Gouvernance des données : 5 conseils pour optimiser votre stratégie

Partage

Obligations réglementaires, organisation pensée autour de la donnée, optimisation des coûts de stockage, valorisation des données… quels que soient les objectifs que votre entreprise poursuit, tout est question de data. De la collecte à la destruction, l’entreprise est responsable des informations et des données qu’elle détient. C’est pourquoi il est indispensable de définir une stratégie de gouvernance des données efficace.

La gouvernance des données, c’est quoi ?

La gouvernance des données est l’ensemble des processus, règles et normes qui visent à assurer la collecte, le traitement et la protection des données à toutes les étapes de leur cycle de vie et jusqu’à leur destruction (on parle alors de cycle de vie des données). Au sein des organisations, la gouvernance des données touche de nombreux domaines, de la sécurité à l’analyse.

En plus du RSSI, de nombreux postes sont en charge de la gestion des données : DPO (délégué à la protection des données), Data Scientist, Data Manager, développeur Big Data, Data miner; Data Analyst, Architect Big Data, Business Intelligence Manager…

C’est via ces métiers dits « du Big Data » que la gouvernance des données garantit la bonne exploitation des données par tous les services de l’entreprise. Pilotée par les données (ou data-driven), l’entreprise peut ainsi éclairer ses prises de décision.

Pour Jocelyn Montjaux, Responsable Produit Cybersécurité et DPO chez Tenacy, l’objectif de la gouvernance des données est de « s’assurer que toutes les données manipulées au sein de l’entreprise sont bien collectées, protégées et détruites au terme de leur utilisation. En fonction du type de données, la disponibilité et la confidentialité des données seront différentes. C’est pourquoi la cartographie des données est indispensable pour déterminer les niveaux de protection et de sécurité appropriés. »

En effet, chaque entreprise a ses propres besoins en termes de gouvernance des données et de cartographie. Certaines données seront non confidentielles mais devront toujours être disponibles pour le bon fonctionnement de l’organisation. D’autres, en revanche, seront des données confidentielles avec un degré de disponibilité inférieure au besoin habituel.

La gouvernance des données est donc indispensable pour s’assurer de la conformité de son organisation et améliorer ses performances. Voici 5 conseils à mettre en place pour établir une stratégie de gouvernance des données efficace et efficiente. 

  • 1. Intégrez les métiers dans la stratégie de gouvernance des données

    Qui est responsable des données ? C’est une question fréquente au sein des organisations. Et comme beaucoup de métiers et d’acteurs sont parties prenantes, il est important de redéfinir clairement le rôle du RSSI. Il est responsable de la mise en place des moyens de protection (quand le propriétaire des données a identifié des exigences de protection à appliquer) et de contrôler leur bon fonctionnement. Mais il n’est ni responsable des processus de collecte, ni du traitement des données. 

    Chaque métier produit un volume de données de plus en plus conséquent. En voici quelques exemples :

    • données clients ;
    • données sensibles pour l’organisation (brevets technologiques, décisions stratégiques…) ou données sensibles au sens décrits par la CNIL (avec notamment les données de santé) ;
    • données personnelles ;
    • données de référence ;
    • données collectées ;
    • données métiers ou opérationnelles ;
    • données brutes ;
    • données produites.  

    Dans l’aspect stratégique de la gouvernance des données, tous les métiers de l’entreprise sont donc parties prenantes.

    Qui pourrait être mieux placé pour répertorier les données que ceux qui les manipulent au quotidien ? Jocelyn Montjaux souligne l’importance de casser les silos pour qu’une stratégie de gouvernance des données soit efficace : « Il faut traiter les données de l’entreprise entièrement et pas seulement les données IT. Le RSSI ne peut pas être seul dans ce projet. C’est pourquoi il est important d’associer les métiers dans cette réflexion et de les engager dans la stratégie. » 

    Ne faites pas l’impasse sur les métiers et impliquez les différents services de votre organisation pour identifier tous les jeux de données !

  • 2. Réalisez une analyse de risques sur chaque jeu de données

    L’analyse de risques sera forcément nécessaire à un moment donné dans votre stratégie de gouvernance des données !

    Jocelyn Montjaux confirme : « Entre analyse des risques et gouvernance des données, il y a une forme de synergie. Les personnes en charge de la gouvernance des données sont amenées à se poser les mêmes questions que lors d’une analyse des risques, avec un focus porté sur la donnée. »

    Une fois les jeux de données identifiés et une classification déterminée pour décider des mécanismes de protection qui doivent être mis en place, il faut comprendre quelles sont les menaces qui portent sur ces données, en particulier sur la partie confidentialité. L’analyse de données réalisée sous le prisme de leurs risques inhérents pour l’organisation doit alors faire partie intégrante de votre stratégie de gouvernance.

  • 3. Pensez à inclure l’aspect confidentialité des données

    Généralement, la gouvernance des données est associée à la disponibilité des données.

    Quelle est la durée maximale d’interruption admissible d’une donnée ? Quel est le délai acceptable avant de récupérer une donnée sans mettre en péril l’activité d’une organisation ? Les notions de temps de récupération (RTO pour Recovery Time Objective) et de point de récupération (RPO ou Recovery Point Objective) sont bien prises en compte lors de la stratégie de la gouvernance des données. Mais le critère de confidentialité d’une donnée ne l’est pas systématiquement. 

    Jocelyn Montjaux conseille de ne pas négliger cet aspect : « Ne raisonnez pas uniquement sur la disponibilité des données lorsque vous mettez en place une gouvernance des données. Mais pensez à bien inclure les éléments liés à la confidentialité de vos données. C’est de toute façon requis lorsque l’on parle de la RGPD par exemple, puisque cette réglementation porte principalement sur la partie confidentialité des données. » 

  • 4. Intégrez la notion de cloud souverain dans vos demandes d’hébergement

    Solution Big Data, entrepôt de données (data warehouse ou base de données relationnelle), DMP (plateforme de gestion de données), outil de data visualisation ou outils décisionnels, ERP (système logiciel de planification des ressources), CRM (outil de gestion de la relation client), MDM (gestion des données de référence)… C’est tout un écosystème de gestion de données qui a vu le jour durant la dernière décennie.

    De plus en plus, les entreprises sont amenées à piloter des services plutôt que de gérer des infrastructures. Le temps de déploiement est généralement plus rapide que celui d’installer l’infrastructure correspondante dans un datacenter et de trouver des personnes pour installer et configurer des serveurs.

    Héberger ses données dans le cloud est donc de plus en plus courant. Aviez-vous en tête que choisir un hébergeur en mode SaaS revient alors à choisir la législation à laquelle seront soumises vos données ? 

    Prenons l’exemple des leaders du marché du Cloud Computing. Il s’agit d’acteurs américains, donc soumis au droit US, et particulièrement à deux grandes législations : 

    • le Patriot Act qui, à la suite des attentats du 11 septembre 2001, permet aux agences gouvernementales comme le FBI, la NSA ou bien encore la CIA d’obtenir des informations dans le cadre d’une enquête relevant de la sécurité nationale ;
    • le Cloud Act qui, depuis 2018, prévoit que les sociétés américaines spécialistes du cloud doivent communiquer les données aux forces de l’ordre ou au gouvernement américain ou étrangers (selon les accords), même si elles sont stockées en dehors des États-Unis.

    Or la confidentialité des données est un aspect fondamental de la gouvernance !

    Dans le cadre de l’application de la réglementation générale de la protection des données (RGPD), pour des domaines sensibles ou bien encore pour les collectivités, il est plus facile d’exiger dès le début du projet de travailler avec hébergeur disposant de serveurs en France ou a minima en Europe. Cela évite les problèmes de confidentialité des données.

    L’ANSSI, en collaboration avec la CNIL, propose le référentiel SecNumCloud pour les hébergeurs cloud qui inclut des exigences relatives à la protection des données. La confidentialité de vos données passe aussi par le choix de votre hébergeur cloud !

  • 5. N’oubliez pas que vos sous-traitants gèrent aussi vos données

    La responsabilité du traitement des données est parfois déléguée à des sous-traitants. Avec l’entrée en vigueur de la RGPD, la réglementation sur les données à caractères personnelles s’applique aussi bien au responsable du traitement qu’au sous-traitant (agissant pour le compte de son client).

    Selon Jocelyn Montjaux, « il faut s’assurer que les fournisseurs incluent bien les exigences du traitement des données. Il faut leur préciser ce qu’il faut faire et contrôler si c’est bien fait ! » 

    Audits, questionnaires, clauses spécifiques dans les contrats avec ses fournisseurs, plan d’assurance sécurité… autant d’outils à utiliser pour vous assurer de la bonne gestion des données par vos sous-traitants.

En adoptant ces 5 conseils, vous êtes parés pour définir efficacement votre stratégie de gouvernance des données et permettre ainsi la sécurité des données de votre entreprise.