Tous les articles par Samson

Qu’est ce qu’un bot? (chatbot, botnet, spambot…)

Le terme Bot est la contraction du mot anglais“robot”. Et les bots sont des programmes informatique développés à l’origine pour effectuer des tâches répétitives.

Principalement parce que cela permet de faire économiser du temps aux humains et d’autre part parce que les bots sont bien plus efficace pour ce genre de tâches répétitives. Du coup il existe autant de variété de bot que de tâches automatisables. Et comme nous les humains, on est des grosses feignasses, on demande aux bots de faire plein de trucs à notre place.

Voyons quelques exemples pour mieux comprendre le grand nombre mais aussi la diversité des bots sur le web.

Premier exemple, les robots d’indexation chez Google. Ces bots passent leur temps à parcourir le web, à analyser des tonnes d’informations pour pouvoir indexer les pages web pour le moteur de recherche. C’est d’ailleurs comme ça que Google arrive à proposer des résultats pertinents. C’est donc le boulot d’indexation de ces bots qui t’évite de perdre des heures à regarder chaque page web une par une à la recherche de la bonne information.

Autre exemple : Sur twitter, des comptes twitter réagissent à des mots clés spécifiques. Par exemple si tu tweetes le mot Bitcoin, tu verras des comptes débarquer liker ton tweet ou même te répondre. Ce sont des compte twitter qui peuvent être tenus par des vraies personnes mais qui sont aidés par des bots. Le but de ces bots c’est de repérer toutes les personnes intéressées par le sujet et essayer de capter leur attention.

Ensuite, Il est aussi possible de créer des bots pour lire des vidéos Youtube  ou mettre des likes automatiquement. Il y a des entreprises qui vendent des likes.

Bref tout ça pour dire qu’on peut faire faire et qu’on fait déjà faire beaucoup de choses sur internet par des bots, ce qui explique qu’ils sont en plus grand nombre en terme de trafic sur le web que les humains.

Bon là c’étaient des exemples de bots qui exécutent des tâches simples et basiques. Mais avec le progrès, certains bots deviennent des applications à part entière avec une gamme très large de fonctionnalités. En effet, certains intégrent même des programmes d’Intelligence Artificielle. Prenons l’exemple des des chatbot qui sont très à la mode en ce moment.

Alors le chatbot, c’est un logiciel programmé pour simuler une conversation en langage naturel par messagerie d’où le terme “chat”.

C’est le cas avec les bots messenger de facebook : tu peux demander le temps qu’il fait dehors avec le chat Bot Poncho ou commander une pizza via le chatbot de Pizzahut.

Plus besoin de lignes de commande, suffit juste de leur poser une question comme si on s’adressait à un autre humain. Et le chatbot va au besoin affiner la demande à travers une conversation pour mieux comprendre le besoin et ainsi fournir le service demandé.

Comme ça tu n’as plus qu’à demander à ton chatbot. Et le chatbot lui va s’occuper de s’interfacer avec la bonne application ou base de données pour répondre à ta demande. Ces chatbots se comporte donc comme des assistants personnels.

Et le niveau suivant de ces bots assistants personnels c’est de s’affranchir de l’ordinateur ou du mobile, on peut par exemple citer Google Home ou Alexa d’Amazon. Dans ce cas, il suffit juste de parler, c’est encore plus simple et plus naturel.

Bon, Là j’ai parlé des bots sympas qui aident les humains mais il existe aussi des mauvais bots dont les actions ont une finalité malveillante. Par exemple, il existe une version mauvais bot d’indexation Google, c’est le spambot.

Les spambots parcourt le web à la recherche des adresses mail qu’il trouve sur des sites web ou de forums de discussions par exemple. Le but de construire des listes d’adresses pour l’envoi de spam.

Les mauvais bots ne sont que des actions malveillantes automatisés après tout.

Enfin, une catégorie de mauvais bot bien plus dangereux : les Botnets.

Les botnets désignent un réseau de machines zombies, c’est à dire contrôlés à l’insu des utilisateurs par un cybercriminel.

Les botnets malveillants peuvent par exemple :

  • Réaliser des opérations de phishing ;
  • Infecter d’autres machines par diffusion de malwares ;
  • Participer à des attaques de déni de service (qu’on appelle aussi DDoS) ;
  • Récupérer des informations sur les machines compromises (mots de passe, informations personnelles ou données bancaire).

Le chiffrement SSL/TLS pour les débutants

Bonjour à tous!

Dans cette vidéo je vais vous parler de chiffrement des communication sur le web. Plus concrètement c’est lorsque vous surfez sur des sites en https. Alors oui, vous savez maintenant que le S c’est pour dire que la communication est sécurisée car chiffrée.

Et dans cette vidéo, je vous explique comment tout ça marche dans cette vidéo.

 

 

Mais voyons ce qu’est le chiffremement web avec un exemple :

  • Lorsque vous vous connectez sur le site de votre banque, la connexion se fait toujours en https pour des raisons de sécurité
  • Vous pouvez vérifier ce sera toujours le cas (ou alors changez de banque!)
  • Mais que se passerait-il si la communication se faisait en HTTP?

Eh bien c’est simple, toutes les informations échangées transiteraient en clair. Ce qui veut dire qu’une personne malveillante peut intercepter les échanges avec votre banque et donc avoir toutes les informations qui y transitent

En fait le HTTPS c’est une connexion HTTP dans un tunnel chiffré SSL/TLS. Et ce tunnel va sécuriser vos échanges car mêmce si une personne malveillante intercepte vos échanges, les informations sont chiffrées et donc incompréhensibles pour elles.

SSL veut Secure Sockets Layer. TLS veut dire Transport Layer Security. SSL et TLS sont des protocoles de sécurisation des échanges sur Internet. Aujourd’hui c’est TLS qui est utilisé, SSL étant obsolète. Mais on parle parfois de SSL/TLS pour parler juste de TLS.

 

Maintenant voyons ce qui se passe derrière ce chiffrement SSL/TLS.

Le chiffrement consiste à transformer vos données afin de les rendre illisible grâce un algorithme de chiffrement et une clé de chiffrement

La clé de chiffrement est utilisé par un algorithme, pour chiffrer et déchiffrer des données utiles (l’information qu’on veut faire transiter). La clé de chiffrement c’est une donnée (en gros c’est une suite de bits comme une phrase ou une série de chiffres) qu’on peut voir comme un mdp. Un algorithme de chiffrement c’est juste une méthode de chiffrement, cad une façon de rendre inintelligible vos données.

Pour pouvoir lire ces données de nouveau, il est nécessaire de connaître l’algorithme et la clé de chiffrement pour les déchiffrer

 

Maintenant que vous avez compris ça, passons à la notion de cryptographie symétrique :

  1. Ici Alice et Bob ont la même clé secrète.
  2. Alice veut envoyer un message à Bob. Elle veut que personne d’autre que Bob ne puisse lire ce message. Du coup, elle prend sa clé secrète et va chiffrer le message avec
  3. Elle envoie le message chiffré à Bob
  4. Lorsque Bob recoit le message d’Alice, il ne peut pas encore le comprendre à la reception. Il faut d’abord qu’il déchiffre le message avec la même clé secrète. Et c’est seulement là qu’il pourra lire le message
  5. Et si Bob veut répondre à Alice de façon sécurisé, il peut utiliser la clé secrète pour chiffrer sa réponse et ensuite l’envoyer à Alice.

Il y a donc une seule clé pour chiffrer et déchiffrer un message

Le Gros problème de la cryptographie symétrique c’est l’échange de ces clés. En effet, Le fait que les 2 personnes. doivent utiliser la même clé impose d’avoir un canal sécurisé pour l’échange de la clé parce que si quelqu’un d’autre arrive à s’emparer de la clé… il sera capable de lire le message…

Passons maintenant à la cryptographie asymétrique

Le principe du chiffrement asymétrique repose sur l’utilisation de 2 clefs :

  • on appelle une des 2 clefs la clef privée et l’autre la clef publique.
  • Quand l’utilisateur chiffre avec la première clef, il peut déchiffrer avec la deuxième clé
  • Quand l’utilisateur chiffre avec la deuxième clef, il peut déchiffrer avec la première clef.
  • Peu importe l’ordre des clés utilisés parce qu’en fait ces 2 clés ou algorithme de chiffrement sont liés mathématiquement

Reprenons avec Alice qui a maintenant une clé privée et une clé publique :

  • La clef privée n’est jamais transmise à personne (ça porte bien son nom d’ailleurs).
  • Par contre, Alice peut diffuser sa clé publique à n’importe qui,
  • Donc là Alice a envoyé sa clé publique à Bob pour que les 2 puisse communiquer

Voyons maintenant comment ça marche :

  1. Ici Bob et Alice se sont transmis leur clé publique et garde leur clé privé
  2. Bob veut envoyer un message à Alice et veut que seul Alice puisse lire le message. Il chiffre donc son message avec la clef publique d’Alice
  3. Alice déchiffre le message avec sa clef privée (il n’y a qu’elle qui possède cette clef). Alice est la seule à pouvoir déchiffrer les messages qui lui sont adressés
  4. De façon similaire, Si Alice veut répondre à Bob. Alice utilise la clef publique de Bob pour envoyer le message;
  5. Bob utilisera sa propre clef privée pour le déchiffrer le message

Ce procédé assure la confidentialité de l’échange c’est-à-dire être sûr que Alice et Bob sont les seuls à échanger.

Bob est sûr que seul Alice peut lire son message puisque Bob a utilisé la clef publique d’Alice pour chiffrer son message. Seule la clé privé d’Alice peut déchiffrer le message de bob. Bob est donc sûr que seule Alice peut lire le message et inversement pour Alice avec la clef publique de Bob

Ensuite la cryptographie asymétrique garantit aussi l’authenticité de l’expéditeur :

  • C’est-à-dire que pour Bob c’est être sur le message d’Alice vient bien Alice)
  • Eh oui parce que si Bob réussit à déchiffrer le message avec la clé publique d’Alice c’est que le message a été chiffré avec la clé privée d’Alice
  • Tous ceux qui ont la clé publique peuvent déchiffrer le message d’Alice, mais seule Alice possède sa clé privé
  • Si Bob arrive a déchiffrer le message avec la clé publique d’Alice il sait que le message est bien d’Alice

Le problème va venir de la transmission de la clé publique. Notamment si une personne malveillante, qu’on va appeler M pour la suite, se positionne entre Alice et Bob, et se fait passer pour l’un d’eux et donne sa clé publique à la place. C’est l’attaque du MITM ou de l’homme du milieu en français

Il va diffuser une clé publique à Bob en se faisant passer pour ALice. Bob croit alors que c’est la clé publique d’Alice. Alice et Bob ont tous les deux la clef publique de M, en pensant qu’ils ont celle de leur interlocuteur. M intercepte et modifie l’échange de clefs entre Alice et Bob.

Du coup, lorsque Alice veut envoyer un message à Bob, elle va l’envoyer en chiffrant avec la clé publique supposé appartenir à Bob. En fait, M va intercepter le message, il va le déchiffrer avec sa clé privé et lire le message. Ensuite pour ne pas éveiller les soupçon, il va chiffrer le message avec la clé publique de bob et envoyer le message à Bob.

Comme ça Bob déchiffre avec sa clé privé pour lire le message. M est donc capable de lire les conversations entre les 2 et de récupérer des informations importantes.

Et à l’inverse, quand bob veut échanger avec alice, il utilise la clé publique de M pour chiffrer et M fait la même chose cad qu’il intercepte le message, l’ouvre, le lit et le rechiffre avec la clé publique d’alice.

Pour éviter que probleme de MITM, il faudrait pouvoir certifier l’identité du porteur de cette clé. Et ça c’est le rôle du certificat.

Un certificat  est un fichier avec ensemble de données contenant :

  • une clef publique (au minimum)
  • des informations pouvant identifier la personne : nom, e-mail, localisation…
  • des informations liées au certificat, notamment sa date de validité
  • Et une signature électronique d’une autorité de certification

La signature électronique est la preuve le certificat a bien été vérifiée par l’autorité de certification puisque qu’il y a sa signature. Elle est la garantie de son intégrité (cad la preuve que le document n’a pas subit d’altération entre l’instant où il a été signé par son auteur et celui où il a été consulté).

A noter que la signature électronique du certificat c’est la combinaison de vos information et de votre clé publique, tout ça chiffré par la clé privé de l’autorité de certification

une Autorité de Certification est l’institution responsable d’émettre ces certificats et elle garantit que les informations contenus dans ces certificats sont correctes.

Dans notre cas, si Alice veut créer son certificat, il faut qu’elle fournisse sa clé publique et des informations sur elle à l’autorité de certification et des sous (parce que ce n’est pas gratuit), qui elle vérifie tout ça, L’autorité de certification va créer un certificat pour Alice avec la signature électronique de l’AC,

Le certificat atteste donc  que la clef publique du certificat appartient bien à la personne désignée dans le certificat.

 

Maintenant que vous avez toutes ces notions en tête, on peut passer à l’explication du chiffrement SSL/TLS.

Imaginons que vous voulez vous connecter à votre banque, vous allez taper l’adresse de votre banque en https sur votre navigateur :

  1. Vous allez envoyer une demande de connexion sécurisée à votre banque
  2. Votre banque va alors vous envoyer son certificat avec sa clé publique
  3. Votre navigateur vérifie la signature du certificat et sa validité. Il faut savoir que le navigateur a déjà un certain nombre de clés publique d’AC dans sa base de données
  4. Ensuite le navigateur va prendre la clé publique de l’AC qui a certifié le certificat de la banque.
  5. Il va déchiffrer la signature du certificat, s’il y arrive. Cela veut dire que le certificat est de confiance car seul l’AC possède sa clé privé
  6. Si tout est OK, le client et le serveur négocie ensemble pour se mettre d’accord sur un algorithme de chiffrement ainsi qu’une clé secrète commune qu’ils vont utiliser pour cette session d’échange, connus de 2 seulement comme dans la cryptographie symétrique
  7. C’est avec cette clé que vous allez chiffrer et déchiffrer vos échanges avec votre banque et donc communiquer de façon sécurisé

Démystifier le RGPD / GDPR (avec la CNIL)

Vous avez dû surement voir énormément de titres racoleurs sur le RGPD :

  •         “Etes-vous prêt pour le RGPD?”
  •         “Attention, le RGPD arrive! Préparez vous !”
  •         “Faites le quizz pour savoir si vous êtes conforme au RGPD”
  •         “Le TOP 10 des raisons pour se mettre au RGPD, le 4ème va vous étonner!” (Bon OK, ça je l’ai inventé)

Tout ça montre que le RGPD est un sujet qui suscite beaucoup d’interrogations. Et c’est pour cette raison qu’avec la CNIL, on a décidé de faire cette vidéo FAQ spécial RGPD pour répondre à vos questions.

 

 

 

Petit rappel du RGPD

RGPD veut dire Règlement général sur la protection des données. On voit aussi souvent le terme GDPR qui est la traduction en anglais pour General data protection Regulation.

Il s’agit du texte de référence européen en matière de protection des données personnelles pour les résidents de l’Union européenne. En gros, le RGPD va harmoniser la régulation des données personnelles  dans l’ensemble des pays de l’Union Européenne.

Et Il est applicable à partir du 25 mai 2018.

Par donnée personnelle on entend « toute information se rapportant à une personne physique identifiée ou identifiable » donc, à la fois des données de type nom, prénom, un numéro d’identification, des données de localisation, un identifiant en ligne, etc,

 

 

Q1 de Philippe par mail : Vous parlez des structures qui vont être impactées dans votre vidéo  mais il semble après avoir surfé sur le Web que toutes les entreprises ne sont pas concernées.

Pourriez-vous me dire précisément quels sont les critères qui font qu’une structure doit mener des actions en lien avec RGPD ?

La règle d’or, c’est que le RGPD s’applique à une organisation à chaque fois :

  • qu’ elle traite des données personnelles,
  • qu’un résident européen est directement visé par un traitement de données.

En d’autres termes cela veut dire que le RGPD s’applique aussi bien sur

  •  une organisation établie sur le territoire de l’Union européenne
  •  qu’une organisation hors UE qui met en œuvre des traitements pour fournir des biens et des services aux résidents européens.

Exemple : Les entreprises US comme Uber, les GAFA ou les sites de ecommerce chinois doivent donc respecter le RGPD dès lors qu’ils ciblent les résidents européens.

Le RGPD s’applique à tous les organismes quelque soit leur taille, leur secteur ou leur caractère public ou privé.

Le RGPD concerne donc :

  •         Les entreprises
  •         Les organismes publics,
  •         Les associations
  •         Ainsi que les sous-traitants dont les activités rentrent dans ce cadre

Toutes les entreprises doivent respecter le règlement.

Mais en fonction de la sensibilité des données, de leur volumétrie et des impacts des données sur le business, le travail de conformité au RGPD de l’organisation sera différent.

Exemple : Une grosse entreprise multinationale (de grande surface par exemple) qui traite de volumétrie importante de données aura des problématiques plus importantes sur la gestion et le suivi, et l’organisation interne de ses données.

Alors qu’une startup de santé qui gère peu de clients mais qui traite des données relatives à leur santé (donc avec un fort impact sur les libertés des personnes). Cette startup va avoir un plus gros travail de sécurisation des données (peu de données mais des données très sensibles)

Voici les types de données considérées comme sensibles

  • des données qui révèlent l’origine prétendument raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale,
  • des données concernant la santé ou l’orientation sexuelle,
  • des données génétiques ou biométriques,
  •  des données d’infraction ou de condamnation pénale,

Enfin concernant les structures impactées, il faut aussi prendre en compte les sous traitants. Et c’est un grand changement du RGPD, il est à noter que les sous-traitants ont désormais une responsabilité propre et sont tenus de respecter des obligations spécifiques.

Ils ont notamment une obligation de conseil auprès du responsables de traitement (donc leur client) et doivent donc l’aider à respecter le règlement, ou encore une obligation d’assurer la sécurité des données qui leur sont confiées.

Le responsable du traitement (l’entreprise qui contracte avec le sous-traitant) n’est donc plus le seul responsable. Le sous-traitant l’est aussi.

Donc avec le RGPD, le responsable de traitement et le sous-traitant pourront être sanctionnés !

 

Q2 Quel impact aura le #RGPD pour le monde associatif ? Des infos précises au sujet de la mise en conformité de ces structures ?

Oui cela concerne les associations comme on l’a vu. Et voici plus concrètement les actions pour la mise en conformité au RGPD pour les associations.

Une petite association qui souhaite refaire son site et qui prévoit de collecter des données devra notamment prévoir des mentions d’information :

  •  informer les personnes de qui est derrière la collecte,
  •  combien de temps seront conservé les fichiers
  •  la finalité des données collectées
  •  et comment les personnes peuvent exercer leurs droits

Pour information, Vous avez même un Générateur de mentions dans les liens dans la description (qui a été fait par la CNIL pour vous aider : https://www.cnil.fr/fr/modeles/mention

Et comme l’association traite des données (un fichier d’adhérents, un fichier RH sur ses salariés…), elle devra :

  • tenir un registre des traitements de ces données.
  • être en mesure de répondre à des sollicitations d’une personne de qui on a récupéré des données à accéder à ces informations (accès, modification et droit suppression)
  • penser à prévoir des clauses sur la protection des données dans le contrat qu’elle passe avec un sous traitant.

 

Q3 Si je ne suis pas une organisation mais que je collecte des données personnel sur mon site je rentre dans le cadre de cette loi?

Cela dépend de la finalité, si c’est pour une activité exclusivement personnelle, le RGPD ne s’applique pas.

Mais si c’est dans le cadre pro et que vous tentez par exemple d’en tirer des revenus comme avec bannières publicitaires, vente de données, partenariats, etc, ça rentre dans le champ du RGPD

Autre cas, si c’est fait dans le cadre pro et même si vous ne retirez aucun bénéfice par exemple en tant que consultant d’une société X, vous donnez des conseils sur un blog pro, le RGPD s’applique

Et pour rappel, dans tous les cas, la protection de la vie privée est un  principe énoncé à l’article 9 du code civil et même dans la Charte des droits fondamentaux de l’UE et ça, ça concerne tout le monde !

 

 

Q4 : Le DPO c’est que pour les grandes entreprises ?

NON!

Toutes les organisations peuvent désigner un délégué. Dans certains cas, désigner un DPO est obligatoire.

Pour rappel, le DPO (Data protection officer) ou Délégué à la protection des données, c’est le « Chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme,

Ses missions vont être  :

  • d’informer et de conseiller l’organisation, ainsi que leurs employés ;
  • de contrôler le respect du RGPD ;
  • de conseiller l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution ;
  • de coopérer avec la CNIL et d’être son point de contact privilégié

A noter que pour les petites structures (ex: startup où il y a peu personnes), il est évidemment possible de faire appel à un délégué externe, partagé avec plusieurs organismes.

Le DPO est obligatoire pour les cas suivants :

  •  Tous les organismes publics, (ex.une mairie, un ministère)
  •  Les organisations dont les activités de base exigent un suivi régulier et systématique à grande échelle des personnes concernées (ex : compagnie d’assurance, banques, publicité ciblée sur internet  exemple). Pas nécessaire pour un fleuriste
  •  Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » (ex. un hôpital, une compagnie d’assurance, un site de rencontre).

Plus d’informations sur le DPO : https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees

 

Q5 : Est-ce qu’il y a un label qui prouve qu’on est conforme au RGPD?

Alors, la CNIL délivre bien des labels qui sont pour l’instant que sur 4 domaines spécifiques. Oui des labels sont prévus pas le RGPD mais ce n’est pas obligatoire pour justifier qu’on est conforme au RGPD.

Pour prouver sa conformité au RGPD, le plus important est de mettre en place un certain nombre d’actions et  prouver par une documentation écrite que vous assurez une protection des données en continu. C’est ce qu’on appelle « l’accountability ». Cela revient donc à montrer comment des actions ont été mises en œuvre et à les rendre vérifiable. On pourrait le traduire en français par l’« obligation de rendre compte ».

Voici un exemple de démarches pour aller vers la conformité au RGPD

On va les séparer en 3 grandes étapes :

Pour commencer :

  • Il faudra mettre des mentions d’information sur vos formulaires. Et j’en ai déjà parlé mais j’insiste encore une fois mais il est très important d’informer de la finalité des différentes données collectées
  • mettre un formulaire de contact pour que les gens qui se souhaitent puissent accéder à l’ensemble des données qui les concernent,
  • Demander dans certains cas l’accord des personnes et leur donner la possibilité de retirer leur accord.
  • assurer, des mesures sécurité des données adaptées à la sensibilité du fichier.

Dans un second temps, il faudra :

  •  Analyser votre SI, vos fichiers et tous les documents qui contiennent des données personnelles.
  •  Vous devrez également élaborer un registre des traitements.
  •   Pensez aussi à revoir les clauses de confidentialité passées avec vos sous-traitants exemple de clause à adapter ici https://www.cnil.fr/fr/sous-traitance-exemple-de-clauses
  •  Notifiez à la CNIL les violations de données dont vous êtes victimes

Enfin, si vous traitez, par exemple, des données sensibles ou à risque ou que vous faite du tracking à grande échelle Une analyse d’impact sur la protection des données (PIA) est obligatoire car il y a un risque élevé pour les personnes concernées ! Elle vous permet d’anticiper et traiter les risques pour les droits et libertés des personnes.

 

 

Q6 Est ce que les sanctions touchent aussi les organisations publiques?

Pour rappel les sanctions du RGPD peuvent aller jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros.  La somme la plus importante entre les 2 est retenue.

 

Il y a une vrai nécessité pour les collectivités de prendre en compte les exigences car en cas de manquement – et outre des avertissements publics – les CNIL européennes pourront prononcer des amendes administratives allant jusqu’à 20 millions d’euros.

Enfin, il estr à noter que l’l’Etat ne peut pas recevoir de sanction financière, contrairement aux collectivités territoriales. Par contre, l’Etat peut quand même être sanctionné (avec des. sanction publiques par exemple)

 

Q7 Quel est le délai raisonnable de réponse d’un site internet pour la demande d’informations sur les données perso renseignées ?  

Délai raccourci pour les droits : meilleurs délais ! Ce qui veut dire 1 mois maximum après réception de la demande.

Prolongation possible de 2 mois mais uniquement si vous en informez la personne et que vous prouvez que la demande est complexe et nécessite un délai supplémentaire

 

Q8 Quid des délais obligatoires et réglementaires de conservation des données (paie, RH, compta, etc… ) vs droit d’effacement RGPD ?

Dans le cadre du futur règlement, les organismes doivent tenir une documentation interne complète et notamment « un registre » sur leurs traitements de données personnelles.

Un registre permet de justement de s’assurer que les différents traitements respectent bien les nouvelles obligations légales et notamment les durées de conservation.

Ce qui implique notamment de fixer des règles strictes pour déterminer :

  • Quelles données qui doivent être supprimées une fois que l’objectif est atteint ?
  • Quelles données qui doivent être conservées au titre d’obligations légales ?

Par exemple une facture doit être conservée 10 ans mais uniquement dans « vos archives intermédiaires ». En clair, les données existent toujours mais ne seront plus accessibles que par le comptable ou le service contentieux de l’entreprise.

 

Dernière partie :  les confusions

Parmi les questions qui ont été posées, j’ai vu qu’il y avait beaucoup de confusions et d’incompréhension, ou d’idées reçues du coup, je vais faire cette dernière partie pour revenir sur ça en disant ce que le RGPD n’est pas.

LE RGPD est un big bang :

RGPD ce n’est pas un big bang, le RGPD n’est pas apparu comme ça du jour au lendemain.

Pour rappel, il existait déjà la loi Informatique et libertés qui date de 1978 qui est une  loi française dont le but est de réglementer le traitement des données personnelles, c’est-à-dire préserver les libertés des personnes dans un contexte d’informatisation croissante de la société.

Depuis 1978, elle a été modifiée à plusieurs reprises pour se conformer aux directives européennes et à l’évolution des usages.

Le Règlement Général sur la Protection des Données (RGPD) vient donc renforcer la loi Informatique et libertés qui fera l’objet d’une adaptation.

RGPD : seulement des solutions techniques ?

RGPD, ce n’est pas une préconisation de solutions techniques d’anonymisation des données, de chiffrements, etc. parce qu’il y avait beaucoup de questions sur le sujet.

Le RGPD c’est un cadre pour définir ce qui est attendu en termes de protection des données personnelles des résidents européens pour que les organisations puisse s’y conformer et être sûr que ce soit le cas à différents niveaux (SI, process, documentation, etc)

En parlant de ça, on voit souvent des outils (logiciel, solution hardware) certifiés RGPD dont l’achat permet  d’être 100 % conforme au RGPD

La conformité au RGPD ne dépend pas d’une solution technique. La conformité s’obtient par un effort soutenu à tous les niveaux, combinant des mesures humaines (comme sensibiliser les utilisateurs), des mesures organisationnelles (prévoir des procédures pour gérer les incidents afin de pouvoir réagir en cas de violation de données, gérer la sous-traitance…) et des mesures techniques (comme authentifier les utilisateurs et gérer les habilitations, sécuriser les postes de travail, sécuriser les échanges avec d’autres organisations).

Et pour avoir un premier guide des chantiers à mener, vous avez le guide de sécurité de la CNIL : https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles

Enfin, pour terminer ce post, je tiens à remercier la CNIL pour leur aide. Et ça a été un vrai plaisir de collaborer avec eux pour faire cette vidéo.

Liens utiles vers de la documentation rédigée par la CNIL pour vous aider à mieux comprendre le RGPD et se conformer au règlement :

https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles

https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes

https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles

https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil

https://www.cnil.fr/fr/sous-traitance-exemple-de-clauses

https://www.cnil.fr/fr/modeles/mention

https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees

 

 

 

Kubernetes pour les débutants

Kubernetes et les conteneurs

Pour comprendre ce qu’est Kubernetes, il faut d’abord savoir ce qu’est un conteneur :

  • En gros, la virtualisation par conteneur est une méthode de cloisonnement au niveau de l’OS basé sur la technologie de virtualisation Linux LXC, pour Linux Containers.
  • Le principe est de faire tourner des environnements Linux isolés les uns des autres dans des conteneurs tout en se partageant le même noyau Linux, le Kernel donc.

Le conteneur virtualise seulement l’environnement d’exécution (comme le processeur, la mémoire vive ou le système de fichier…) et ne virtualise donc pas la machine entière comme pour une VM (Pas de virtualisation d’OS inviténotamment dans un conteneur par rapport à une VM).

Le conteneur est donc plus léger que la VM, ce qui permet de créer beaucoup plus de conteneurs que de VM sur un même serveur. Docker est un exemple de technologie de virtualisation par container.

A noter que pour le reste de la vidéo, je vais prendre l’exemple des conteneurs Docker pour illustrer les fonctionnalités de kubernetes.

Et justement comme un conteneur est fortement relié au kernel, le conteneur n’a pas “conscience” de ce qui se passe en dehors de ce kernel et de la machine hôte.

Et c’est là que Kubernetes intervient :

  • c’est Kubernetes qui va apporter l’orchestration et la gestion des conteneurs sur des clusters de serveurs
  • Dis autrement, Kubernetes permet ainsi de prendre en charge plusieurs kernel et pouvoir gérer les conteneurs sur ces différents serveur hôtes Linux (qu’ils soient physique ou virtuel d’ailleurs). Ces clusters peuvent couvrir des hôtes situés dans des clouds publics, privés ou hybrides.
Les fonctionnalités de Kubernetes

Les fonctionnalités d’orchestration de Kubernetes vous permettent de :

  • créer des services applicatifs ( que ce soir front end ou backend) et ceci sur plusieurs conteneurs,
  • planifier l’exécution de ces conteneurs dans un cluster,
  • garantir leur intégrité au fil du temps.
  • assurer leur monitoring

Avec Kubernetes, le développeur n’ a plus à s’occuper de la gestion des VM, il à disposition directement son environnement d’exécution (qui est le conteneur) pour y déployer son code, et c’est kubernetes qui s’occupe des couches d’infrastructures sous-jacentes.

Avec Kubernetes, le développeur n’a plu à s’occuper de la partie infrastructure, il n’a pas besoin de savoir où tournent leur applications, l’infra sous-jacente est masquée pour le développeur

Architecture de Kubernetes

Il y a d’abord le Kubernetes Master qui est le serveur contrôlant les nodes : ce sont des noeuds esclaves et ce sont des machines hébergeant les hôtes Docker qui exécutent les tâches qui leur sont assignées. Au sein d’un node tourne un pod. Le pod est un environnement d’exécution d’un ou plusieurs conteneur(s) Docker.

C’est le master qui va dire quel node va faire tourner un pod non ordonnancé en se basant sur la disponibilité des ressources. Le master gère l’utilisation des ressources sur chaque node afin de s’assurer que la charge de travail n’est pas en excès par rapport aux ressources disponibles.

Pour accomplir cet objectif, l’ordonnanceur doit connaître les ressources disponibles et celles actuellement assignées sur les serveurs. Et c’est ces information qui sont apporté par les kubelets. Kubelet est un composant exécuté sur des nœuds et qui s’assure que les conteneurs définis ont démarré et fonctionnent comme comme prévus lors de leur conception. Si un noeud tombe par exemple, c’est Kubelet qui va le signaler au master.

Et c’est le master qui vérifie le nombre de copies identiques demandée d’un pod qui doivent s’exécuter dans le cluster. Le master gère la résilience des pod.

 

Voyons de plus près la notion de  pod :

  • Cet environnement d’exécution peut contenir un ou plusieurs conteneur(s) Docker (on va déployer deux containers sur un même POD s’il est nécessaire de partager des ressources locales).
  • En effet Tous les conteneurs d’un pod partagent une même adresse IP, un même nom d’hôte et les même ports réseau et d’autres ressources.
  • La scalabilité horizontale sera réalisée en instanciant l’application dans de multiples pods,

Un volume c’est un espace de stockage accessible à tous les conteneurs sur un pod.

Il repond à 2 besoins :

  • le premier c’est le besoin de préserver les données au delà du cycle de vie d’un conteneur : les données et fichiers dans un conteneur sont éphémères, donc si des données utilisées par les conteneurs doivent être conservés au dela du cycle de vie d’un contneeur, ces données seront stocké dans le volume.
  • Ensuite, le volume est necessaire pour Le partage des données entre 2 conteneurs : quand plusieurs conteneurs s’exécutent dans un même pod, il est souvent nécessaire de partager les fichiers (et données) entre eux. Et c’est réalisé via le volume.

Passons maintenant à la notion de service :

  • Le « Service » est un point d’entrée permettant un accès « load-balancé » à un groupe de containers identiques, autrement dit c’est une VIP ou Virtual IP.
  • Kubernetes fournit un service de routage en assignant une adresse IP et un nom de domaine à un service, et équilibre la charge du trafic vers les différents pods.
  • Les requêtes de service sont alors transférés par Kubernetes vers un des pods.

 

Fonctionnement de Kubernetes

Kubernetes s’exécute au-dessus de l’OS et interagit avec les pods de conteneurs qui s’exécutent sur les nœuds.

Le master Kubernetes reçoit les commandes de la part d’un administrateur (ou d’une équipe DevOps) et relaie ces instructions aux nodes. Comme on l’a vu tout à l’heure, ce système de transfert fonctionne avec une multitude de services et choisit automatiquement le nœud le plus adapté pour chaque tâche. Il alloue ensuite les ressources aux pods désignés dans ce nœud pour qu’ils effectuent la tâche requise.

Lorsque le Kubernetes master planifie un pod dans un nœud, le kubelet de ce nœud ordonne à Docker de lancer les conteneurs spécifiés. Docker démarre/arrête les conteneurs, comme d’habitude.

Le kubelet collecte ensuite en continu le statut de ces conteneurs via Docker et rassemble ces informations sur le serveur master.

On voit donc qu’avec Kubernetes, les ordres proviennent d’un système automatisé et non plus d’un administrateur qui assigne manuellement des tâches à tous les nœuds pour chaque conteneur.

Comprendre le Cloud computing

Aujourd’hui, je vous explique tous les concepts importants à retenir du Cloud computing? Prêt? Allez, on décolle dans le nuage!

Qu’est ce que le Cloud ?

Quand on dit d’un service qu’il est dans le Cloud, cela veut dire que les moyen de production pour fournir le service sont hébergés chez le fournisseur Cloud.

Le Cloud, c’est avant tout un modèle économique qui utilise des technologies existantes. Et en fait, c’est tous les nouveaux concepts liés à ce modèle que je vais expliquer.

Le Cloud, c’est une approche où on consomme des ressources informatiques comme une utilité (comme l’eau ou l’ électricité ou des films). Sauf que là on va parler de puissance de calcul, des serveurs, des équipements réseau ou des applications.

Dans ce cas, le client ne possède pas les moyens de production du service, qui sont alors hébergés chez le fournisseur de ces services. Le client accède alors à ces services informatique par un réseau étendu comme internet.

Les 4 principes clés du Cloud

Un service Cloud est un service à la demande :

  • Cela veut dire qu’un client peut faire une demande à tout instant et pour n’importe qu’elle type de ressources informatiques.
  • Dans ce cas, la réponse à une demande est immédiate et tout ceci sans avoir besoin d’intervention du fournisseur de Cloud puisque tout est automatisé.

Le deuxième principe est d’avoir service mesurable :

  • Comme le Cloud amène la capacité d’allouer dynamiquement des ressources IT, le client et le fournisseur vont avoir besoin de mesurer l’usage fait des ressources,
  • Pour le client, c’est pour savoir ce dont il a besoin a un instant t comme ressources. On est dans un modèle où l’utilisateur n’utilise que ce dont il a besoin et ne paye que ce qu’il utilise. Il est important pour le client d’avoir un suivi du consommé
  • Pour le fournisseur Cloud, cela lui permet de savoir  quelles sont les ressources utilisées et celles disponibles
  • Le suivi des ressources consommé est important pour la gestion et l’optimisation des ressources mais aussi pour des questions de facturation

L’ autre force du Cloud c’est de permettre la mutualisation des ressources :

  • Un hébergeur Cloud possède d’énormes ressources IT et ces ressources sont partagées entre l’ensemble de ses clients en fonction de la demande.  Et tout ça  sans qu’aucun ne sache où se situe la ressources consommée.
  • La mutualisation permet de l’élasticité dans les ressources du cloud en adaptant automatiquement les ressources aux variations de la demande.

Et le dernier principe du cloud c’est justement l’élasticité des ressources :

L’ élasticité des ressources est la capacité d’allouer dynamiquement des ressources en fonction des besoins qu’ils soient temporaires ou durables et que ce soit à la hausse ou à la baisse.

Les Types de Cloud

Il en existent de plusieurs types et ces services Cloud sont catégorisés en fonction des couches techniques fournies.

 

Il y a 3 modèle d’utilisation du Cloud Computing et chacun de ces modèles joue un rôle spécifique.

Le IaaS

L’Infrastructure as a Service (IaaS) correspond à la partie infrastructure du Cloud (logique vu le nom). Plus concretement il fournit des instances d’OS et l’ensemble de l’infrastructure sous-jacente (serveur, réseau, stockage…).

Dans ce modèle,  l’utilisateur ou client du service doit gérer l’ajout des middlewares et des applicatifs.

Le reste est gérée par le fournisseur cloud.

Comme exemples de cas d’usage, on a :

  • la mise à disposition d’une VM temporaire pour des tests
  • L’ augmentation d’un espace de stockage

En produit IaaS, on AWS EC2 par exemple.

La population cible  du IaaS sont les Exploitants informatique

Le PaaS

Le Platform as a Service (PaaS)  fournit en plus de l’infrastructure technique comme le Iaas des composants logiciels intégrés comme des instances de middleware / socles d’exécution (serveur d’application, les base de données…)

Dans ce modèle,  l’utilisateur ou client du service doit  gérer l’ajout des applicatifs.

Exemples de cas d’usage :

  • Mise à disposition d’instances de serveurs d’application / bases de données
  • Ajustement du nombre de nœuds pour un cluster applicatif

En PaaS, on a Openshift et Windows Azure Plateform

Cette offre permet de se focaliser sur le développement des applications

Les Développeurs sont donc la Population cible du PaaS

Le SaaS

Le Software as a Service (SaaS) fournit des applications prêtes à l’emploi s’exécutant sur l’infrastructure du fournisseur et accessibles via le navigateur du client.

L’avantage du client c’est de ne jamais avoir à s’occuper de la mise à jour de l’application

Exemples de cas d’usage : Accès à une messagerie en ligne ou bureautique

En SaaS, on a par exemple tout ce qui est google docs ou Office 360

Les utilisateurs finaux sont la population cible du SaaS

 

Mode d’hébergement Cloud

L’approche Cloud se décline en différents modes d’hébergement.

Chaque mode d’hébergement va avoir un impact sur les caractéristiques essentielles du Cloud.

Tout d’abord, le Cloud public correspond à une externalisation de l’infrastructure chez  un fournisseur tiers  avec des ressources mutualisées ouvertes à tous. C’est le modèle phare et classique du cloud. C’est celui qu’on a pris pour modèle jusqu’à présent

On a aussi le Cloud privé qui est un modèle où l’usage est dédiée à une seule entreprise. Par contre, Le modèle cloud privé limite les caractéristiques essentielles du modèle cloud :

  • La mutualisation des ressources limitée à l’entreprise) et élasticité des ressources sont limitée aux ressources de l’entreprise (pas de ressources virtuellement infinies),
  • Mais elle répond à des besoins de sécurité ou des contraintes légales ou à une volonté de l’entreprise de garder la main sur son infrastructure technique.

Le cloud communautaire quant à lui est une variante du cloud privé pour proposer des services d’infrastructures limité à un groupe d’entreprises.

Enfin, le cloud hybride est un mélange entre cloud public et privé. Cette approche permet de disposer de ressources d’infrastructure dédiées en interne et publiques en externe. Ce modèle est souvent utilisé pour supporter des pics de charges exceptionnels (évènementiels), par exemple pendant les fêtes de Noël.