De nos jours, les entreprises disposent et stockent des quantités croissantes de données. Il existe deux types de données, les données structurées et non structurées, qui représentent la totalité de la collecte de données d’une entreprise. Si ces deux types de données sont vitales dans une organisation numérique moderne, elles doivent être gérées et sécurisées différemment.
Des niveaux d’accès et de sécurité différents
Les données structurées sont organisées de façon à être comprises par des machines, mais restent totalement illisibles pour la majorité des gens (à moins qu’ils ne soient développeurs). Elles sont généralement stockées dans des bases de données relationnelles et affichées en colonnes et lignes, ce qui permet aux algorithmes et autres outils d’exploration des données d’y accéder et de les analyser via une recherche.
En comparaison, les données non structurées n’ont aucune organisation. Elles sont stockées dans des formats facilement accessibles et partagés, tels que des emails, des fichiers PDF et des messages texte, et sont généralement utilisées pour communiquer. Cette facilité de création et de partage a malheureusement pour conséquence de rendre les données non structurées très vulnérables aux accès non autorisés.
Différences mineures d’accès et de saisies
Si la principale différence entre les données structurées et non structurées justement tient donc à leur structure, quelques autres différences essentielles se remarquent, notamment :
- L’accès aux données : les données structurées sont organisées de façon à être comprises par des machines. Ce n’est pas le cas des données non structurées, dont l’organisation rend l’accès et l’analyse difficiles pour les machines et les algorithmes. L’analyse des données non structurées repose donc sur l’agrégation de toutes les données disponibles, l’identification des données relatives à un problème précis, et des analyses permettant d’identifier des schémas et des relations. Soit un travail chronophage.
- La saisie de données : les bases de données nécessitent une entrée de données structurées pour correspondre à la structure prédéfinie. Les machines peuvent analyser les données structurées, car seuls certains types de données sont saisis dans des champs définis.
- Les données non structurées peuvent être stockées dans un fichier au sein d’une structure interne, mais ne suivent pas une structure ou un schéma de données prédéfini.
Pour une meilleure gouvernance des données
Les données structurées stockées dans des bases de données peuvent être sécurisées assez facilement. Leur accès peut être limité par des directives strictes. La sécurisation de données structurées peut sembler relativement simple, mais cela ne signifie pas pour autant qu’elle ne requiert pas un effort considérable. C’est une partie importante de la gouvernance informatique qui inclut :
- La création d’un stockage central renforcé pour les données sécurisées
- Le suivi de la saisie et de l’utilisation des données
- La gestion de l’authentification et des communications chiffrées avec le protocole SSL
- La protection des appareils par des mots de passe sécurisés
- L’utilisation d’un accès à distance pour repérer des appareils manquants et en effacer les données
- La formation des employés aux politiques et aux meilleures pratiques
Les données non structurées posent un autre problème, car elles sont réparties dans toute l’entreprise. On en trouve à chaque emplacement où des utilisateurs accèdent à du contenu ou en créent. Cela signifie qu’il est difficile d’avoir connaissance de l’existence de ces données et des personnes qui y ont accès ou qui les ont utilisées. Le suivi du flux de ces données via un processus d’audit relève également du défi. La technologie d’association des schémas de contenu peut balayer les serveurs et les stations de travail pour classifier les données non structurées, mais ces solutions donnent souvent de nombreux faux positifs et négatifs — et peuvent impacter le workflow.
La sécurisation des données non structurées présente des défis tout autres que la protection des données structurées. Les meilleures pratiques de la sécurisation des données structurées sont un bon point de départ, mais il faut également inclure :
- L’identification des données non structurées lors de leur création
- La classification des données non structurées
- L’affectation d’un propriétaire aux données non structurées sensibles
- L’identification des personnes ayant accès aux données structurées et non structurées
Les données structurées et non structurées ont une importance équivalente pour les entreprises, mais de nombreuses initiatives de protection des données se focalisent sur la sécurisation des données structurées sans protéger suffisamment des données tout aussi sensibles mais plus difficiles à sécuriser : les données non structurées. Avec le RGPD désormais en vigueur, les entreprises doivent s’assurer de sécuriser ces deux types de données, sous peine d’amendes et d’atteinte à leur réputation. En définitive, les entreprises ont aujourd’hui besoin de solutions robustes de protection des données, qui sécurisent efficacement toutes les formes de données créées, utilisées et maintenues par l’organisation.
____________
Vincent Dely est Solutions Architect chez Digital Guardian