« L’e-illettrisme sera l'illettrisme du
XXIe siècle »
Rapport Stavros Lambrinidis, Paelement EU, 2009
6. Sommaire
• 2 Contextes, 1 technologie
• 3 temps de la confiance
• La technologie revisitée
• Principe de Co-Conformité et
Responsabilité Numérique
• Et après ?
7. 7
Qui n’a JAMAIS « contourné » un politique de
sécurité pour faire un travail légitime que des
systèmes vous empêchent de faire ?
10. Secteur
des
Organisa;ons
• 53% admettent contourner les politiques de sécurité de
l’organisation pour pouvoir travailler (EMC RSA Security,
2008)
• Parmi les raisons les plus citées de contourner les
politiques de sécurité d’une l’organisation (Cisco, 2008)
a) Ne correspond pas à la réalité opérationnelle ni à ce qui est
demandé pour faire son travail
b) Nécessité d’accéder à des applications ne faisant pas partie
(ou pas autorisées par) des politiques IT de l’organisation pour
travailler
• Conséquences: accroissement des risques et des coûts
• Requiert de la « créativité » pour faire son travail !
• Augmentation du stress lié à des actions non autorisées
• Inefficacités
• Transgressions / violations : intraçables
11. 11
La
protec;on
de
l’informa;on
aujourd’hui
La
no;on
de
Périmètre
• Basée
sur
le
“périmètre”
et
les
Listes
de
Contrôle
d’Accès
(ACL).
En
dehors
?
RIEN
!!!
(ou
presque)
Mobile Worker
Corporate Network
VPN
17. Comment
en
sommes
nous
arrivés
là…
…
un
scénario
dystopique?
hSp://www.flickr.com/search/?q=DRM
18.
19. 3
Temps
de
la
confiance
• Hier
–
Méfiance
• Aujourd’hui
–
Rupture
de
confiance
• Demain
–
L’avènement
de
la
«
confiance
éclairée
»
hSp://eloquentscience.com/wp-‐content/uploads/2012/05/past-‐
present-‐future-‐sign1.jpg
21. Un Paradoxe
On parle de Confiance (Trusted Computing) à l’ère
du numérique…
…mais tout l’édifice repose sur une
hypothèse de “non-confiance”
http://zatoichi.homeip.net/~brain/TrustedComputing.jpg
24. <
Demain
>
L’avènement
de
la
«
confiance
éclairée
»
25.
26. Can
we
“fix”
it
?
• Considérant
que
:
• La
sécurité
est
nécessaire
(no;on
de
contenus
gérés)
• Une
sécurité
absolue
n’est
ni
réaliste
ni
désirable
• Avec
une
«
expérience
u?lisateur
»
raisonnable,
la
plupart
des
gens
se
conforment
volon;ers
(e.g.,
iTunes)
• La
plupart
des
gens
ne
sont
pas
des
criminels
• Nous
devons
prendre
du
recul
pour
:
• Repenser
de
façon
cri;que
la
Sécurité,
les
DRMs,
etc.
• Reconsidérer
le
débat
en
dehors
des
extrêmes
(tout
ou
rien,
aboli;onnistes
et
intégristes
de
la
sécurité,
etc.)
• Intégrer
par
Design
ces
ques;ons
dans
le
développement
des
systèmes
et
des
services
numériques
que
nous
u;lisons
27. Repenser
&
Reconcevoir
• Reconnaître
le
rôle
central
de
l’u?lisateur
et
de
son
«
expérience
»
• Rétablir
les
u;lisateurs
dans
leurs
Rôles,
Droits
et
Responsabilités
• Présomp;on
d’innocence
&
le
fardeau
de
la
preuve
• Principe
fondamental
pour
repenser
et
reconcevoir
DRM
«
Copyright
Balance
principle
»
(Felten,
2005)
“Since
lawful
use,
including
fair
use,
of
copyrighted
works
is
in
the
public
interest,
a
user
wishing
to
make
lawful
use
of
copyrighted
material
should
not
be
prevented
from
doing
so
by
any
DRM
system.”
• Proposi?on
:
• Rendre
la
Confiance
aux
u;lisateurs
• Renverser
l’hypothèse
de
Non-‐Confiance
• Il
s’agit
d’un
changement
de
paradigme
majeur
28. De
l’utopie
à
la
Réalité…
Le
modèle
de
Ges;on
d’Excep;ons
29. 29
Proposi;on:
La
ges;on
d’excep;ons
• La
GesCon
d’ExcepCons
dans
la
sécurité:
mélange
explosif
?
Pas
nécessairement
!
• Renverser
l’hypothèse
de
non-‐confiance
replace
l’u;lisateur
face
à
ses
responsabilités
• Permet
aux
u;lisateurs
de
générer
des
demandes
d’excep?on
et
de
leurs
accorder
des
licences
de
courte
durée
sur
la
base
d’une
trace
auditable
• U;liser
des
Créden?els
comme
«
jetons
»
pour
tracer
et
détecter
les
abus
• Les
créden;els
sont
révocables
de
façon
à
gérer
les
situa;ons
d’abus
• Reconnaissance
mutuelle
de
la
nécessité
de
Contenus
Gérés
tout
en
permeSant
à
l’ensemble
des
acteurs
une
u;lisa;on
adaptable
aux
situa;ons
par;culières
(les
cas
par;culiers
deviennent
la
«
norme
»).
30. La
Ges;on
d’Excep;ons
dans
des
environnements
de
«
contenus
gérés
»
• Qu’est-‐ce
qu’une
Excep?on
?
• Une
déclara?on
/
demande
faite
par
un
u;lisateur
souhaitant
légi?mement
accéder
ou
u;liser
une
ressource.
• Basé
sur
des
modèles
existants
de
créden?els
• Modèle
de
déléga?on
basé
sur
des
autorités
chainées
• Rapprochement
entre
des
autorités
de
ges?on
de
créden;els
et
les
u;lisateurs
• Ges;on
et
possession
locale
des
créden;els
(base
personnelle
de
créden;els)
• Durée
de
vie
courte
ou
limitée
• Révocables
• Détermina;on
dynamique
au
moment
du
besoin(enforcement
point)
31. La
Ges;on
d’Excep;ons
dans
des
environnements
de
«
contenus
gérés
»
• Modèle
auditable
pour
les
abus,
incluant
la
possibilité
de
révoca?on
• Fardeau
de
la
preuve
reposant
sur
la
par;e
ayant
une
raison
jus;fiable
de
croire
qu’un
abus
s’est
produit
(présomp;on
d’innocence)
• Monitoring
en
(quasi)
temps
réel
des
poli;ques
de
sécurité
Fasoo.com
33. Perspec;ves…
• Prise
en
compte
du
facteur
humain
par
concep?on
(People
Centric
Security,
PCS)
• Protec;on
des
Données
dans
une
économie
Numérique
:
– sensibilisa?on
et
forma?on
– La
réforme
EU
sur
la
protec;on
des
données
:
La
réappropria?on
des
données
par
l’individu
• Poli?ques
Publiques
et
Gouvernance
du
Numérique:
Facteur
clé
de
succès,
Urgence
!
34. To Trust or not to be …
http://world.edu/wp-content/uploads/2013/02/climate-change-skeptics.jpg
Responsabilité
Numérique
:
Confiance
Éclairée
&
Transparence
35. Co-Conformité
• Notion émergente de « Confiance éclairée »
• Co-Conformité (Co-Compliance): responsabilité
collaborative favorisée par le numérique, permettant
aussi bien l’élaboration conjointe de l’objet d’une
décision ou d’une action que l’évaluation et le contrôle
partagé du résultat.
• Coût: Changement MAJEUR de paradigme
36. Responsabilité Numérique
( Digital Responsibility )
Caractéristiques:
• Conception centrée utilisateur
• Prise en compte de toutes les parties prenantes
• Proportionnalité des moyens mis en œuvre
• Prise en compte du facteur humain
• Ouverture et transparence
• Partage et collaboration
• Parcimonie et humilité de l’usage de l’instrument légal
• Appui sur des cadres de politiques publiques durables
37. Conclusion
• La confiance présuppose de laisser le libre arbitre à
l’humain (l’exception par design)
• Elle n’est en revanche pas aveugle (gérée,
éclairée)
• Nous sommes face à un défi MAJEUR de notre
Société participative dématérialisée!
• Une approche socialement responsable de la
confiance à l’ère du numérique est-elle possible ?
39.
S o y o n s
N u m é r i q u e m e n t
E x i g e a n t s
e t
R e s p o n s a b l e s
!
M e r c i …
Contacts:
Prof.
Jean-‐Henry
Morin
Université
de
Genève
–
CUI
Ins;tute
of
Services
Science
hSp://iss.unige.ch/
Jean-‐Henry.Morin@unige.ch
@jhmorin
hSp://ch.linkedin.com/in/jhmorin
hSp://www.slideshare.net/jhmorin
hSp://jean-‐henry.com/