IBM : Gouvernance de l\'Information - Principes & Mise en oeuvre

$Page 1: IBM : Gouvernance de l\'Information - Principes & Mise en oeuvre$
© 2010 IBM Corporation

Gestion de l'actif informationnel

Pour une Gouvernance de l’Informationavec IBM InfoSphere

Version 2010.09.03

© 2010 IBM Corporation2


Thèmes abordés

L'explosion des informations numériques entraîne une évolution de la dynamique des entreprises

– La vôtre est-elle préparée à relever ces défis ?

Utilisation de la gouvernance des données– L'approche IBM– Présentation de la chaîne logistique des informations

Gestion de la qualité des donnéesGestion du cycle de vie des donnéesSécurité et confidentialité

Solutions IBM pour InfoSphere Information Governance



3

Diversité des informations 80 % de la croissance des données concerne des

contenus non structurés1

E-mails, images, audio, vidéo..

Volume des données numériques 57 % du taux de croissance annuel moyen

des données d'entreprise jusqu'en 20101

Données machine : Détecteurs, RFID, GPS..

Rapidité des prises de décisions Contexte économique en constante évolution Besoin de gagner une longueur d'avance :

prévision et résolution des problèmes

Explosion des données numériquesUne nouvelle vision globale des informations, permettant de bâtir une planète plus intelligente

3



Une planète plus intelligente profite de l'explosion des informations pour générer des avantages pour les entreprises…

Une planète plus équipée

Plus interconnectée

Plus intelligente

…et crée le besoin d'unegouvernance des données plus efficace

Meilleure exploitation des informations pour saisir les opportunités d'innovation & optimiser l'agilité

Garantie de la conformité aux règles, lois et réglementations

Contrôle des coûts et optimisation de l'infrastructure

…et crée le besoin d'unegouvernance des données plus efficace

Meilleure exploitation des informations pour saisir les opportunités d'innovation & optimiser l'agilité

Garantie de la conformité aux règles, lois et réglementations

Contrôle des coûts et optimisation de l'infrastructure



Problèmes résultant de la gouvernance de l'utilisation, du partage et du traitement d'importants volumes de données électroniques

s

« Une stratégie de gestion des informations doit intégrer des pratiques de gouvernance des données tout au long de leur cycle de vie pour garantir une exécution cohérente des ... initiatives d'optimisation métier, de souplesse et de transformation. »

– Forrester Research, Inc., « Refresh Your Information Management Strategy to Deliver Business Results »

Rob Karel et James G. Kobielus, Août 2009

« Si vous cherchez à protéger vos plus précieuses ressources, à savoir vos données, vous devez commencer par voir la sécurité des données comme l'un des composants d'une stratégie de gouvernance des données plus complète. »

– Hurwitz & Associates, « Why you need an information governance strategy for 2010 »

Marcia Kaufman, Décembre 2009

« D'ici à 2013, 25 % des entreprises de secteurs très réglementés vont créer des emplois focalisés sur la gestion des informations par la technologie dans des domaines tels que la comptabilité, les ressources humaines, la conformité et l'audit ou la législation. »

– Gartner, Inc., « Organizing for Information Governance » Debra Logan, Novembre 2009

Développement de l'infrastructure et augmentation des coûts de gestion des ressources

– Absence de réglementation au niveau de la gestion de la croissance des données - dégradation des performances

– Redondance des données– Applications diverses et complexes et davantage d'utilisateurs

Insuffisance d'exigences communes de sécurité et de confidentialité

– Risque de violations de sécurité, de conformité et d'échecs d'audit.

– Incapacité à identifier les domaines de vulnérabilité et à empêcher les intrusions non autorisées

– Besoin d'une stratégie de protection générale (données relationnelles / non relationnelles et contrôles d'accès)

Insuffisance d'informations fiables – Absence d'alignement des définitions entre le service

informatique et l'entreprise– Vague compréhension des sources de données et des

relations entre les données– Absence de règles de qualité normalisées ou de mesures de

seuil– Insuffisance de contrôles des environnements de données de

test



““Données incohérentes”Données incohérentes”

Un assureur du domaine de la Santé déclare : “Mon équipe est chargée de l'envoi de données en externe à de nombreux partenaires commerciaux et autres entités. Le nombre de ces requêtes a connu une forte croissance au cours de ces dernières années ; leur contenu devient de plus en plus complexe. Nous avons besoin de règles et de processus nous permettant de gérer ces requêtes, avec la garantie que nous respectons les réglementations en vigueur en matière de confidentialité et de sécurité. Nous avons également besoin d'un dispositif d'approbation par nos dirigeants, pour être certains que chaque requête de partage de nos données en externe est appropriée pour notre entreprise.”

““Nous avons besoin de règles et de processus pour protéger nos données”Nous avons besoin de règles et de processus pour protéger nos données”

Un service public des Etats-Unis affirme : “Notre équipe est chargée de la fiabilité des données transmises aux analystes de terrain, mais nous n'avons aucun contrôle sur la qualité des données qui circulent dans notre Gestion financière en provenance de SAP R/3 et BW.”

““Nous n'avons aucun contrôle sur la qualité des données”Nous n'avons aucun contrôle sur la qualité des données”

Un groupe d'assurances des Etats-Unis affirme : “Notre nouveau PDG est devenu le plus ardent défenseur de la gouvernance des données, lorsqu'il a découvert que les rapports élaborés dans les différents secteurs de l'entreprise possédaient des données incohérentes”.

Voici ce que pensent nos clients...

““Nous conservons nos données de façon illimitée”Nous conservons nos données de façon illimitée”Un grand fabricant de produits chimiques ne parvient pas à détruire certains contenus et enregistrements conformément à sa stratégie de rétention de données, et se trouve désormais submergé par le coût élevé de la gestion du stockage et de la reconnaissance électronique (eDiscovery), sans visibilité sur les éléments à détruire et sur leur date de destruction. “ Au cours de la reconnaissance électronique, nous avons consacré plus de 12 millions de dollars à la revue de documents dont la date de rétention était déjà arrivée à expiration et qui auraient dû être détruits... tout cela pour 4 cas seulement... et nous avons en permanence plus de 100 cas en cours.

““Nous avons besoin d'une méthode systématique de gestion de cette croissance”.Nous avons besoin d'une méthode systématique de gestion de cette croissance”.Une enquête menée auprès de Directeurs Financiers ( Current state & future direction, IBM Business Consulting Services) fait apparaître que pour 43 % des Directeurs Financiers, le principal défi à relever consiste à améliorer la gouvernance des données, ainsi que les contrôles et la gestion du risque.



Incapacité à gérer et protéger les

informations sensibles dans des scénarios

complexes

Emballement des coûts de stockage et

d'infrastructure, entraînant des problèmes

d'espace, de consommation et de

budget

Les entreprises ne peuvent pas se permettre d'ignorer les avertissements

de surcharge et de chaos au sein des informations

Les approches actuelles ne sont pas efficacesLe résulat ? surcharges et chaos au sein des informations

Absence de visibilité au niveau des informations

réponses fiables et précises aux questions Quoi, Pourquoi et Où ?



La gouvernance de l’information permet de sortir du chaos

Orchestrer les personnes, les processus et les technologies dans le sens d'un objectif commun

– Favoriser la collaboration – Retirer une valeur maximale des informations

La gouvernance de l’information consiste à La gouvernance de l’information consiste à optimiser, à sécuriser et à exploiter les données en tant qu'actif optimiser, à sécuriser et à exploiter les données en tant qu'actif

informationnel de l'entreprise. informationnel de l'entreprise.

Régir la création, la gestion et l'utilisation Régir la création, la gestion et l'utilisation des informations d'entreprise devient incontournable. Cette gouvernance est :des informations d'entreprise devient incontournable. Cette gouvernance est :

Attendue par les clients Exigée par les dirigeants Mise en place par les organismes de réglementation/auditeurs

Exploiter les données en tant qu'actif informationnel de l'entreprise, pour pouvoir saisir les opportunités

– Protéger les informations – Garantir la meilleure qualité possible– Gestion des données tout au long de leur

cycle de vie



IBM occupe une position de leader en matière de gouvernance de l’information

Niveau

5 Optimisation

Amélioration CONSTANTE des processus

Niveau

4 Gestion quantitative

Processus mesurés et contrôlés QUANTITATIVEMENT

Niveau

3 Définition

Processus caractérisés pour l'ENTREPRISE et PROACTIFS

Niveau

2 Gestion

Processus caractérisés pour les PROJETS et GERABLES

Niveau

1 Niveau initial

Processus imprévisibles, peu contrôlés et REACTIFS

2005 : Création du Comité de gouvernance des données

2006 : Elaboration du modèle de maturité

2007 : 20 membres du Comité utilisent le modèle de maturité

2008 : Publication de la Taxinomie du risque XBRL

2009 : Le nom du comité devient Comité de gouvernance des informations

2010 : Le modèle de maturité est étendu à la gestion de contenu



En quoi l'approche IBM de gouvernance de l’information est-elle différente ?

Les informations circulent entre les différents systèmes et secteurs de l'entreprise, de la même façon que les biens circulent au sein d'une chaîne logistique physique

– Les défaillances risquent de provoquer l'interruption des processus métier et de mauvaises prises de décisions

Une bonne gouvernance de l’information optimise la chaîne logistique d'informations – Elle contribue à la croissance profitable de l'entreprise et à son maintien– Elle soutient les initiatives de mise en conformité, ce qui réduit les coûts et les risques– Elle permet de disposer de contenus fiables, pour une activité fiable



Les problèmes de gouvernance affectent l'efficacité de la chaîne logistique d'informations

Les problèmes de gestion des informations sont de nature convergente et complexe ; ils paraissent insurmontables.

Le manque de cohérence au sein des normes, des règles et des procédures a limité le succès des efforts de gestion des informations

Le manque de définitions communes ou de maîtrise des éléments de données est à l'origine d'un grand nombre de problèmes de gestion des données

Les efforts sont principalement le résultat de pressions réglementaires et ne traitent pas la cause première

Les contraintes (tant en termes de budget que de ressources) ne permettent pas de répondre à tous les besoins induits par la gestion des informations

“Il s'agit d'un changement de style de vie, pas d'une

restriction”.

Engagement en matière de gestion des informations

“Personne n'est responsable de ça !” Manque de

légitimité des rôles

“Nous nous appuyons trop sur des connaissances

informelles”.Conséquences de la valeur médiocre des métadonnées

“Les fondations sont en place, mais nous

n'avons encore construit ni les murs, ni les

escaliers”. Modèle de maturité de

gestion des informations peu

élaboré

“Nous avons besoin d'une intervention humaine dans le

processus”. Manque de participation des Chefs de secteurs

dans les directives de l'entreprise

“Nous discutons avec les différents services

pour savoir quelles sont les données les moins incorrectes”.Tolérance pour les

données incorrectes

“Nous ne gérons pas nos données

comme nous gérons notre

argent”.Barrières culturelles

“Des personnes inappropriées travaillent

sur le mauvais problème”.Manque de continuité

des ressources



Modèle de maturité du Comité de gouvernance des informations

Résultats

Activateurs

Principales disciplines

Disciplines secondaires

Optimisation

Besoin

Prise en charge



Problèmes issus du manque de gestion de la qualité des données

De façon croissante, la pression exercée (mise en conformité et transparence) met en évidence les problèmes de qualité des données

– Absence de méthode de gestion des données de qualité supérieure

Vues globales non fiables

– La mauvaise qualité des données entraîne un manque de confiance et pénalise les prises de décisions

– Incapacité à identifier la source des problèmes de qualité

– Des vues de données manquant de fiabilité sont transmises à d'autres initiatives stratégiques, entraînant des décisions prises sur la base de données erronées.

Coûts élevés et impact négatif sur la satisfaction des clients

– Les entreprises reconnaissent que l'impact d'une mauvaise qualité des données peut être double : impact direct (opportunités de chiffre d'affaires manquées) et impact indirect (réduction de la satisfaction des clients et augmentation du nombre de désabonnements), ce qui se traduit par des coûts financiers.



Test/DevTest/Dev

Gestion de la qualité des données dans la chaîne logistique d'informations

Définition des données de 'qualité supérieure' au sein de votre entreprise

Développement de données de test réalistes et réutilisables, conformes aux règles de confidentialité

Normalisation et nettoyage des données destinées aux initiatives stratégiques

Surveillance constante des problèmes de qualité des données et maîtrise des solutions correspondantes

Identification et compréhension de la source des données

Compréhension & DéfinitionCompréhension & Définition

Développement & TestDéveloppement & Test

Nettoyage & Gestion (en continu)Nettoyage & Gestion (en continu)



Principales disciplines impliquées dans la gouvernance des donnéesPrincipales disciplines impliquées dans la gouvernance des données Gestion de la qualité - Cycle de vie - Sécurité & Confidentialité Gestion de la qualité - Cycle de vie - Sécurité & Confidentialité

Conditions requises pour la gestion de la qualité des données

DéveloppementDéveloppement& Test& Test

Nettoyage & Nettoyage & Gestion (en continu) Gestion (en continu)

Conception des structures de données

Définition d'un vocabulaire commun

Identification des données sur les différents systèmes

Correction desincohérences

Surveillance & gestion actives des données

Définition de règles &nettoyage des données

CompréhensionCompréhension& Définition& Définition

Validation des résulats de test

Création et actualisation des données de test

Développement de structuresde base de données



Problèmes issus du manque de gestion du cycle de vie des données

De nouvelles fonctionnalités permettant de répondre aux besoins de l'entreprise ne sont pas déployées dans les délais

– Le manque de compréhension des relations entre les objets données retarde les projets. – L'accroissement des volumes de données augmente les durées de clonage, de test, de validation

et de déploiement. Cela allonge les cycles de test

L'augmentation des coûts opérationnels et d'infrastructure a des répercussions sur le budget informatique

– Le clonage des bases de données nécessite davantage de matériel de stockage– Les bases de données plus volumineuses affectent la productivité et entraînent une augmentation

des coûts de licence

Les défaillances des applications sont découvertes une fois la phase de déploiement terminée– Les coûts de résolution d'incidents en environnement de production peuvent être de 10 à 100 fois

plus élevés qu'en environnement de développement

Risque de divulgation accidentelle de données confidentielles au sein d'environnements de développement ou de test

“ Selon Forrester, 85 % des données contenues dans les bases de données sont inactives

Selon Forrester, 85 % des données contenues dans les bases de données sont inactives

Source : Noel Yuhanna, Forrester Research, Database Archiving Remains An Important Part Of Enterprise DBMS Strategy, 13/08/2007



Gestion du cycle de vie des données au sein de la chaîne logistique d'informations

Recherche & DéfinitionRecherche & Définition

Consolidation & RetraitConsolidation & Retrait

Optimisation, Archivage & AccèsOptimisation, Archivage & Accès

Développement & TestDéveloppement & Test

Compréhension des données d'entreprise

Développement de modèles et de code permettant de stocker les données d'entreprise et d'y accéder (y compris la configuration des données pour environnements de test)

Optimisation des performances des applications, via l'identification des goulets d'étranglement et l'élaboration d'une stratégie appropriée de gestion de la croissance des données

Mise en oeuvre d'un processus cohérent de retrait ou de consolidation d'applications une fois le délai d'utilisation expiré

Test/DévTest/Dév



Conditions requises pour la gestion des données tout au long de leur cycle de vie

Gouvernance des donnéesGouvernance des données Gestion de la qualité - Cycle de vie - Sécurité & ConfidentialitéGestion de la qualité - Cycle de vie - Sécurité & Confidentialité

Développement &Développement &TestTest

Recherche &Recherche &DéfinitionDéfinition

Optimisation, Archivage Optimisation, Archivage & Accès& Accès

Consolidation & Consolidation & RetraitRetrait

Mise en conformité avec les règles de rétention et de

reconnaissance électronique

Rationalisation du portefeuille

d'applications

Validation des résultats de testDéfinition de règles

Extraction de données archivées et rapports

d'archivage

Création et actualisation des données de test

Gestion de la croissance des

données

Classification et définition des

données et des relations

correspondantes

Développement des structures et du code de base de données

Optimisation des performances

Recherche de l'emplacement des

données



Problèmes issus du manque de protection et de sécurité des données

Délais limités, lourdeur de la réglementation, croissance des coûts de mise en conformité

– Les entreprises subissent des délais serrés de mise en conformité

– Elles doivent se conformer aux exigences réglementaires de confidentialité dans les délais impartis et de façon rentable

Les exigences de confidentialité/sécurité par rôle utilisateur augmentent la complexité

– L'accès aux données de l'entreprise s'effectue selon les différents rôles (facturation, soins médicaux) pour les données sensibles

– Les solutions ad hoc se limitent souvent à la réplication de sous-ensembles d'informations, répondant aux exigences de rôles

Les approches manuelles entraînent un accroissement du risque et de l'efficacité

– Les solutions internes sont inefficaces ; elles ne sont appliquées que pour masquer les données structurées et non structurées

– Des processus manuels complexes sont utilisés pour identifier les données sensibles, pour réaliser des audits de sécurité et pour effectuer le suivi des accès utilisateurs



Sécurisation et protection des données au sein de la chaîne logistique d'informations

Compréhension des données d'entreprise

Protection des données à l'échelle de l'entreprise dans son ensemble, en tenant compte des menaces internes et externes

Maîtrise de l'accès aux informations (questions Qui, Quand, Comment, Pourquoi ?)

Surveillance de l'accès aux bases de données à des fins d'audit, et reporting correspondant

Recherche & DéfinitionRecherche & DéfinitionSurveillance & AuditSurveillance & Audit

Sécurisation & ProtectionSécurisation & Protection

Test/DévTest/Dév



Principales disciplines impliquées dans la gouvernance des donnéesPrincipales disciplines impliquées dans la gouvernance des donnéesGestion de la qualité - Cycle de vie - Sécurité & ConfidentialitéGestion de la qualité - Cycle de vie - Sécurité & Confidentialité

Conditions requises pour la gestion de la sécurité et de la protection des données

Recherche &Recherche &DéfinitionDéfinition

Sécurisation &Sécurisation &ProtectionProtection

Surveillance Surveillance & Audit& Audit

Définition de règles et de mesures

Masquage de données confidentielles au sein

d'environnements hors-production

Evaluation des vulnérabilités

des bases de données

Classification & définition des différents

types de données

Sauvegarde des données sensibles de

documents

Surveillance et mise en place des règles

d'accès aux bases de données

Recherche de l'emplacement des données sensibles

Protection des données d'entreprise

contre les accès (autorisés ou non)

Audit et reporting de mise en conformité



InfoSphere : gouvernance de l’information collaborative

Un fournisseur de solutions unique pour optimiser la chaîne Un fournisseur de solutions unique pour optimiser la chaîne logistique d'informationslogistique d'informations

Capacité de réutilisation et cohérence• Métadonnées et règles partagées

Vaste portefeuille • Trois disciplines principales de

gouvernance des données

Points d'entrée de déploiement modulaire• Prise en charge des priorités de

l'entreprise et des priorités informatiques

Prise en charge souple des environnements d'entreprise

• Technologie ouverte pour environnements hétérogènes



Entreprise 3 Royaume-Uni : Implémenté en tant que méthodologie de chaîne logistique d'informations, afin d'offrir des mesures aux utilisateurs métier (plus de 700 millions de transactions chaque jour)

Augmentation de la productivité de 60 %



Aviva Healthcare L'entreprise a utilisé InfoSphere Guardium Data Redaction pour la mise en conformité avec les réglementations PCI-DSS (Payment Card Industry Data Security Standard) et DPA (Data Protection Act) concernant la gestion des informations d'historique

Augmentation de la précision des données :+ 97 %



Dell Cette entreprise a mis en oeuvre InfoSphere Guardium pour la sauvegarde de ses serveurs de bases de données répartis géographiquement, et pour la rationalisation de ses processus de mise en conformité. Dell a ainsi élaboré un processus de surveillance structuré, utilisé pour le suivi des modifications et de l'activité de base de données et pour la simplification du reporting de mise en conformité réglementaire.

Protection de + de 300 serveurs de bases de données



Pour réussir dans l'environnement numérique que nous connaissons actuellement, les entreprises doivent adopter et déployer une stratégie de

gouvernance des données permettant de gérer la croissance et d'obtenir une

solidarisation entre les personnes, les logiciels et les processus.

Pour réussir dans l'environnement numérique que nous connaissons actuellement, les entreprises doivent adopter et déployer une stratégie de

gouvernance des données permettant de gérer la croissance et d'obtenir une

solidarisation entre les personnes, les logiciels et les processus.

Solution logicielle éprouvée avec points d'entrée de déploiement modulaire

Centre d'excellence de la gouvernance, + de 250 professionnels répartis dans le monde entier

Modèle de maturité testé sur le marché, avec évaluation organisationnelle

Une gestion plus intelligente des informations d'entreprise : non seulement nous pouvons y parvenir, mais nous devons y parvenir.

““La gouvernance des données est un La gouvernance des données est un processus qui vous permet de faire processus qui vous permet de faire plus avec moins, et de tirer plus avec moins, et de tirer pleinement profit de vos actifs pleinement profit de vos actifs informationnels. IBM peut vous aider informationnels. IBM peut vous aider à mettre en oeuvre ce processus et à à mettre en oeuvre ce processus et à en retirer des résultats réels”.en retirer des résultats réels”.

- Steve Adler, Program Director, IBM Data Governance (Directeur des programmes de

gouvernance des données IBM), juillet 2010

Utilisation de l'expérience d'IBM et de sa position de leader



www.ibm.com/software/data/infosphere

Documents

IBM : Gouvernance de l\'Information - Principes & Mise en oeuvre