Responsabilité  Numérique:    Restaurer  la  confiance  à  l’ère  du  numérique  

7 mai 2014

Conférence Planète Ouverte ISG - Paris

Prof.  Jean-­‐Henry  Morin  Université  de  Genève  –  CUI  Ins;tute  of  Services  Science  

 Jean-­‐Henry.Morin@unige.ch  

@jhmorin  

2

Préambule  (I)  

La technologie n’est qu’un moyen au service de pratiques et de métiers, encore faut-il savoir en évaluer les

risques et les opportunités dans une société participative dématérialisée et

orientée services.

« L’e-illettrisme sera l'illettrisme du XXIe siècle » Rapport Stavros Lambrinidis, Paelement EU, 2009

3  

Préambule  (II)  Sécurité  =  Arbitrage  

Risques   Moyens  

4  

 

La  Sécurité  se  contourne,  elle  ne  s’a8aque  pas  

Inspiré par Adi Shamir, Turing Award lecture, 2002!

             

 

Préambule  (III)  Facteur  Humain    

5  

Préambule  (IV)  Innova;on  &  Design    

hSp://www.ideo.com/  

Sommaire

•  2 Contextes, 1 technologie

•  3 temps de la confiance

•  La technologie revisitée

•  Principe de Co-Conformité et Responsabilité Numérique

•  Et après ?

7  

Qui n’a JAMAIS « contourné » un politique de sécurité pour faire un travail légitime que des

systèmes vous empêchent de faire ?

Contexte  #1  

Secteur  des  Organisa;ons  

53  %  !!!  

9

Secteur  des  Organisa;ons  •  53% admettent contourner les politiques de sécurité de

l’organisation pour pouvoir travailler (EMC RSA Security, 2008)

•  Parmi les raisons les plus citées de contourner les politiques de sécurité d’une l’organisation (Cisco, 2008)

a)  Ne correspond pas à la réalité opérationnelle ni à ce qui est demandé pour faire son travail

b)  Nécessité d’accéder à des applications ne faisant pas partie (ou pas autorisées par) des politiques IT de l’organisation pour travailler

•  Conséquences: accroissement des risques et des coûts •  Requiert de la « créativité » pour faire son travail ! •  Augmentation du stress lié à des actions non autorisées •  Inefficacités •  Transgressions / violations : intraçables

11  

La  protec;on  de  l’informa;on  aujourd’hui  La  no;on  de  Périmètre  

•  Basée  sur  le  “périmètre”  et  les  Listes  de  Contrôle  d’Accès  (ACL).  En  dehors  ?  RIEN  !!!  (ou  presque)  

Mobile Worker

Corporate Network

VPN

Contexte  #2  

Secteur  du  Diver;ssement  

©

L’HADOPI en Image !

DPI

Deep Packet Inspection et techniques d’identification inefficaces http://dmca.cs.washington.edu/

1  Technologie    

DRM  

Comment  en  sommes  nous  arrivés  là…            …  un  scénario  dystopique?  

hSp://www.flickr.com/search/?q=DRM  

3  Temps  de  la  confiance  

•  Hier  –  Méfiance  

•  Aujourd’hui  –  Rupture  de  confiance  

•  Demain  –  L’avènement  de  la  «  confiance  éclairée  »  

hSp://eloquentscience.com/wp-­‐content/uploads/2012/05/past-­‐present-­‐future-­‐sign1.jpg  

<  Hier  >  

Méfiance    

Un Paradoxe

On parle de Confiance (Trusted Computing) à l’ère

du numérique…

…mais tout l’édifice repose sur une hypothèse de “non-confiance”

http://zatoichi.homeip.net/~brain/TrustedComputing.jpg

<  Aujourd’hui  >  

Rupture  massive  de  confiance    

2013  =  PRISM  &  Co.  

<  Demain  >  

 L’avènement  de  la  «  confiance  éclairée  »  

Can  we  “fix”  it  ?  •  Considérant  que  :  

•  La  sécurité  est  nécessaire  (no;on  de  contenus  gérés)  •  Une  sécurité  absolue  n’est  ni  réaliste  ni  désirable  •  Avec  une  «  expérience  u?lisateur  »  raisonnable,  la  plupart  des  gens  se  

conforment  volon;ers  (e.g.,  iTunes)  •  La  plupart  des  gens  ne  sont  pas  des  criminels  

•  Nous  devons  prendre  du  recul  pour  :  •  Repenser  de  façon  cri;que  la  Sécurité,  les  DRMs,  etc.  •  Reconsidérer  le  débat  en  dehors  des  extrêmes  (tout  ou  rien,  aboli;onnistes  

et  intégristes  de  la  sécurité,  etc.)  •  Intégrer  par  Design  ces  ques;ons  dans  le  développement  des  systèmes  et  

des  services  numériques  que  nous  u;lisons    

Repenser  &  Reconcevoir  

•  Reconnaître  le  rôle  central  de  l’u?lisateur  et  de  son  «  expérience  »  •  Rétablir  les  u;lisateurs  dans  leurs  Rôles,  Droits  et  Responsabilités  •  Présomp;on  d’innocence  &  le  fardeau  de  la  preuve  

•  Principe  fondamental  pour  repenser  et  reconcevoir  DRM  «  Copyright  Balance  principle  »  (Felten,  2005)  

“Since  lawful  use,  including  fair  use,  of  copyrighted  works  is  in  the  public  interest,  a  user  wishing  to  make  lawful  use  of  copyrighted  material  should  not  be  prevented  

from  doing  so  by  any  DRM  system.”  

•  Proposi?on  :  •  Rendre  la  Confiance  aux  u;lisateurs    •  Renverser  l’hypothèse  de  Non-­‐Confiance  

•  Il  s’agit  d’un  changement  de  paradigme  majeur  

De  l’utopie  à  la  Réalité…  

 Le  modèle  de  Ges;on  d’Excep;ons  

29

Proposi;on:  La  ges;on  d’excep;ons  

•  La  GesCon  d’ExcepCons  dans  la  sécurité:  mélange  explosif  ?  Pas  nécessairement  !  

•  Renverser  l’hypothèse  de  non-­‐confiance  replace  l’u;lisateur  face  à  ses  responsabilités  

•  Permet  aux  u;lisateurs  de  générer  des  demandes  d’excep?on  et  de  leurs  accorder  des  licences  de  courte  durée  sur  la  base  d’une  trace  auditable  

•  U;liser  des  Créden?els  comme  «  jetons  »  pour  tracer  et  détecter  les  abus  

•  Les  créden;els  sont  révocables  de  façon  à  gérer  les  situa;ons  d’abus  •  Reconnaissance  mutuelle  de  la  nécessité  de  Contenus  Gérés  tout  en  

permeSant  à  l’ensemble  des  acteurs  une  u;lisa;on  adaptable  aux  situa;ons  par;culières  (les  cas  par;culiers  deviennent  la  «  norme  »).  

La  Ges;on  d’Excep;ons  dans  des  environnements  de  «  contenus  gérés  »  

•  Qu’est-­‐ce  qu’une  Excep?on  ?  •  Une  déclara?on  /  demande  faite  par  un  u;lisateur    souhaitant  

légi?mement  accéder  ou  u;liser  une  ressource.  •  Basé  sur  des  modèles  existants  de  créden?els  

•  Modèle  de  déléga?on  basé  sur  des  autorités  chainées  •  Rapprochement  entre  des  autorités  de  ges?on  de  créden;els  et  les  

u;lisateurs  •  Ges;on  et  possession  locale  des  créden;els  (base  personnelle  de  

créden;els)  •  Durée  de  vie  courte  ou  limitée    •  Révocables  •  Détermina;on  dynamique  au  moment  du  besoin(enforcement  point)  

La  Ges;on  d’Excep;ons  dans  des  environnements  de  «  contenus  gérés  »  

•  Modèle  auditable  pour  les  abus,  incluant  la  possibilité  de  révoca?on  

•  Fardeau  de  la  preuve  reposant  sur  la  par;e  ayant  une  raison  jus;fiable  de  croire  qu’un  abus  s’est  produit  (présomp;on  d’innocence)  

•  Monitoring  en  (quasi)  temps  réel  des  poli;ques  de  sécurité  

Fasoo.com  

Transfert de technologie

32

Partenariat avec Fasoo.com •  Juin 2011, Intégration du modèle de Gestion

d’Exceptions : « Provisional Licensing »

Perspec;ves…  •  Prise  en  compte  du  facteur  humain  par  concep?on  (People  Centric  Security,  PCS)  

•  Protec;on  des  Données  dans  une  économie  Numérique  :    –  sensibilisa?on  et  forma?on  –  La  réforme  EU  sur  la  protec;on  des  données  :  La  réappropria?on  des  données  par  l’individu  

 •  Poli?ques  Publiques  et  Gouvernance  du  Numérique:  Facteur  clé  de  succès,  Urgence  !  

To Trust or not to be …

http://world.edu/wp-content/uploads/2013/02/climate-change-skeptics.jpg

Responsabilité  Numérique  :  Confiance  Éclairée  &  Transparence  

Co-Conformité •  Notion émergente de « Confiance éclairée »

•  Co-Conformité (Co-Compliance): responsabilité collaborative favorisée par le numérique, permettant aussi bien l’élaboration conjointe de l’objet d’une décision ou d’une action que l’évaluation et le contrôle partagé du résultat.

•  Coût: Changement MAJEUR de paradigme

Responsabilité Numérique ( Digital Responsibility )

Caractéristiques: •  Conception centrée utilisateur •  Prise en compte de toutes les parties prenantes •  Proportionnalité des moyens mis en œuvre •  Prise en compte du facteur humain •  Ouverture et transparence •  Partage et collaboration •  Parcimonie et humilité de l’usage de l’instrument légal •  Appui sur des cadres de politiques publiques durables

Conclusion •  La confiance présuppose de laisser le libre arbitre à

l’humain (l’exception par design)

•  Elle n’est en revanche pas aveugle (gérée, éclairée)

•  Nous sommes face à un défi MAJEUR de notre Société participative dématérialisée!

•  Une approche socialement responsable de la confiance à l’ère du numérique est-elle possible ?

Co-CoDesign

Charte  

Label  Ouvert  

Rejoignez  le  projet  :     h\p://imagina?onforpeople.org/fr/project/co-­‐codesign/  

     

S o y o n s   N u m é r i q u e m e n t   E x i g e a n t s   e t  R e s p o n s a b l e s   !  

 M e r c i …  

Contacts: Prof.  Jean-­‐Henry  Morin  

Université  de  Genève  –  CUI  Ins;tute  of  Services  Science  

hSp://iss.unige.ch/    Jean-­‐Henry.Morin@unige.ch  

@jhmorin  

hSp://ch.linkedin.com/in/jhmorin  

hSp://www.slideshare.net/jhmorin  

hSp://jean-­‐henry.com/