Gestion des données de votre entreprise que risquez vous?

Préparé pour :

INTELLIGENT BUSINESS STRATEGIES

LIV

RE

BLA

NC

Gouvernance, Risques et Conformité Le rôle de la gestion des données dans la diminution des risques

Par Mike Ferguson Intelligent Business Strategies

Août 2011

Gouvernance, Risques et Conformité - Le rôle de la gestion des données dans la diminution des risques

Copyright © Intelligent Business Strategies Limited 2

Table des matières

Introduction à Gouvernance, Risques et Conformité ............................................................................ 3 Qu’est-ce que la gestion des risques d ’entreprise ? ............................................................................. 5 Les problèmes de données qui contribuent au risque .......................................................................... 8

Risques liés à la qualité des données ...................................................................................... 8

Risques liés à la confidentialité des données .......................................................................... 9

Risques liés à la maintenance non autorisée de données ..................................................... 9

Risques liés à la synchronisation des données .................................................................... 10

Risques liés à la correction des données ............................................................................. 10

Utilisation du Data Management pour la réduction des risques ........................................................ 11

Questions culturelles et organisationnelles .......................................................................... 11

Identifier les données à risque et l’impact sur l’activité ........................................................ 11

Définir des politiques destinées à gérer les données à risque ............................................ 12

Déterminer où les données à risque se situent .................................................................... 13

Prévenir des risques liés aux données ................................................................................. 13

Application des politiques de gestion des risques liés aux données .... 14

Sourçage des risques de données .......................................................... 16

La surveillance des risques liés aux données ......................................... 16

Mise à jour des données après un événement à risque ...................................................... 17

Conclusions ........................................................................................................................................... 18

Introduction au programme « Gouvernance, Risques et Conformité - GRC »

Au cours de la dernière décennie, nous avons observé un nombre important de défaillances au sein de grandes entreprises dans divers pays à travers le monde. Certaines de ces défaillances ont été le fait de mauvaises pratiques de gestion (également connues sous le nom de gouvernance). Cela s’est traduit par de nouvelles lois et réglementations de conformité qui ont été mises en place pour tenter d’obliger les entreprises à réhausser la barre en termes de qualité de processus ou de pratiques. Ces dernières années, c’est l’effondrement de tout le secteur des services financiers qui a beaucoup attiré l’attention. Dans ce cas-là, la plupart des banques se sont effondrées du fait de mauvaises pratiques dans la gestion des risques de crédit. Prêter de l’argent à des clients à haut risque sur le marché hypothécaire des prêts a finalement abouti à ce que bon nombre de ces clients ne soient pas en mesure de payer leurs hypothèques. En conséquence, de nombreuses banques se sont effondrées ou ont été reprises par les gouvernements ou par d’autres banques.

Après ces retombées, les préoccupations des entreprises se sont concentrées autour de trois domaines étroitement liés :

• La gouvernance d’entreprise • La gestion des risques • La conformité dans l’entreprise

Ensemble, ils sont connus sous l’appellation « Gouvernance, Risques et Conformité » (GRC). Wikipédia fournit un excellent schéma (voir Figure 1) de ces trois domaines et de la façon dont ils s’intègrent. Il montre également que la combinaison de la stratégie, des ressources humaines, des processus et de la technologie est nécessaire pour contrôler le problème de Gouvernance, Risques et Conformité.

Figure 1

Source: Wikipedia

Governance, Risk and Compliance

Diverses défaillances ayant été constatées ces cinq à dix dernières années, les entreprises accordent une plus grande attention en matière de Gouvernance, Risques et Conformité, afin de relever la barre et d’acquérir de meilleures pratiques.

Les sociétés ont besoin d’une stratégie de Gouvernance, Risques et Conformité pour les aider à gérer leur activité.



La gouvernance est le terme qui décrit la gestion et le contrôle de toute une organisation de manière globale. Elle exige d’utiliser davantage de structures de contrôle des informations de l’entreprise, impliquant responsabilité et approbation. La gouvernance nécessite également la normalisation et l’intégration des processus d’activité, ainsi qu’une meilleure gestion de l’information, rendue possible grâce à des projets de gestion de la performance ou de business intelligence.

La gestion des risques est l’ensemble des processus permettant d’identifier, d’analyser, et surtout d’éviter les risques qui pourraient empêcher une organisation d’atteindre ses objectifs commerciaux. Il s’agit également d’être en mesure de détecter rapidement les risques qui surviennent et d’y répondre en temps opportun afin de minimiser l’impact de ces événements à risque sur l’activité dans son ensemble. Le non-respect de la législation, la non-conformité aux réglementations et l’exposition aux risques de crédit sont les principaux risques dont traitent les domaines de Gouvernance, Risques et Conformité.

La conformité consiste à se conformer aux exigences prescrites. Ces exigences peuvent être spécifiées dans la législation (la loi américaine Sarbanes-Oxley Act par exemple), les réglementations de l’industrie (la réglementation Solvency II pour l’industrie de l’assurance, par exemple) voire dans les politiques d’entreprise. Une analyse de l’activité est nécessaire pour identifier les exigences de conformité, évaluer l’état de conformité actuel de l’organisation, et évaluer les risques et les coûts potentiels de la non-conformité vs les coûts d’une mise en conformité. La mise en conformité peut entraîner des changements dans les processus d’activité, le reporting, la surveillance des événements et des incidences, ainsi que la répartition des responsabilités au sein de l’organisation.

Une initiative de GRC est par essence clairement dépendante des données de l’entreprise. Les données sont en effet nécessaires pour gérer une entreprise, gérer les risques et aider une entreprise à rester en conformité. Les données elles-mêmes doivent être gouvernées de façon à rester correctes, complètes, fiables et clairement interprétées. Sans cela, une initiative de Gouvernance, Risques et Conformité ne peut pas être construite sur des bases solides. Dans un contexte de risques, les données doivent être sécurisés, leur accès doit être contrôlé et les données sensibles masquées pour le respect de la confidentialité. Dans un contexte de conformité, les données et les politiques concernant les données doivent être définies, maintenues, contrôlées et doivent être vérifiables par le biais de processus normalisés.

En analysant la figure 1, on remarque qu’une approche de Gouvernance, Risques et Conformité intégrée, globale et à échelle de l’entreprise est nécessaire. Et c’est l’alliance d’une stratégie efficace, de ressources humaines impliquées, de processus standardisés et de technologies performantes qui permet de tendre vers cet objectif. Étant donné que la capacité d’une entreprise à mettre en œuvre sa stratégie de Gouvernance, Risques et Conformité dépend des données, nous devons également appliquer la stratégie, les ressources humaines, les processus et la technologie aux données pour obtenir une base juste et fiable de Gouvernance, Risques et Conformité.

Dans ce deuxième livre de la série Gouvernance, Risques et Conformité, nous examinerons comment la gestion des données peut aider les entreprises à diminuer les risques, et comment cette stratégie de Gouvernance, Risques et Conformité s’inscrit dans une perspective commerciale. Le troisième et dernier livre de la série examinera comment la conformité s’applique aux données.

La gouvernance concerne la responsabilité et le contrôle

La gestion des risques vise à améliorer la capacité à atténuer les risques.

La quantité croissante des législations et de réglementations a amené beaucoup de sociétés à se soucier de la conformité.

Les sociétés ont besoin d’une stratégie de Gouvernance, Risques et Conformité.

Les ressources humaines, les processus et la technologie sont nécessaires pour mettre en oeuvre la stratégie de Gouvernance, Risques et Conformité.



Qu’est-ce que la gestion des risques d’entreprise ?

En novembre 2007, Standard and Poors (S&P) a officiellement suggéré la mise en place d’un nouvel outil d’analyse de la gestion des risques en entreprise. Leur intention était d’instaurer un dispositif de Gestion des Risques en Entreprise (GRE) permettant de noter les entreprises non financières, parallèlement aux mécanismes de notation déjà existants mais uniquement destinés à évaluer la gestion des risques dans les institutions financières. Au final, le dispositif imaginé pouvait s’appliquer aussi bien aux institutions financières qu’aux institutions non financières. Ce qui permettait d’en faire un dispositif global, apportant un éclairage sur la gestion des risques dans tous les secteurs de l’industrie. Depuis, S&P a créé ses propres dispositifs de gestion d’évaluation des risques, qui peuvent clairement avoir un impact négatif sur le prix des actions d’une entreprise si celle-ci n’est pas bien notée sur cette notion critique qu’est la gestion des risques. Notez que la GRE représente le « R » dans Gouvernance, Risques et Conformité. Il ne s’agit donc pas d’une notion autonome : les risques doivent être évités afin de rester en conformité, et les programmes de gestion de la performance doivent prendre en compte les risques. La question la plus évidente dans la gestion des risques d’entreprise est la suivante : votre société a-t-elle dressé un inventaire de tous les risques majeurs susceptibles d’influer sur sa capacité à rester solvable et à traiter en toute confiance ? Pouvez-vous prendre facilement connaissance des risques que la société a identifiés, l’impact commercial possible de ces risques et les moyens mis en œuvre pour les gérer ? Il existe de nombreux types de risques différents. S&P a proposé le classement suivant dans son document de 2007 :

Risques environnementaux

Risques financiers Risques d’approvisionnement

Risques de gestion Continuité d’affaires

Disponibilité en capital Prix des produits Gouvernance d’entreprise

Conjoncture commerciale Crédit/Contrepartie Chaîne d’approvisionnement Protection des données Environnemental Risque des marchés financiers Santé et sécurité des employés Procès en responsabilité Inflation Propriété intellectuelle Catastrophes naturelles/Météo Taux d’intérêt Conflits Pandémie Liquidité Pénurie de main-d’œuvre qualifiée Dommages physiques Administration et gestion/Restructuration Risque politique Complexité de gestion Réglementaire/Législatif Problèmes de sous-traitance

Source : Standard and Poors

Vous pourriez facilement prendre cette catégorisation élevée des risques à un niveau beaucoup plus bas. Par exemple, le risque concernant la sécurité des données peut être décomposé en confidentialité des données, accès sécurisé aux données, possibilité de récupération des données et données erronées. Quels que soient les risques auxquels vous êtes confrontés, ils doivent être documentés. Cependant, la GRE va beaucoup plus loin que cela. L’annonce faite en 2007 par S&P était clairement destinée à permettre de comprendre et d’évaluer la gestion des risques dans les sociétés publiques cotées.

Les sociétés cotées sont désormais évaluées sur leur capacité à contrôler les risques.

La gestion des risques d’entreprise est une composante clé de toute initiative de Gouvernance, Risques et Conformité.

Un inventaire de tous les risques importants et de leur impact sur l’activité est fondamental.



Le document Gestion des Risques d’Entreprises de S&P comprend les notions suivantes :

• Culture de gestion des risques et gouvernance • Contrôles des risques • Risques émergents • Gestion des risques stratégiques

La culture de gestion des risques et la gouvernance sont relatives à la mise en place d’un programme de GRE. Ce programme doit comprendre une vision de la gestion des risques, une position claire sur les mesures à appliquer vis-à-vis des risques et sur la tolérance aux risques, l’identification des personnels chargés de la gestion des risques et ceux chargés de la mise en place de rapports de gestion des risques destinés aux dirigeants et aux audits. Il doit également inclure des détails sur la façon dont l’entreprise mesure le succès de son programme de gestion des risques en utilisant les indicateurs clés de risques (ICR). En outre, il doit indiquer comment ces ICR affectent la rémunération des dirigeants et comment la gestion des risques intègre la gestion de performance de l’entreprise et la budgétisation. Ce dernier point est connu sous le nom de gestion du rendement pilotée par les risques. Le contrôle des risques est associé à la façon dont l’entreprise identifie et contrôle chaque risque majeur. Pour diminuer les risques, les entreprises doivent comprendre quels sont les risques principaux, quelles sont les limites pour chaque risque majeur et quels contrôles peuvent être mis en place pour respecter ces limites. Ces contrôles peuvent prendre la forme de processus d’approbation ou de poids et contrepoids, qui sont en réalité des moyens mettant en relation les risques pour mieux les contrôler. Les ICR permettent généralement de surveiller et de contrôler les risques majeurs. Il est également nécessaire de fixer des seuils d’ICR afin de s’assurer que les limites de risques sont connues et ne sont pas franchies. La gestion des risques doit être intégrée dans les processus de l’activité et la compréhension du risque doit être partagée avec les cadres dirigeants. Si les risques surviennent, il doit y avoir un processus pour gérer les pertes ainsi que les changements à apporter aux procédures GRE, et ce, afin d’éviter qu’une même perte ne se reproduise. Ces changements doivent eux aussi être contrôlés et vérifiables. Les risques émergents sont relatifs aux processus et procédures qu’une entreprise a mis en place pour diminuer les risques et se préparer à une catastrophe. Il peut y avoir plusieurs « catastrophes » potentielles définies, chacune ayant son propre degré de gravité. Les entreprises doivent identifier et classer les catastrophes par ordre d’importance, évaluer l’impact de chacune d’elles et mettre en place les plans d’urgence nécessaires pour être en mesure d’y répondre rapidement. Une entreprise doit notamment comprendre l’impact des risques sur ses liquidités et disposer de pratiques de gestion du risque de liquidité pour le contrôler. Dans ce sens, une entreprise a besoin de surveiller les événements externes ou internes et les tendances pour anticiper l’émergence desdites catastrophes. La gestion des risques stratégiques implique l’élaboration de plans stratégiques devant inclure une analyse de risque/performance lors de l’allocation des ressources. Cela implique également de tenir compte du risque lors de la prise de décisions stratégiques, du pricing ou encore de l’évaluation de la performance. Ce n’est pas par hasard si la gestion des risques est considérée comme le revers de la gestion de la performance en matière de prise de décisions stratégiques. On appelle parfois cela la Gestion de la Performance d’Entreprise corrigée du risque, où les tableaux de bord GPE de niveaux stratégiques comprennent à la fois des indicateurs-clés de performance (ICP) et des indicateurs-clés de risques (ICR). Il devrait être possible de voir un aperçu des risques sur un tableau de bord GPE

Des indicateurs clés de risques sont utilisés pour mesurer le succès d’un programme de gestion des risques.

Les seuils d’ICR permettent aux sociétés de déclencher des actions pour réduire au minimum l’impact d’un risque sur l’activité quand les niveaux de tolérance sont dépassés.

Le contrôle des risques permet d’empêcher l’occurrence de risques importants.

Il est important d’avoir des procédures testées et en place pour gérer les catastrophes.

La gestion de la performance d’entreprise ajustée aux risques est importante pour s’assurer que le risque est bien pris en compte lors de la prise de décisions stratégiques.



détaillant bien les risques pris en charge. Simplement parce que la gestion des risques concerne les décisions financières et qu’elle doit être prise en compte. Compte tenu de cette définition de la gestion du risque d’entreprise, il est évident que le succès de sa mise en œuvre dépend des données. Pour que la GRE fonctionne bien, ces données doivent être fiables et sécurisées. Comprendre que la question des données est associée à la gestion des risques est donc important, car ces questions peuvent augmenter la possibilité d’occurrence de risques ayant un impact préjudiciable sur l’activité de l’entreprise.



Les problèmes de données qui contribuent au risque

En ce qui concerne la gestion des risques, un certain nombre de questions sur les risques liés aux données doivent être traitées dans le cadre d’un programme de Gouvernance, Risques et Conformité. Cela permet d’éviter les problèmes de données engendrant des risques. Les problèmes de données sont généralement liés à :

• La qualité des données • La confidentialité des données • Le contrôle non autorisé de données • La synchronisation de données • La récupération de données

Examinons chacun de ces risques en détail.

Risques liés à la qualité des données Nous avons déjà vu que des données fiables sont nécessaires pour la GRE. En ce qui concerne la qualité des données, il ne fait aucun doute que des défauts dans les données peuvent occasionner des risques. Prenons un exemple dans le secteur de l’assurance : le risque assuré et/ou les données de réclamations étant introduits dans la catégorie « propension à la caducité », les modèles de prévisions auront pour résultat un trop grand nombre de clients marqués comme étant potentiellement défaillants. Cela signifie que les assureurs peuvent chercher à obtenir des renouvellements pour des clients à haut risque, et que les budgets marketing mis de côté pour la fidélisation des clients peuvent devenir mal ciblés. Le résultat est un risque accru de faire progresser les réclamations et les ratios de pertes dommageables. Autre exemple dans le secteur de l’industrie, des données de commande incomplètes et/ou imprécises peuvent causer des erreurs de planning au niveau de la production. Ces facteurs ont un impact sur les programmes de production et provoquent des erreurs de fabrication, y compris des ruptures d’approvisionnement ou une surproduction de produits finis. La surproduction augmente les coûts en énergie et en matériaux, ce qui est l’un des principaux soucis des directeurs financiers de fabrication. Ce problème peut également être causé par des données erronées au niveau des stocks disponibles. Bien que l’informatique ne soit pas responsable de ce que les utilisateurs professionnels entrent dans les bases de données et les applications, elle est néanmoins chargée du maintien qualitatif de données exactes et complètes dans les entrepôts de données. Des technologies de profilage et de nettoyage des données sont ainsi utilisées pour aider à identifier et à nettoyer les données de mauvaise qualité, ou pour empêcher que des données de mauvaise qualité n’aillent au-delà de l’opération de saisie de données. En outre, il est nécessaire que les responsables métier ou chefs de divisions surveillent la qualité des données de leurs propres domaines d’activité pour les empêcher de se détériorer. La technologie de surveillance de la qualité des données peut être utilisée pour les aider dans cette tâche.

La mauvaise qualité des données et le non-respect de leur confidentialité augmentent les risques pour l’entreprise.

Des défauts de données peuvent augmenter les risques de retards dans les processus et des coûts d’exploitation imprévus.



Une point clé toutefois, reste de savoir qui est responsable de ce qu’un tiers peut voir. Par exemple, si les responsables métier et les administrateurs de données à l’intérieur de l’entreprise contrôlent la qualité des données utilisées en interne, qui est responsable des données fournies aux clients, aux partenaires ou aux fournisseurs ? L’appropriation et la capacité à considérer ses données d’un point de vue extérieur sont également importantes. Il est donc recommandé d’avoir une vision plus étendue du périmètre de ses données et de ne pas restreindre la propriété des données à un système spécifique. Il est en effet beaucoup plus efficace d’associer la propriété des données à une entité de données de référence (les données des clients, par exemple) ou à un type de transaction (les commandes, par exemple), car ce type de propriété est à l’échelle de l’entreprise.

Risques liés à la confidentialité des données Le défi de la confidentialité des données est de partager les données tout en assurant une protection des informations personnelles. En outre, la confidentialité des données devient un problème de gestion des risques lorsque des données sensibles sont « dans la nature ». Ce genre de problème est connu comme étant une violation de la confidentialité des données, et c’est un problème qui devient particulièrement préoccupant lorsque des données client sont exposées ou se retrouvent entre de mauvaises mains. Les données sur les employés sont également sensibles. Les entreprises ont besoin d’anticiper les éventuels problèmes de violation de confidentialité des données et de faire tout leur possible pour les éviter. Les violations de confidentialité des données peuvent conduire à la fraude, à une forte insatisfaction d’un client, à la perte d’une opportunité d’affaires, voire à un procès en responsabilité ou à des sanctions réglementaires. Elles peuvent également ternir de façon notable une marque ou la réputation d’une société. La confidentialité des données ne se limite pas à la protection des données sensibles qui pourraient tomber dans de mauvaises mains en dehors de l’entreprise. Elle couvre en effet également l’exposition de données sensibles à des personnes non autorisées à l’intérieur de l’entreprise. Un certain nombre de sondages indiquent que des vols de données ou des infractions sur des données ont été attribués à des actions internes d’employés malveillants. Pour contrer ce problème, il doit y avoir moyen d’identifier et de masquer les données sensibles de façon à ce qu’elles ne soient pas vues par les utilisateurs professionnels non autorisés ou par des développeurs informaticiens. Dans ce dernier cas, ce sont souvent les données de tests qui peuvent poser problème. De nombreuses sociétés créent en effet des copies complètes de données de production dans le cadre de tests de qualité qui requièrent souvent l’utilisation de données de production. Le problème d’un tel procédé est l’introduction d’un risque potentiel d’exposition lorsque des données sensibles sont impliquées dans les tests. Si plusieurs ensembles de données de tests sont créés à partir de données de production, il y aura probablement plusieurs informations sensibles stockées dans des environnements de tests différents. Cela augmente les risques de vol de données sensibles par un employé malveillant.

Risques liés à la maintenance non autorisée de données Après les problèmes liés à la confidentialité des données viennent l’accès et la maintenance non autorisés de données sensibles par les employés. Du fait que des copies de données se retrouvent dans des systèmes opérationnels de divers départements, ce problème est souvent beaucoup plus difficile à gérer qu’il n’y paraît. Il exige une coordination de privilèges de sécurité à travers de multiples portails, applications et technologies de base de données. Il est en outre compliqué par le fait que de nombreuses applications ont, même aujourd’hui, leur propre modèle « maison » d’autorisation exclusive. En outre, les données à protéger peuvent être connues sous des noms différents dans les différents systèmes fondamentaux qui sous-tendent les processus d’activités de base de l’entreprise. Bien que de nombreuses entreprises passent progressivement à une authentification

Le fait d’être propriétaire des données est un facteur important du contrôle des données à risque.

Les données sensibles et confidentielles ont besoin d’être protégées contre les violations de confidentialité.

Il est important de masquer les données sensibles dans des environnements d’essai et de production.

Les copies superflues de données sensibles ou confidentielles doivent également être prises en compte.

La sécurité de l’accès aux données doit également être gérée pour empêcher la maintenance non autorisée de données sensibles par des employés.



et à des mécanismes d’autorisation communs (l’annuaire d’entreprise LDAP, par exemple), elles sont encore dans un statut hybride avec une authentification et un paysage d’autorisation complexe. Ce type de complexité laisse la porte ouverte aux violations de la sécurité d’accès aux données.

Toutes sortes de risques peuvent provenir de ces types d’infractions et notamment la fraude, les retards dans les processus dus aux défauts de données, les augmentations imprévues des coûts d’exploitation et le mécontentement des clients.

Risques liés à la synchronisation des données Le manque de synchronisation des données peut perturber toutes les opérations d’une organisation. Par exemple, les données clients sont exploitées à la fois pour la vente, le marketing, les services, les finances et la distribution. Les données produits sont quant à elles utilisées au niveau du développement des produits, de la planification, de la fabrication, des magasins et des applications de commerce électronique. Beaucoup de ces fonctions d’entreprise sont prises en charge par des systèmes d’application séparés, faisant de la synchronisation des données un enjeu majeur. Faire en sorte qu’une simple modification de donnée (changement du nom d’un client par exemple) se répercute sur tous les systèmes de l’entreprise tout en restant synchronisés peut s’avérer complexe. Si cela pouvait par le passé se résoudre avec une gestion « système par système » et une synchronisation fragmentaire, une approche commune est aujourd’hui nécessaire pour gérer ces modifications de manière standardisée et donc efficace.

Le manque de synchronisation peut augmenter les risques de retard dans les processus, et entraîner des défauts de données, des augmentations imprévues des coûts d’exploitation et le mécontentement des clients. Il peut également entraîner une augmentation du risque de crédit et un accès à des données erronées pour les tiers (les données de produits accessibles aux détaillants et aux échanges électroniques, par exemple) et les décideurs.

Risques liés à la correction des données Le problème de la correction des données est évident : si les données ne sont pas corrigeables, cela peut affecter les activités d’une société. Des processus peuvent être perturbés et s’interrompre, ce qui impacte sérieusement les coûts, les revenus et la confiance des clients. Cela peut sembler être une question simple à résoudre, mais en réalité cela s’avère bien souvent compliqué, car des données de référence (les clients, produits ou actifs par exemple) et de transaction (les commandes par exemple) peuvent avoir été transmises à plusieurs départements. Garantir l’intégrité et la possibilité de correction de certains types de données peut donc s’avérer beaucoup plus complexe que prévu. Maintenir l’échange et l’intégrité des données dans tous les systèmes de l’entreprise est néanmoins essentiel pour la continuité de l’activité.

Il s’ensuit qu’une sauvegarde ou une remise à jour de données peut être nécessaire dans les cas les plus graves. Par conséquent, être en mesure de sauvegarder et de corriger des données de base et de transaction, indépendamment de l’emplacement de ces données, est donc souhaitable. Bien qu’il ne s’agisse pas d’un procédé courant, de nombreuses entreprises aspirent à le faire, car cela simplifierait considérablement les pratiques actuelles tout en réduisant les risques. Le défi consiste à être capable d’identifier où sont situées toutes les données dans l’entreprise.

Un mécanisme commun d’authentification et d’autorisation a simplifié la gestion de la sécurité d’accès aux données.

Les erreurs dans la synchronisation des données augmentent le risque des retards de processus, des coûts d’exploitation non prévus et de mécontentement des clients.

Être en mesure de conserver ou de récupérer les données de référence ou de transaction, quel que soit leur emplacement dans l’entreprise, réduirait les risques de manière significative.



Utilisation du Data Management pour la réduction des risques

Dans la précédente section, nous avons identifié les différents types de risques liés aux données. Afin de réduire l’occurrence de tels risques, des projets de gouvernance et de gestion des données peuvent être envisagés. Nous avons déjà abordé la mise en œuvre la gouvernance des données dans le premier Livre blanc1 de cette série Gouvernance, Risques et Conformité. Dans ce livre-ci, nous allons plus particulièrement examiner la façon dont les personnes, les processus et les technologies de gestion des données peuvent servir à identifier et à gérer les données à risque.

Questions culturelles et organisationnelles La gestion des risques liés aux données fait indiscutablement partie de la gestion des risques d’entreprise (GRE), qui à son tour est un élément clé de la stratégie de Gouvernance, Risques et Conformité (GRC). Intégrer une initiative GRE ou GRC est donc un moyen de prendre conscience de l’importance de la gestion des données. La conscience génère l’intérêt, mais rendre les gens responsables implique les notions d’appropriation et de contrôle. Appliquer une méthodologie de prévention des risques qui permette d’identifier et de classer les risques liés aux données, ainsi que des procédures éprouvées de mise à jour des risques, crée une relation de confiance. Cela permet également de fournir les garde-fous nécessaires pour maintenir sous contrôle les risques liés aux données. Il est également important de reconnaître que la menace interne est réelle et dangereuse quand il s’agit de violations de données. En intégrant la gestion de l’enregistrement des e-mails, la découverte électronique (e-discovery) et la vérifiabilité des procédures de gestion des risques, il devient possible d’instaurer un climat de confiance au sein de l’entreprise ainsi qu’un environnement de données bien géré. Cela encourage également l’autodiscipline. Mettre en place un conseil de gouvernance de données 2 qui gère aussi la protection des données va clairement dans ce sens.

Identifier les données à risque et l’impact sur l’activité Afin de gérer les données à risque, il est nécessaire de définir au préalable les données de référence et de transaction utilisées dans l’entreprise, puis de mettre en évidence les éléments à risque de ces données. Nous avons vu dans le Livre blanc de gouvernance des données3 de cette série que cela se traduit par la création d’un vocabulaire métier partagé (VMP) des noms et définitions communes pour les données, incluant les contraintes d’intégrité des données. Le VMP se construit comme une véritable compilation d’entités spécifiques des données de référence et de données de transaction.

1,2,3 « Gouvernance, Risques et Conformité - Le rôle de la gouvernance des données dans la stratégie de Gouvernance, Risques et Conformité »

Les technologies de gestion des données peuvent être utilisées pour identifier et contrôler des données à risque.

La responsabilité induit la propriété et pose les bases du contrôle.

Une méthodologie de prévention des risques et une procédure testée de mise à jour du risque créent une relation de confiance.

Les sociétés ont besoin d’identifier les données à risque.

Avoir un vocabulaire d’affaires partagé facilite l’identification des données à risque.



Une fois que les données de référence et de transaction ont été définies au sein du VMP, il est donc nécessaire d’identifier les données dans le VMP considérés comme étant « à risque ». Les données à risque peuvent alors être associées à des menaces indiquant les dangers potentiels. Le tableau ci-dessous montre les types de données à risque et menaces associées :

Données à risque Risques potentiels des données (menaces)

Données saisies manuellement Défauts de qualité des données Données considérées comme sensibles ou confidentielles

Violation de la confidentialité des données

Données considérées comme d’accès restreint Accès non autorisé Données utilisées dans des applications multiples Erreurs de synchronisation Données considérées comme essentielles à l’activité de l’entreprise et à la prise de décision

Échec de correction

Par exemple, les données clients peuvent être considérées comme sensibles et donc potentiellement à risque en termes de violation de la confidentialité des données ou d’accès non autorisé. De la même façon, les données concernant les employés tels que les numéros de sécurité sociale ou les salaires peuvent être considérés comme confidentiels. Il peut également arriver que des données clients puissent être de mauvaise qualité du fait d’erreurs de saisie en interne, par les clients eux-mêmes ou encore par des partenaires sur Internet. Il est également important de comprendre l’impact des risques liés aux données sur l’activité. Par exemple, l’impact est-il financier ? Est-il opérationnel - et, si oui, quelles sont les ressources nécessaires pour résoudre le problème ? Débouche-t-il sur des infractions à la conformité réglementaire ou a-t-il un impact sur la marque de l’entreprise et sa réputation ?

Définition des politiques destinées à gérer les données à risque Les données à risque étant identifiées, l’étape suivante consiste à définir les politiques nécessaires pour réduire l’occurrence des risques liés aux données. Plusieurs types de politiques de diminution des risques liés aux données peuvent devoir être définis pour chaque donnée à risque. Il s’agit notamment des :

• Politiques de validation de la qualité des données • Politiques de confidentialité des données • Politiques d’un cycle de vie des données indiquant qui est autorisé à :

o Créer o Consulter o Mettre à jour o Supprimer

• Politiques de synchronisation des données • Sauvegarde des données et politiques d’archivage

Ces politiques peuvent également être délimitées par un périmètre de restriction visant à limiter la gestion des risques à une application spécifique utilisée dans une activité donnée, ou à des personnes se trouvant dans un secteur bien particulier de l’organisation. Toutefois, si les données couvrent plusieurs unités et systèmes de l’organisation, des politiques communes à toute l’entreprise doivent être appliquées.

Les données à risque peuvent être associées à des menaces

Comprendre l’impact des risques donne une priorité aux efforts de la gestion des risques.

Ces politiques doivent être définies pour chaque donnée à risque afin que les risques liés aux données puissent être gérés.



Déterminer où les données à risque se situent Après avoir identifié dans le VMP les données considérées à risque et défini les politiques à appliquer afin de réduire les risques liés aux données, le prochain défi consiste à déterminer l’emplacement exact de ces données dans l’entreprise. Cela comprend l’identification de toutes les données redondantes, qu’elles se situent au niveau des systèmes de production ou des systèmes de tests. Cela s’avère nécessaire, car si nous ignorons où se trouvent ces données, nous ne pouvons pas éliminer l’occurrence des risques liés aux données. Nous devons localiser les données, puis en établir la carte dans le VMP afin de déterminer :

• Quelle est la qualité des données ? • Est-ce que la confidentialité des données est appliquée sur des données

confidentielles et sensibles ? • L’accès autorisé aux éléments de données restreints est-il respecté dans

toute l’entreprise ? • La synchronisation de données fonctionne-t-elle sur tous les systèmes où

la donnée est utilisée, et est-elle effective ? • Les données critiques peuvent-elles être corrigées dans tous les systèmes

qui les utilisent ? Nous avons également besoin de savoir quel volume de données nous gérons au sein de chaque système. Le point clé ici est la nécessité de mettre en place des initiatives de découverte de données et de réaliser un mapping du VMP afin de localiser les données à risque dans toute l’entreprise. Cette tâche peut être réalisée manuellement ou automatiquement. Si elle est faite manuellement, la tâche de découverte prendra du temps et sera très coûteuse. Par conséquent, les plates-formes de gestion de données qui incluent un outil de découverte automatique pour localiser les données et les relations entre les données à travers plusieurs systèmes de l’entreprise offrent un avantage certain. Par un marquage automatique des données répertoriées au sein du VMP il devient possible pour ces outils de localiser des données signalées dans le VMP comme étant sensibles, confidentielles ou essentielles pour l’activité - et de déterminer si les politiques relatives à la qualité des données sont respectées.

Prévention des risques liés aux données Après avoir localisé les données à risque dans toute l’entreprise, l’étape suivante consiste à impliquer les personnes, à mettre en œuvre des processus et des technologies de gouvernance et de gestion des données afin de prévenir l’occurrence des risques liés aux données. Cela peut se traduire par :

1. L’application de politiques de gouvernance des données et de gestion des risques liés aux données pour en réduire les effets

2. L’identification de la source ou de la cause de chaque risque liés aux données, et la mise en œuvre de politique de conduite du changement pour réduire les risques de récidive

3. La surveillance des risques liés aux données pour vérifier l’efficacité des politiques et procédures de diminution des risques.

Les données à risque doivent être localisées afin de pouvoir gérer correctement les risques.

La technologie de découverte des données permet de localiser rapidement les données à risque.



Application des politiques de gestion des risques liés aux données La première politique à appliquer concerne les données à risque qui ont déjà été identifiées au sein de l’organisation. Cela implique de partager les métadonnées entre les différents outils d’une plate-forme de gestion des données qui aura été mise en place. La figure 2 représente une plate-forme de gestion de données, telle que présentée dans un autre livre blanc de cette série Gouvernance, Risques et Conformité, traitant de la gouvernance des données4. A noter que des outils supplémentaires de gestion des données ont été ajoutés en plus de ceux déjà mentionnés dans le premier document. Il s’agit notamment d’un outil de masquage des données confidentielles, d’un outil de sauvegarde et de correction des données et d’un outil de gestion de la sécurité des données pour gérer les autorisations sur plusieurs systèmes. Les outils nécessaires pour appliquer la politique aux données à risque sont indiqués en rouge.

Figure 2

La clé de la réussite d’un tel projet réside dans le partage des métadonnées entre l’outil de découverte des données et les outils de gestion des données mis en évidence dans la plate-forme. La découverte automatisée de données permet de trouver des entités complètes de données à travers des systèmes hétérogènes. Cela implique par exemple l’identification de toutes les données client et les relations entre ces données au sein de l’entreprise, et ce, peu importe leur localisation. Ce phénomène est illustré sur la figure 3.

4 « Gouvernance, Risques et Conformité - Le rôle de la gouvernance des données dans la stratégie de Gouvernance, Risques et Conformité »

Data & Metadata

Relationship Discovery

Tools

Data Quality

Profiling & Monitoring

Tools

DataCleansing

& Matching

Tools

Data Privacy

Masking Tool

sharedmetadata

All tools in the Data Management Platform share a common repository

BusinessGlossary

Tool

A shared business vocabulary is defined and documented using a business glossary tool. Also, approval processes can be created here.

Using The Enterprise Data Management PlatformFor Data Risk Management

Data Security Manage

ment tool

Data Backup and

RecoveryTool

Data Governance / Management Console

Dans une plate-forme technologique de gestion des données, des outils peuvent être utilisés pour appliquer les politiques de gestion des risques.

La plate-forme de gestion des données est une suite d’outils qui accèdent à des métadonnées partagées

La découverte automatisée de données permet de trouver des entités complètes de données à travers des systèmes hétérogènes



Figure 3

En trouvant des pools complets de données (un client, un produit ou une commande, par exemple), il devient possible de gérer les risques au niveau de l’entité, indépendamment de l’endroit où se trouvent les données. Si l’on prend l’exemple d’un ensemble de données correspondant à un client, il devient possible de gérer la qualité, la confidentialité, la sauvegarde, la sécurité d’accès, la correction et la synchronisation des données de ce client. Grâce à la localisation des données par la technique de découverte des données et l’établissement des correspondances sur un VMP, il devient possible d’identifier les politiques de gestion des risques de données (qualité, confidentialité, accès sécurisé, etc.) qui sont relatives à un pool de données en particulier. Par conséquent, en partageant les métadonnées générées pendant la découverte des données avec d’autres outils de gestion de données, il devient possible d’appliquer des politiques déjà définies pour gérer les risques liés aux données. C’est ce que nous retrouvons sur la figure 4. Afin de prévenir les risques liés à la qualité des données, les métadonnées de mauvaise qualité peuvent être traitées avec des outils de gestion de la qualité des données pour les rendre fiables. De même, afin de prévenir les infractions à la confidentialité des données, les métadonnées sensibles et confidentielles peuvent être protégées avec des outils spécifiques, permettant de masquer ces données dans les systèmes où elles se trouvent et de gérer la production de pools de données test. Il devient également possible de sauvegarder des pools complets de données, indépendamment de leur localisation, tout simplement parce que la découverte des données a permis d’identifier tous les éléments des données et leur environnement parmi les systèmes hétérogènes de l’entreprise.

Automated Data Discovery Seeks To Find Complete Business Data Entities Across Heterogeneous Systems

Automated grouping of tables across multiple systems into business entities

Customer

Copyright © Intelligent Business Strategies, 2010

Cela signifie qu’il devient possible de savoir où se trouvent toutes les données à risque

En partageant la localisation de toutes les données à risque avec d’autres outils de gestion des données, il devient possible d’appliquer aux données les politiques de gestion des risques dans l’entreprise.



Figure 4

Identification desSources de risques de données En plus d’appliquer des politiques de gouvernance, de gestion et de contrôle de données, il est également très important de déterminer la source des risques liés aux données pour empêcher de futures occurrences. La source (cause) de données à risque peut être un employé, un utilisateur externe (un client, un partenaire ou un fournisseur, par exemple), une application ou un script s’exécutant à l’intérieur de l’entreprise ou en dehors de l’entreprise (dans le cloud, par exemple) ou sur un système client ou partenaire. Plus rare mais possible, une catastrophe naturelle peut également être la cause de situations de données à risques. Une fois la source identifiée, il est nécessaire d’apporter des modifications au niveau des procédures pour aider à diminuer les risques à l’avenir. Il pourrait même être justifié de prendre une assurance contre un risque lié aux données, si le coût de remise à niveau ou de correction s’avère élevé. Par exemple, il peut être nécessaire de modifier les procédures afin d’introduire des options de confidentialité et de nettoyage des données, si les données sont saisies au clavier ou sur la base d’événements. Un conseil de sécurité des informations, impliquant un processus formel d’approbation, peut également être mis en place pour régir la sécurité d’accès aux données et la lier à des contrôles internes.

La surveillance des risques liés aux données La dernière étape dans la prévention des risques liés aux données consiste à surveiller et contrôler les risques.. Ce qui implique la mise en place d’indicateurs de risque mettant en évidence leur fréquence et leur gravité. Des rapports de gestion de risques et des tableaux de bord graphiques sont nécessaires pour permettre aux personnes désignées comme responsables de surveiller les risques dans leurs domaines respectifs. Ces fonctions de suivi des risques pourront être intégrées aux rapports de surveillance de la qualité des données existants afin de permettre une surveillance centralisée.

Using Automated Data Discovery And Data Management Tools To Mitigate Data Risks

Copyright © Intelligent Business Strategies, 2010

customer

Data Discovery Tool

Data sources

Data Profiling ToolData Cleansing Tool

Prevent data defects by automating data quality assessment and data cleansing of discovered at-risk data

Backup and Recovery Tool

Automate backup & recovery of complete data entities

Data Privacy Tool

Prevent data privacy breaches by masking discovered sensitive/ confidential data & generating test data

Data Security Admin Tool

Prevent data access security violations by managing authorised access to complete data entities across the enterprise

metadata

metadata

Les risques liés aux données peuvent être recherchés à la source et des modifications peuvent être apportées pour réduire d’éventuels risques supplémentaires.

Le suivi des risques permet aux entreprises d’en garder le contrôle.



Mise à jour des données après un événement à risque Outre l’utilisation de technologies de gestion de risques, il est nécessaire d’établir des procédures de redressement, dans le cas où des risques se produiraient. Par exemple, il devrait être possible d’identifier les activités frauduleuses résultant d’une violation de confidentialité des données et de localiser facilement le risque lié aux données (les données sensibles non masquées, par exemple). Les liens entre les métadonnées rendent notamment cela possible. Les entreprises doivent pouvoir avoir confiance en leurs procédures de redressement. Ce qui implique d’être en mesure d’identifier rapidement la source du risque, de localiser les données, de les corriger, de masquer et/ou de sécuriser l’accès à ces données et d’être en mesure de faire un rapport sur toute l’activité liée au redressement. Les procédures de redressement doivent être documentées, communiquées largement et si possible automatisées. Tester ses procédures de contrôle et de redressement est un facteur clé de réussite d’un projet de correction et de mise à jour des données. Cela apporte une certaine confiance et sérénité aux entreprises, qui améliorent ainsi leur réactivité et réduisent au minimum l’impact sur leur activité. Il est également important de connecter des fonctionnalités comme la découverte électronique dans tout processus de redressement pour être en mesure de récupérer toutes les communications liées pouvant avoir eu lieu avant et après l’événement qui s’est produit.

Des procédures éprouvées de redressement aident les entreprises à agir rapidement pour minimiser l’impact économique.



Conclusions Il ne fait aucun doute que la gouvernance et la gestion des données jouent un rôle important dans la diminution des risques. Avant tout, une stratégie de gestion des risques et une méthodologie pour la gestion et la prévention des risques de données doivent être établies. Il est également primordial que vous sachiez où sont vos données, afin d’avoir en permanence la possibilité d’identifier les données à risques, de les classer et de définir des politiques pour gérer ces risques. Etablir un vocabulaire métier partagé (VMP) est un point de départ essentiel. L’existence d’un VMP vous permet de définir systématiquement les données de référence et de transaction ainsi que toute politique associée de gestion des risques à appliquer à ces données. En faisant usage des outils de découverte des données dans une plate-forme de gestion des données, les données de référence et transactionnelles définies en commun peuvent être localisées dans l’entreprise et stockées dans le VMP. Une fois cette tâche accomplie, il est possible d’obtenir une vision globale de toutes les données à risque de l’entreprise. À ce stade, vous pouvez déterminer si les politiques de gestion des risques (et autres politiques de gouvernance des données) sont mises en application dans les systèmes sous-jacents qui abritent les données à risque identifiées. Si ce n’est pas le cas, il devient possible d’appliquer de telles politiques, de rechercher la cause des risques et d’apporter les changements nécessaires pour prévenir d’autres risques. Étant donné que les plates-formes logicielles de gestion de données fournissent une grande partie des outils pour atteindre ce résultat, il est difficile d’admettre que des entreprises n’investissent pas dans de tels outils. Enfin, établir la responsabilité et la propriété des données au sein de l’organisation implique que des personnes seront responsables de la surveillance des risques liés aux données. Ceci, associé à des procédures éprouvées de redressement du risque, doit amener au sentiment que l’organisation est sous contrôle et peut réussir sa stratégie de gestion des risques. Le présent article se concentre sur la gestion des risques dans un programme de Gouvernance, Risques et Conformité. Dans le prochain article de cette série, nous aborderons le thème de la conformité.

Gouvernance et gestion des données jouent un rôle crucial dans la diminution des risques.

Un vocabulaire d’affaires partagé vous permet de définir systématiquement les données élémentaires, de signaler les données à risque et de définir des politiques de gestion des risques.

Une plate-forme de gestion des données vous aide à définir et à appliquer les politiques de contrôle des données à risque dans l’entreprise.



À propos d’Intelligent Business Strategies Aujourd’hui, les entreprises prospères sont celles qui savent assimiler les nouvelles technologies de l’information et les utiliser efficacement dans leur activité. Mais face à tant de nouveaux développements technologiques comment les utilisateurs d’informatique et les professionnels peuvent-ils suivre ? Intelligent Business Strategies est une société de recherche informatique et de conseil dont le but est d’aider les entreprises à comprendre et à exploiter les nouveaux développements en business intelligence, traitement analytique, gestion des données et intégration d’entreprise. Ensemble, ces technologies permettent à une organisation de devenir une entreprise intelligente.

Mike Ferguson est le Directeur général d’Intelligent Business Strategies Limited. En tant qu’analyste et consultant, il est spécialiste en business intelligence et en intégration d’entreprise. Avec plus de 29 ans d’expérience dans le domaine IT, Mike a collaboré avec des dizaines d’entreprises concernées par des problématiques de business intelligence, de gestion des données et d’intégration d’entreprise. Il est intervenu lors de manifestations dans le monde entier et a écrit de nombreux articles. Mike est un expert local sur le Réseau B-EYE, proposant des articles, des blogs et ses points de vue sur l’industrie. Auparavant, il a été Directeur et co-fondateur de Codd and Date Europe Limited - les inventeurs du modèle relationnel, architecte en chef à Teradata et Directeur général Europe de Database Associates. Il enseigne dans des masters de veille stratégique opérationnelle et de gestion de la performance, de gouvernance de données d’entreprise, de gestion des données de référence et d’intégration opérationnelle d’entreprise.

URL Internet : www.intelligentbusiness.biz E-mail: [email protected]

Série Gouvernance, Risques et Conformité - Le rôle de la gestion des données dans l’atténuation des risques

Copyright © 2010 par Intelligent Business Strategies Tous droits réservés

Intelligent Business Strategies 2nd Floor, Springfield House

Water Lane, Wilmslow Cheshire SK9 5BG

Angleterre Téléphone : (+44)-1625-520700

INTELLIGENT BUSINESS STRATEGIES

http://www.intelligentbusiness.biz/

mailto:[email protected]

Technology

Gestion des données de votre entreprise que risquez vous?