La croissance des données non structurées représente un risque caché pour la sécurité et la conformité du cloud computing.

Version imprimable, PDF et e-mail

On entend souvent dire que 90 % des données actuelles ont été créées au cours des deux dernières années. Cette statistique, aussi obscure et contestée soit-elle, remonte à près de 10 ans. Et même si elle était vraie à l'époque, il est fort probable que cette proportion soit encore plus élevée aujourd'hui. En tout cas, la croissance exponentielle des données se poursuit incontestablement. IDC prévoit que la quantité totale de données dans le monde atteindra 175 zettaoctets à l'horizon 2025, contre 33 zettaoctets en 2018.

Dans ce contexte, la multiplication des données non structurées engendre des risques pour la sécurité et la conformité. On estime aujourd'hui qu'environ 90 % des données détenues par les entreprises sont non structurées et qu'elles progressent entre 55 et 65 % par an. Les documents, les feuilles de calcul, les photos, les vidéos, les fichiers audio, les pages Web, les fichiers texte, les réseaux sociaux ou encore les diaporamas peuvent en effet contenir des informations sensibles ou personnelles difficiles à suivre et à gérer.

Par exemple, il arrive que des personnes conservent les mots de passe de leurs applications dans un fichier Excel non chiffré ou sans mot de passe, puis le stockent dans un dossier sur OneDrive en pensant que c'est sécurisé. Il arrive aussi que d'autres photographient ou numérisent leur passeport, un document riche en données personnelles, pour une demande d'emploi ou de visa, et partagent le fichier avec les RH, qui la stockent ensuite sur OneDrive ou SharePoint. Nous avons tous fait ce genre de choses toutes bêtes machinalement.

La multiplication des données non structurées engendre des risques pour la sécurité et la conformité. On estime aujourd'hui qu'environ 90 % des données détenues par les entreprises sont non structurées et qu'elles progressent entre 55 et 65 % par an.Cliquez pour tweeter

Classification des données et risques de conformité

Le problème avec ces données non structurées est qu'elles ne sont pas stockées dans une base de données et n'ont ni modèle, ni schéma prédéfinis. Tandis que les données structurées sont plus faciles à classer et à gérer au sein d'une base de données, il est difficile de savoir ce que renferme une vidéo ou une feuille de calcul – notamment, des mots de passe ou des données à caractère personnel.

La gouvernance des données présente ainsi un risque, en particulier dans les secteurs hautement réglementés tels que la santé, les services financiers et l'administration publique, qui doivent se conformer aux lois et réglementations relatives à la protection des données, par exemple la loi sur la portabilité et l'imputabilité des régimes de santé (HIPAA) et la loi Sarbanes-Oxley (SOX) aux États-Unis, ou le RGPD en Europe.

Cela entraîne également un risque pour la sécurité. De nombreux outils de classification des données actuels sont incapables de dire si, par exemple, un fichier Word est infecté par un macrovirus. Il faut donc pouvoir, d'une part, classer les données non structurées dans le cloud et identifier celles qui contiennent des données sensibles ou à caractère personnel, et d'autre part, analyser ces données à la recherche de menaces pour la sécurité.

Défis de la gouvernance des données dans le cloud

L'adoption généralisée du cloud pose également des difficultés au niveau de la gouvernance des données non structurées. En effet, au lieu d'être stockées sur des ordinateurs portables, des PC, des serveurs de fichiers et des serveurs de stockage en réseau (NAS), ces données se retrouvent désormais sur des plateformes cloud telles qu'Office 365 ou Google Workspace à mesure que les entreprises délaissent les infrastructures sur site. De nombreuses entreprises configurent même leurs ordinateurs portables et leurs systèmes de manière à ce que leur personnel puisse sauvegarder les données uniquement sur OneDrive.

Or, les entreprises ne prennent pas le temps de trier leurs données au cours de cette migration. Elles se contentent simplement de les déplacer. Elles déplacent littéralement un tas de données non structurées d'un endroit à un autre, chose qui ne fait que déplacer le problème au lieu de s'attaquer à la question centrale du manque de visibilité.

Bien sûr, des outils de classification sont disponibles sur le marché depuis de nombreuses années. Mais ils n'ont pas évolué et n'ont pas été conçus pour le cloud, d'où des lacunes en matière de fonctionnalités et de capacités. On trouve des outils qui analysent les données sans toutefois les corriger. Et d'autres qui les corrigent et les organisent de manière plus structurée, mais qui fonctionnent sur une seule plateforme.

Beaucoup de ces anciens produits ne sont pas non plus compatibles avec les derniers formats de fichiers ni avec la reconnaissance optique de caractères (OCR). Par exemple, si vous souhaitez vérifier et classer la photo d'un passeport, l'OCR vous permettra d'analyser automatiquement l'image et de récupérer le nom, le numéro du passeport, l'adresse ainsi que d'autres données à caractère personnel au format texte plutôt qu'image.

Un outil moderne capable de supprimer toute information personnelle ou sensible au cours de la classification sera également indispensable. Il devra pouvoir détecter et signaler ces informations à l'administrateur tout en les masquant pour qu'elles ne puissent pas être consultées.

La croissance des données non structurées est appelée à se poursuivre. Il est donc impératif que les entreprises se penchent sur la classification et la gouvernance dans leurs environnements cloud. Cela leur permettra d'identifier et de protéger les informations sensibles et ainsi d'éviter toute violation de sécurité et de conformité coûteuse ou préjudiciable.

Remarque : Cet article a d'abord été publié sur Business Matters le 25 février 2021.

Remonter en haut de page
Tweeter
Partager
Partager