A la découverte de Cloud DLP (Data Loss Prevention)
Priyanka Vergadia
Staff Developer Advocate, Google Cloud
Essayer GCP
Les nouveaux clients peuvent explorer et évaluer Google Cloud avec des conditions exceptionnelles.
EssayerNotamment si vous utilisez des données pour des analyses ou du Machine Learning, il est impératif que les données sensibles soient gérées de manière appropriée pour protéger la vie privée des utilisateurs.
C’est pourquoi il est essentiel de disposer non seulement d’une vue globale des endroits où résident les données, mais aussi de la façon dont elles sont utilisées (vous pourriez être tenu responsable de ces données). Il faut ensuite pouvoir élaborer des processus garantissant un traitement approprié. C’est justement là que Cloud DLP entre en jeu !
Qu’est-ce que Cloud DLP ?
Cloud DLP (pour Cloud Data Loss Prevention – Solution Cloud de prévention des pertes de données) est un service Google Cloud entièrement managé conçu pour découvrir, classer et protéger vos données sensibles, où qu’elles se trouvent ! Et ceci qu’il s’agisse de bases de données, de contenus textuels ou même d’images !
Dit autrement, Cloud DLP procure une visibilité et une classification des données sensibles sur l’ensemble de votre organisation.
En outre, le service réduit les risques liés aux données, qu’elles soient structurées ou non, en les inspectant et en les transformant à l’aide de méthodes d’obscurcissement et d’anonymisation telles que le masquage ou la tokenisation.
Enfin, Cloud DLP peut vous aider à effectuer des analyses de réidentification pour améliorer votre compréhension du risque de confidentialité des données. L'analyse du risque de réidentification est un processus d'analyse des données qui permet de trouver les propriétés qui, une fois associées, augmentent le risque d'identification des personnes. Prenons l'exemple d'un ensemble de données marketing qui comprend des propriétés démographiques telles que l'âge, la fonction et le code postal. À première vue, ces données démographiques peuvent ne pas être identifiables, mais certaines combinaisons d'âge, de fonction et de code postal peuvent correspondre uniquement à un petit groupe d'individus ou à une seule personne, ce qui augmente le risque de réidentification de cette personne.
Comment fonctionne Cloud DLP ?
Cloud DLP propose plusieurs interfaces, notamment une API pour l'incorporer aux systèmes existants ou encore une console UI pour une intégration facile et sans code.
Les méthodes des API de contenu (Content API) offrent aux clients la possibilité d'inspecter et de transformer les données n'importe où et permettent des interactions en temps réel, comme la protection du trafic.
Les méthodes de stockage pour BigQuery, Cloud Storage et Datastore disposent à la fois d'une interface utilisateur et d'une interface API pour faciliter l’analyse de grandes quantités de données au repos. Par exemple, Automatic DLP for BigQuery peut automatiser la découverte et la classification de toute une organisation GCP et s'exécuter en continu pour offrir une visibilité sur le risque lié aux données à mesure que de nouveaux projets, ensembles de données et tables sont créés.
L'inspection et la classification sont animées par la technologie de prévention des pertes de données de Google Cloud, qui dispose de détecteurs pour plus de 150 types d'informations, offre un riche ensemble de règles de personnalisation et de détection, et prend en charge divers formats, notamment les tableaux structurés, le texte non structuré et les données contenues dans les images via de l'OCR embarqué.
De multiples techniques d’anonymisation
Cloud DLP procure différentes techniques d’anonymisation à même de masquer les informations sensibles tout en préservant leur utilité.
Le Masquage - Masque une chaîne de caractères, entièrement ou partiellement, en remplaçant un nombre donné de caractères par un caractère fixe spécifié. Cette technique peut, par exemple, masquer tout sauf les quatre derniers chiffres d'un numéro de compte ou d'un numéro de sécurité sociale.
La Rédaction - Rédige une valeur sous une forme textuelle en supprimant sa valeur numérique.
Le Remplacement - Remplace chaque valeur saisie par une valeur donnée.
La Pseudonymisation avec hachage sécurisé - Remplace les valeurs d'entrée par un hachage unidirectionnel sécurisé, généré à l'aide d'une clé de chiffrement des données.
La Pseudonymisation avec jeton préservant le format - Remplace une valeur d'entrée par un "jeton", ou une valeur de substitution, du même jeu de caractères et de la même longueur en utilisant un cryptage préservant le format (FPE). La préservation du format peut contribuer à assurer la compatibilité avec les systèmes existants qui ont des exigences restreintes en matière de schéma ou de format.
La Généralisation - Masque les valeurs d'entrée en les remplaçant par des "catégories" ou des plages dans lesquelles la valeur d'entrée se situe. Par exemple, vous pouvez regrouper des âges spécifiques dans des tranches d'âge ou des valeurs distinctes dans des plages telles que "faible", "moyen" et "élevé".
Le Décalage de date - Décale les dates d'un nombre aléatoire de jours par utilisateur ou par entité. Cela permet de masquer les dates réelles tout en préservant la séquence et la durée d'une série d'événements ou de transactions.
L’Extraction de l'heure - Extrait ou préserve une partie des valeurs de Date, d'horodatage (Timestamp) et d'heure du jour (TimeofDay).
Les méthodes d’anonymisation de Cloud DLP peuvent assurer l'obscurcissement de données aussi bien structurées que non structurées. Vous pourrez ainsi ajouter une couche supplémentaire de protection des données et de confidentialité à pratiquement tous vos workloads.
Ceci n’est qu'un bref aperçu de Cloud DLP. Pour une exploration plus approfondie, consultez la documentation et notre série de vidéos dédiées au sujet.
Pour plus de #GCPSketchnote, suivez le repo GitHub. Pour d’autres contenus similaires autour du Cloud, suivez-moi sur Twitter @pvergadia et gardez un œil sur thecloudgirl.dev.
