Des processus de gouvernance des données efficaces pour une plus forte valeur métier
Les DSI sont confrontés à un défi commun : la définition d’un programme de gouvernance de l’information qui permette aux organisations de passer à l’ère des données, tout en maintenant la sécurité IT et en assurant la conformité lors de sa mise en œuvre.
De nos jours, les organisations sont submergées par une quantité de données jusqu’à présent inégalée. Les défis posés sont aggravés par l'évolution de la législation, telle que le règlement général sur la protection des données (RGPD), qui depuis son introduction en mai 2018, a exigé d'importants changements concernant le stockage et le traitement des données des citoyens de l'UE.
Les DSI actuels sont par conséquent face à un défi commun : la définition d’un programme de gouvernance de l’information qui permette aux organisations de passer à l’ère des données, tout en maintenant la sécurité IT et en assurant la conformité lors de sa mise en œuvre.
Le succès d’un tel programme requiert la collaboration de l’ensemble des équipes dirigeantes, des directeurs des systèmes d'information (DSI), des responsables de la sécurité des systèmes d'information (RSSI), des responsables des données ou chiefs data officers (CDO) et des responsables des contenus ou chiefs content officers (CCO) dont le rôle est stratégique. Si les organisations attribuent cette tâche uniquement au CDO, cela peut ne pas avoir l'effet souhaité, car elles ne disposent souvent pas de l'autorité et des ressources nécessaires. Selon Gartner, 90 % des grandes entreprises auront embauché un CDO d’ici fin 2019 pour libérer la valeur de leurs actifs, mais l’analyste estime que seule la moitié verra des résultats concluants à cet égard.
Un programme de gouvernance de l'information axé sur la valeur
Le concept de gouvernance de l'information est né de la conformité, et concerne la protection et la conservation des données selon des normes spécifiques. Cependant, l’ère de l’augmentation conséquente du volume des données a conduit à l’évolution de la gouvernance de l’information pour inclure la gestion d’autres types de données, celles dites non sensibles. Un rapport récent du Compliance, Governance and Oversight Council (CGOC) indique en effet que 60 % des données de l'entreprise n'ont aucune « valeur commerciale, juridique ou réglementaire ». Si une organisation conserve une quantité trop importante de données, cela complique la protection des plus sensibles d’entre elles, augmente les coûts de stockage et empêche de localiser les informations nécessaires parmi des milliers de fichiers. Disposer d’un programme global de gouvernance permet de répondre à ces problématiques.
La visibilité sur le contenu de l'entreprise est en effet un aspect fondamental de la gouvernance et inclut la possibilité de découvrir différents types de données, de les classer efficacement et avec précision, et de définir des fichiers ROT (redondants, obsolètes ou inutiles) sur des sources de données critiques. Les équipes IT peuvent alors nettoyer les données superflues, améliorer la gestion des sauvegardes et les capacités de recherches. Une telle approche est applicable à des secteurs d'activité critiques et des mesures peuvent être définies en fonction de leur niveau de performance. Par exemple, des analystes d'Osterman Research suggèrent comme indicateurs les coûts de stockage et du processus de découverte électronique, ainsi que la productivité des utilisateurs. Ils estiment ainsi qu'une gouvernance des informations efficace permettrait à une entreprise de 2 500 employés d'économiser 52,8 millions de dollars sur une période de 5 ans.
Mise en œuvre d’une gouvernance efficace de l'informationLe développement d'un programme de gouvernance de l'information adapté peut poser des problèmes pour les DSI et les RSSI, car il modifie la manière dont les organisations traitent leurs données. Toutefois, quelques conseils pratiques permettent de répondre à cette problématique :
Établir des indicateurs – Pour ce faire et pour fixer des objectifs opportuns, il est important de bien calculer le montant des dépenses. En effet, pour évaluer les coûts de stockage, les entreprises doivent inclure les coûts des téraoctets utilisés, de la main-d'œuvre nécessaire à la gestion des systèmes, ainsi que de l'espace pour les héberger. Elles doivent prendre en compte la taille moyenne des e-mails, le nombre d'employés, les systèmes de fichiers, ou encore le nombre total d'installations SharePoint, puis multiplier tous les paramètres par le taux de croissance annuel. Les organisations pourront ainsi évaluer les économies réalisées avant et après la mise en œuvre du programme de gouvernance.
Déployer les technologies adéquates – Il est essentiel de mettre en place une combinaison de technologies permettant à une entreprise de comprendre différents types de données et de maintenir des contrôles de sécurité tout au long de son cycle de vie. La première commence par une classification automatisée des données qui couvre la plus grande variété de ressources d’information des organisations. Ces dernières doivent choisir des solutions capables d’identifier avec précision les données sensibles et complexes telles que les fichiers PDF propriétaires, par exemple. L’outil doit également pouvoir identifier le contenu dupliqué ou non pertinent à l'échelle de l'entreprise, et qu’il puisse s'intégrer aux solutions de sécurité telles que les outils de prévention des pertes de données (DLP) ou les technologies d'audit, ainsi qu'aux sources de données requises.
Implémenter un programme de suppression justifiée des données – Ce procédé réduit les risques en éliminant les informations conformément aux obligations légales et aux directives de l'entreprise. Il garantit également la suppression d'informations inutiles. Alors que de nombreuses organisations procèdent à des audits annuels de leurs archives selon les normes de conformité, ce type d'activité devrait être mené plus régulièrement et couvrir à la fois des données sensibles et celles qui ne le sont pas.
La gouvernance de l’information constitue une étape essentielle dans l’accroissement de la maturité globale des données, toujours plus nombreuses, d’une organisation. Une stratégie efficace de leur gouvernance aidera ainsi les équipes IT et de sécurité à exprimer la valeur d'un tel programme aux équipes dirigeantes, et à garantir que la valeur est dérivée des données de l'entreprise sans compromettre la sécurité ou la conformité.