Rendre anonymes les données de tests nécessite une industrialisation

le 12/05/2011 L'AGEFI Hebdo

Pour faire face à une explosion de coûts, les banques mettent en place des dispositifs visant la mutualisation pour créer des jeux de données.

Il est essentiel d’avoir des données valides pour tester les fonctionnalités d’une nouvelle application et s’assurer de sa robustesse », explique Sophie Tacchi, responsable solutions de sécurité chez IBM France. Mais « le fait de rendre anonyme les données, ‘l’anonymisation’ » reste visiblement délicate aux yeux des acteurs du secteur bancaire, qui n’ont pas souhaité s’exprimer sur ce sujet… Et pour cause, la pratique reste très confidentielle puisqu’elle touche directement à la sécurité des données. Permettant de masquer les informations sensibles, elle est pourtant largement employée par les grandes entreprises et plus particulièrement par les banques.

D’abord pendant les phases de tests d’intégration ou de recettes des applications, car les premiers sont réalisés avec de véritables données issues des bases clients. Mais aussi lorsque les données sont externalisées et que l’on veut éviter que des tiers y aient accès. Dans les deux cas de figure, la législation française est claire. En vertu de la loi Informatique et Libertés de 1978 amendée en 2004 et des lois antiblanchiment, les établissements bancaires doivent respecter un cadre très strict dans l’utilisation des données sensibles. Surtout dans les cas d’externalisation où les données ne sont plus hébergées dans les systèmes d’information des banques. Elles sont alors obligées de les rendre anonyme, afin que les prestataires extérieurs n’accèdent pas aux plus confidentielles d’entre elles. Les niveaux de complexité d’anonymisation ont même été augmentés lorsque les banques ont commencé à envoyer leurs données captives dans des centres de données informatiques offshore, comme l’Inde par exemple : « Les banques n’ont pas le droit de sortir du territoire national des données clients qui sont exploitables par un tiers », rappelle Thierry Cartalas, associate partner chez TnP Consultants.

Renforcer la sécurité

Une étude récemment publiée par l’éditeur de logiciels américain Informatica auprès des DSI des banques anglaises montre que 43 % d’entre elles ne mettent pas en place de dispositif spécifique pour protéger les données clients utilisées lors du développement et du test d’un logiciel. Et 41 % reconnaissent avoir recours à des systèmes de sécurité moins rigoureux pendant les phases de test qu’au début de la phase de production. Cette étude est à prendre avec précaution car il s’agit pour Informatica de mettre en avant ses solutions d’anonymisation. Mais elle a cependant le mérite de pointer les vrais problèmes de sécurité qui se posent lors des phases de tests. En effet, les nouvelles applications informatiques sont testées en dehors des environnements de production afin que ceux-ci ne soient pas affectés par de potentiels bugs, ce qui aurait pour conséquence de ralentir, voire même d’arrêter l’activité de la banque. Or souvent, ces environnements de non-production qui contiennent pourtant des données sensibles sont insuffisamment protégés et donc susceptibles d’être piratés. C’est là qu’intervient l’anonymisation à travers différentes techniques proposées par les intégrateurs/éditeurs ou même parfois développées en interne. Le choix de l’entreprise va se faire en fonction du volume de données à traiter et surtout de leur caractère plus ou moins critique : « Dans le cadre des banques, il y a deux types de données à rendre anonyme : les informations à caractère personnel qui permettent d’identifier directement ou indirectement une personne physique et les informations bancaires comme le numéro de carte bleue ou le nom d’un titulaire de compte », précise Sophie Tacchi. On peut agir par suppression, par « maquillage » (par exemple, dissimulation d’une partie des champs par des X), par remplacement ou par modification (cryptage, translation, génération de données fictives, remplacement par des données aléatoires...) ou par ajout.

Outils de cryptage et de maquillage

Parmi les solutions du marché, l’une des plus employées par les établissements bancaires français (Société Générale notamment) est Optim d’IBM et, plus particulièrement, le module Data Privacy. Cet outil extrait les données (qui vont être utilisées pour les tests) des différentes bases de l’entreprise (Oracle, DB2, SQL...), puis dans un deuxième temps substitue les informations confidentielles par des valeurs fictives fonctionnellement valides. Les données sont ensuite maquillées via plusieurs algorithmes avant d’être restituées pour les tests. Le procédé employé par Informatica (Data Masking) est assez comparable si ce n’est que les données sont d’abord maquillées puis dupliquées sur un serveur. Elles sont alors remplacées par des valeurs fictives et mises à disposition pour les tests. Dans les deux cas, les solutions proposent une double anonymisation par maquillage et par substitution. Un modèle qui permet de mieux sécuriser les processus mais qui n’est pas sans conséquences : « L’anonymisation est une pratique qui coûte très cher, relève Thierry Cartalas. Toutes les grandes banques de détail françaises ont beaucoup investi dans des outils de cryptage et de maquillage en volume. Les processus sont assez lourds, surtout concernant la monétique, car il faut rendre anonyme le numéro de carte bancaire. » Et de citer le cas d’un établissement bancaire dont le batch d’anonymisation avait de tels volumes à traiter qu’il lui fallait trois jours pour tourner au lieu d’une nuit habituellement. » Cet exemple permet de s’interroger sur le volume de données dont les banques ont besoin pour faire leur développement et sur ce qui mérite d’être testé », souligne le consultant.

Afin de réduire leurs coûts tout en améliorant leur productivité, les banques sont de plus en plus nombreuses à créer des espaces de mutualisation. Ainsi, s’appuyant sur la solution Data Privacy de Compuware, LCL a mis en place un centre de qualification qui permet, en automatisant les procédures d’extraction et d’anonymisation, de constituer des jeux de données de tests non pas au cas par cas selon les projets, mais plus globalement avant de les adapter aux besoins des différents développements. Un projet débuté en 2008. Même démarche chez Société Générale qui s’est doté d’un centre de compétences sur les données. La mise en place de la solution Optim d’IBM a nécessité dix-huit mois, un projet corollaire à la mise au point d’une usine de tests logiciels. L’objectif est d’éviter que chaque équipe projet lance son anonymisation, une procédure qui, avec l’explosion des volumes de données et les besoins accrus de sécurité, semble encore promise à un bel avenir.

A lire aussi