Gouvernance des données dans le cloud : comment l’aborder

Si bien sûr chaque entreprise est différente, tour d'horizon de huit bonnes pratiques en termes de gouvernance des données dans le cloud.

En se développant, le cloud a mis en évidence tout le potentiel qu’il pouvait présenter pour des prises de décisions basées sur une analyse et une utilisation pertinentes des données disponibles. Le succès du cloud hybride, qui vient moderniser les infrastructures existantes, en est du reste le témoignage ces derniers mois.

Néanmoins, si les entreprises sont désireuses de tirer pleinement parti des capacités du cloud et de l'analyse de leurs données, elles sont encore plus soucieuses d’en assurer la sécurité et la disponibilité, et ce d’autant plus que l’environnement législatif, en Europe tout comme aux Etats-Unis, vient encadrer toujours plus strictement la gestion des données personnelles.  Éditer et suivre des règles pertinentes de gouvernance de données semblent, à la fois pour l’entreprise et son fournisseur de cloud, des étapes et mesures essentielles pour relever ces défis et assurer la conformité demandée.

L’étendue de la gouvernance via le cloud

Pour réduire les risques de sécurité et garder une traçabilité de ces données, il convient d’établir et de respecter des règles de gouvernance qui viennent renforcer aussi bien  la classification et le catalogage des données, le contrôle des accès, la gestion de la qualité des données et le suivi des flux de données à travers toute l’entreprise : autant de compétences que chaque entreprise est en droit d’attendre de son  fournisseur de cloud. La gouvernance dans le cloud passe donc par différentes considérations et compétences, qu’elles touchent à la sécurité des infrastructures, leur fiabilité, la sécurité des données et la garantie de leur intégrité via des technologies de contrôle d’accès et d’identité.

Des règles à éditer et respecter par et dans l’entreprise

Néanmoins, l’entreprise ne doit pas manquer non plus à ses obligations, et doit mettre en place un ensemble de ressources, process et technologies qui garantira la conformité aux obligations légales. Par ailleurs,  plus une entreprise génère des données et les transfère vers le cloud, plus il est nécessaire qu’elle envisage une approche globale de la gouvernance de ces données. Pourquoi ? Parce qu’une bonne gouvernance des données peut inspirer confiance aux clients et permettre à l’entreprise de générer davantage de valeur à partir de ses données, de proposer des offres plus compétitives, et d’améliorer, par exemple, l’expérience client.

8 bonnes pratiques de gouvernance

Si bien sûr chaque entreprise est différente, il semble que les bonnes pratiques en termes de gouvernance des données dans le cloud sont au nombre de huit et peuvent se résumer ainsi. 

  1. Découverte et évaluation des données (ou data discovery en bon français !) : les environnements cloud permettent de créer et de gérer des lacs de données de façon économique, mais la migration non gérée des actifs de données reste un facteur de risque.  Améliorer les processus de data discovery ; identifier les actifs de données dans un environnement premier, hybride ou multicloud, permet en outre de tracer et enregistrer chacun de ces actifs selon leur origine, leur parcours et leurs métadonnées d’objet, et identifier ainsi les transformations survenues. 
  2. Classification et organisation des données : l’évaluation efficace des actifs de données et leur catégorisation sont des points clés pour organiser ses données. Quel est le niveau de sensibilité des données ? Sont elles privées ou publiques ? Confidentielles, personnelles et/ou relevant de la propriété intellectuelle? Répondre à ces questions permet de classifier les données selon leur caractère plus ou moins critique et ainsi spécifier les stratégies et procédures de gouvernance qui doivent s’appliquer.
  3. Inventaire des données et gestion des métadonnées : Une fois les actifs de données évalués et classés, il est essentiel de les documenter de les répertorier pour à la fois avoir une visibilité d’ensemble de celles-ci mais également permettre leur utilisation et leur traitement si et quand nécessaire, dans le strict respect des règles et norme de conformité. 
  4. Gestion de la qualité des données : de la qualité et de l’intégrité des données ainsi que de leur inventaire va dépendre leur analyse et in fine leur utilité. Cette gestion doit comprendre la mise en place de contrôles pour la validation, la suivi de la qualité et la création de rapports, et la capacité, en amont de possibles incidents, d’en évaluer le niveau de gravité, d’en déterminer leurs causes premières, de les suivre et d’y remédier. 
  5. Gestion de l’accès aux données : la gouvernance de l’accès aux données repose sur deux piliers. Premièrement, la mise à disposition d’un accès défini et documenté aux actifs disponibles pour l’entreprise dans ‘son’ cloud. Deuxièmement, la prévention contre les accès irréguliers ou non autorisés. Il est essentiel de définir des identités, des groupes et des rôles, et d’attribuer des droits d’accès pour établir un niveau d’accès maîtrisé. Cette bonne pratique implique de pouvoir gérer les services d’accès, et d’assurer l’interopérabilité avec les services de gestion des accès et des identités (IAM) du fournisseur de cloud. Et ce, grâce à la définition de rôles et de droits d’accès, mais également à la gestion et à l’attribution de clés d’accès. L’objectif étant de s’assurer que seuls les personnes et les systèmes autorisés et authentifiés sont en mesure d’accéder aux actifs de données, selon des règles définies.
  6. Audit : les entreprises doivent être en mesure d’évaluer leurs systèmes pour garantir leur bon fonctionnement. Le suivi, l’audit et la traçabilité (qui a fait quoi, quand et avec quelles informations) permettent aux équipes responsables de la sécurité de collecter des données, d’identifier les menaces et d’y réagir avant qu’elles ne causent des dommages ou des pertes pour l’entreprise. Il est important d’effectuer régulièrement des audits afin de vérifier l’efficacité des contrôles, d’atténuer rapidement les menaces et d’évaluer la santé globale de la sécurité. 
  7. Protection des données : la sécurité périmétrique n’est pas et n’a jamais été suffisante pour protéger les données sensibles. Tenter d’empêcher quelqu’un d’entrer par effraction dans votre système peut fonctionner jusqu’à un certain point, mais vos données risquent tôt ou tard d’être exposées. Il est essentiel de mettre en place des méthodes supplémentaires de protection des données pour s’assurer que les données exposées ne peuvent pas être lues, notamment des mesures de chiffrement des données inactives, de chiffrement en transit, de masquage des données et de suppression définitive. 
  8. Culture de la donnée : en matière de gouvernance des données, le succès des entreprises repose sur l’éducation, la formation et la compréhension de ce qui peut et ne peut pas être fait avec leurs données. La technologie à elle seule ne suffit pas : les entreprises doivent se doter du personnel, des processus et des stratégies nécessaires pour insuffler un changement organisationnel et permettre aux utilisateurs de connaître et de protéger la valeur de leurs données, en tant qu’actifs à part entière de l’entreprise. 

Dans l’ensemble, les entreprises peuvent tirer de nombreux avantages en promouvant une culture axée sur les données, qui implique principalement une bonne compréhension de la gouvernance des données. Celle-ci est une étape clé qui rassemble des ressources à la fois humaines, méthodologiques et informatiques, et qui ouvre la voie à une utilisation pertinente et fructueuse du cloud computing.