Du fait d’une digitalisation sans précédent, les organisations font face à de nouveaux enjeux relatifs à l’exploitation et la maîtrise de leur patrimoine informationnel. En effet, l’ère du numérique a placé la donnée au cœur des stratégies d’entreprises. Son utilisation se doit innovante – gage d’opportunités et de croissance – mais reste marquée par de nouveaux risques.
En ce sens, la gouvernance des données est devenue l’une des préoccupations majeures du Top Management. Elle est un impératif résultant d’une croissance exponentielle de la volumétrie des données, de leur variété et de leur rapidité d’évolution.
« 2/3 des organisations n’ont pas déterminé une stratégie de gouvernance des données »
Mettre en place une stratégie effective revient alors à identifier ses données et les classifier tout en impliquant les responsables de département au sein de ce processus. Pour ce faire, il convient d’inventorier ses données.
L’inventaire va apparaître comme la clé de voûte de la stratégie de gouvernance des données. Dans le sens où, on ne peut pas prétendre manager ce que l’on ne sait pas. Connaître ses données, c’est savoir les gérer, les protéger, les valoriser et répondre aux attentes législatives.
« Seuls 44% des dirigeants et responsables informatique disposent d’un inventaire précis des données recueillies ».
Face à cette nébuleuse qu’est la gouvernance des données, Opéra Conseil, fort de son expérience, a mis en place une approche digitale et itérative de gouvernance des données au travers de l’inventaire des données.
Elaborer un inventaire des données nécessite – certes, de la technologie – une approche concrète, appuyée de résultats tangibles segmentée par département. Cela assure une évolution et une continuité tout en pouvant cibler les différents départements de son organisation.
A l’aune de cette réflexion, pourquoi l’inventaire des données s’inscrit-il au cœur des stratégies de gouvernance ?
Pour des raisons de conformité :
L’inventaire et la classification des données permettent de répondre aux traditionnelles questions : Quoi ? Qui ? Où ? L’élaboration d’un inventaire exhaustif, par département et par traitement d’activité, va permettre d’envisager une meilleure conformité aux règlements en vigueur sur la protection des données personnelles.
« 62% des entreprises ne savent pas où sont stockées leurs données sensibles »
Une fois l’inventaire établi, les dirigeants et responsables informatiques sont alors en mesure d’identifier les données internes, personnelles, sensibles, confidentielles de leur organisation. Ainsi, ce qui est connu devient mieux gérable.
Par exemple, l’inventaire des données permet d’optimiser la gestion des requêtes des sujets de droit, en créant un mapping alignant les données aux traitements d’activités. On peut alors répondre à Madame Dupont que, oui nous détenons telle donnée personnelle, pour tel traitement, avec telle finalité. Enfin, être en conformité c’est aussi tirer profit de sa stratégie de gouvernance.
Pour des raisons de réduction des risques :
La gestion du risque est capitale pour l’organisation. Du simple fait de l’employé ou d’une cyber attaque, les conséquences d’une fuite ou d’une perte de données peuvent être désastreuses : perte de compétitivité, de réputation ou encore impact financier. C’est pourquoi la gestion des risques est devenu un sujet de Direction Générale.
L’inventaire et la classification interviennent alors à priori et à postériori.
Comment prévenir ?
La classification des données permet de définir un périmètre d’action. En ce sens, il est plus facile de concentrer les efforts sur les « crown jewels» de l’entreprise, à savoir les données très sensibles : informations secrètes, toxiques et stratégiques.
« Près de 67% des dirigeants et RSI français considèrent que leur entreprise manque d’une stratégie efficace pour protéger les données clients »
Entre autres, les décideurs deviennent capables de les identifier et de les protéger plus facilement dans des bases particulièrement surveillées, notamment en termes d’accès (internes et externes). La gestion des accès, au travers de projet IAM, devient plus concrète et configurable par une approche Bottom-up de la cartographie, basée sur les métadonnées.
De plus, ce processus va renforcer l’efficacité de la configuration et de l’optimisation des outils de DLP (Data Loss Prevention) et les outils de filtrage.
C’est aussi la possibilité d’envisager un projet d’anonymisation de manière plus pérenne puisque le nombre de données est plus réduit.
Enfin, l’inventaire des données va permettre, par la suppression des duplicatas, d’améliorer la productivité des métiers et de réduire la surface d’exposition aux risques, en fonction de l’appétence aux risques par département.
Comment guérir ?
Malgré toutes ces dispositions, il s’avère que le pire est arrivé.
Ici, l’inventaire des données facilite l’action de réponse à l’incident, dans le sens où, ce dernier a permis d’élaborer un mapping entre les données et les traitements d’activités, par département.
Par contrôle itératif sur chaque département, nous pouvons identifier, sur la base des flux, des traitements et des accès, les données manquantes.
L’investigation étant facilitée nous sommes en mesure de comprendre plus aisément la nature de la violation, les données concernées et enfin de déterminer les conséquences.
Pour des raisons d’opportunités de croissance
Enfin, au-delà des obligations juridiques de mise en conformité, l’inventaire des données s’avère être créateur d’opportunités.
« 70% des dirigeants citent l’amélioration de la qualité de données et du nombre de personne impliqués comme axes d’amélioration de la prise de décision »
L’inventaire des données va permettre en dernier lieu de transformer la gouvernance des données en une véritable opportunité de valorisation des données pour une exploitation de ce gisement au bénéfice de l’entreprise et des usagers (employés clients).
Les data analystes peuvent se focaliser sur les données stratégiques pour mieux les faire parler et améliorer leur utilisation par les métiers. Une formidable opportunité s’offre au management d’améliorer et réinventer leur business model.
Par conséquent, les actions rendues possibles par l’inventaire du patrimoine informationnel vont contribuer à la protection et aux gains d’efficacité de l’écosystème de l’entreprise. Ce qui, de fait, place ce processus d’inventaire au cœur de la stratégie de gouvernance.
L’inventaire sera le moyen d’une fine connaissance des ces données, de leur protection et leur exploitation.