Ces derniers temps, nous avons été tellement concentrés sur la gouvernance des données, sur la nécessité de tirer le plus de valeur de nos données et sur les moyens d’éviter le prochain piratage de grande ampleur, que nous avons été nombreux à oublier les bases de la gouvernance des systèmes d’information, grâce à laquelle nous pouvons appliquer une gouvernance des données efficace.
Ce phénomène est en partie dû au fait que la gouvernance des données et celle des systèmes de l’information ont des objectifs très similaires et interdépendants. De manière générale, ces deux processus servent à optimiser les actifs de l’organisation afin de lui apporter la plus grande valeur métier.
Puisque les liens entre la gouvernance des systèmes d’information et la gouvernance des données sont si étroits et essentiels, passons en revue leurs points communs et différences.
Qu’est-ce que la gouvernance des systèmes d’information ?
La gouvernance des systèmes d’information veille à ce que les investissements informatiques de l’organisation soutiennent les objectifs métier, gèrent les risques et soient conformes aux réglementations.
Voici quelques exemples d’investissements informatiques : sécurité physique et technique, chiffrement, serveurs, logiciels, ordinateurs et appareils réseau, schémas de base de données et sauvegardes.
Il est souvent dit que ces investissements sont des postes de dépenses plutôt que des sources de revenus. Soyons clairs : les organisations ne pourraient pas fonctionner, optimiser ou même générer de chiffre d’affaires sans l’informatique.
Bref : pas d’informatique, pas de données, et pas d’activité.
Mais la gestion saine de l’informatique exige un pilotage dédié pour faire en sorte d’optimiser les investissements technologiques.
Les parties prenantes impliquées dans la réussite de la gouvernance des systèmes d’information sont le conseil d’administration, les responsables des finances, des opérations, du marketing, des ventes, des ressources humaines, de l’approvisionnement et, bien entendu, le directeur informatique (CIO/DSI) et les autres responsables de la gestion de l’informatique.
C’est au CIO qu’incombe la responsabilité d’aligner la gouvernance des systèmes d’information sur les objectifs métier de l’organisation.
Pour cela, il utilise souvent des cadres de gouvernance de données mis au point par des experts du secteur. Ces cadres s’accompagnent de guides d’implémentation, d’études de cas et d’évaluations. Voici quelques cadres dont vous avez peut-être entendu parler :
COBIT 5 : un des référentiels du secteur, il aide les entreprises dans leurs opérations de gouvernance des systèmes d’information, d’optimisation de l’activité et de croissance en préconisant l’application de pratiques éprouvées. Ce référentiel s’appuie sur cinq principes clés de gouvernance et de gestion de l’informatique d’entreprise :
- Répondre aux besoins des parties prenantes
- Couvrir l’entreprise de bout en bout
- Appliquer un seul cadre de référence
- Favoriser une approche globale
- Séparer la gouvernance et la gestion
ITIL (IT Infrastructure Library) : aide à aligner les services informatiques sur les besoins de l’activité. Ce cadre est principalement connu pour ses cinq publications clés, chacune d’elles présentant les meilleures pratiques adaptées à chaque phase du cycle de vie du service informatique.
FAIR : nouveau cadre qui, selon son site Web, est une « organisation professionnelle à but non lucratif ayant pour mission de faire progresser la mesure et la gestion du risque lié aux informations. Elle fournit aux responsables en charge des risques liés aux informations, de la cybersécurité et de l’activité les normes et meilleures pratiques qui aident les organisations à mesurer, gérer et signaler les risques liés aux informations d’un point de vue métier. »
À vous de voir quel cadre convient le mieux à la culture de votre entreprise et, selon les organisations, l’approche hybride est souvent celle qui fonctionne le mieux.
Et lorsqu’une gouvernance des systèmes d’information adéquate est en place, la gouvernance des données a plus de chances de porter ses fruits. Pourquoi ? L’exécution et la gestion des systèmes, des applications, de l’assistance informatique et leur façon de gérer les données dans l’entreprise auront un impact sur la gouvernance des données.
Alors, qu’est-ce que la gouvernance des données ?
La gouvernance des données fait référence à la gestion des données dans le but d’améliorer les résultats de l’activité et de soutenir la croissance de l’entreprise.
Jusqu’ici, hormis le fait qu’elle concerne un autre type d’actif, la gouvernance des données est très similaire à la gouvernance des systèmes d’information.
Parmi les parties prenantes impliquées dans la gouvernance des données, on trouve toutes les personnes participant à la gouvernance des systèmes d’information, auxquelles viennent s’ajouter quelques responsables : conseil d’administration, responsables des finances, des opérations, du marketing, des ventes, des ressources humaines, de l’approvisionnement, le CIO et le responsable de la gestion informatique.
Toutefois, la personne chargée d’aligner les données sur les indicateurs métier de l’organisation est le responsable des données (Chief Data Officer, ou CDO). Le CDO impliquera aussi des spécialistes des données, des programmeurs et tout service générant des données, c’est-à-dire tous les services d’une organisation.
Ce n’est que récemment que les CDO sont venus prêter main forte à l’équipe dirigeante et ils aident à gérer l’entreprise de manière à générer de la valeur métier à partir des données. D’après Gartner, 90 % des grandes organisations auront un responsable des données d’ici 2019.
Oui, le responsable des données a bien un rôle technique, mais il doit aussi posséder des compétences de gestion de l’activité et des changements. Après tout, il doit agréger les données, les analyser et, c’est le plus difficile, faire en sorte que l’entreprise puisse les exploiter.
La gouvernance des données étant un secteur relativement nouveau, il n’existe aucun cadre établi équivalent à COBIT 5.
Mais d’après mes recherches et les échanges que j’ai pu avoir des professionnels à l’occasion de conférences, les dirigeants d’une entreprise doivent se poser les questions suivantes :
- Quelle est notre stratégie métier ?
- Une stratégie de données ne va pas générer un euro de chiffre d’affaires pour votre entreprise, il s’agit simplement d’un engrenage lançant la machine.
- Avons-nous défini et communiqué les objectifs clés dans toute notre organisation ?
- Vous allez gaspiller beaucoup de temps, d’argent et de ressources à résoudre un problème si vous ne savez pas quel est le problème métier.
- Possédons-nous les données adéquates et leur qualité est-elle suffisante ?
- Si les données ne sont pas de qualité, vos projets de données et vos analyses ne donneront pas satisfaction, c’est inévitable.
En discutant avec Jeffery McMillian, responsable des données chez Morgan Stanley, j’ai appris qu’il consacre 90 % de son temps aux deux premières questions. D’après lui, si vous ne pouvez pas répondre à ces deux questions, tout ce que vous pourrez faire par ailleurs ne servira à rien.
Faites en sorte que vos données restent protégées et en sécurité – obtenez une évaluation gratuite des risques dès aujourd’hui.
Que dois-je faire maintenant ?
Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:
Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.
Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.
Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.
