Data Governance_fre.indd
Transcription
Data Governance_fre.indd
LIVRE BLANC : LA GOUVERNANCE DES DONNÉES ÉVALUER LA MATURITÉ EN MATIÈRE DE GOUVERNANCE DES DONNÉES SOMMAIRE • La gouvernance des données et l’analyse des risques figurent désormais en bonne place à l’ordre du jour des conseils d’administration. Les entreprises prennent des risques réels en négligeant la valeur des données et les dommages potentiels en cas de perte, de vol ou d’utilisation inappropriée des données – en interne ou par un tiers. • Une politique efficace de gouvernance des données ne se limite pas à atténuer les risques associés à ces défaillances ou à cette mauvaise gestion des données. Elle favorise également de nouvelles opportunités de croissance, et contribue à la fidélisation de la clientèle, en améliorant la qualité, la disponibilité et l’intégrité de leurs données. Une politique efficace de gouvernance des données exige par ailleurs une adhésion généralisée à l’échelle de l’entreprise. Elle implique notamment une sensibilisation et un soutien dans des services jusqu’ici non impliqués dans la protection des données. • Ce document aborde la question des risques opérationnels, des avantages induits par une meilleure qualité des données, et l’impact positif d’une intégration et d’une sensibilisation interfonctionnelles des parties prenantes dans le cadre d’une stratégie efficace de gouvernance des données. Pour plus d’informations, visitez le site : www.ibm.com/ibm/responsibility Compte tenu de l’importance croissante des technologies de l’information dans les activités des entreprises, les défaillances informatiques et opérationnelles constituent des risques majeurs pour les entreprises. Pourtant, rares sont celles qui peuvent quantifier ces risques. Et lorsqu’il s’agit de déterminer quelles ressources doivent être affectées à l’évaluation de ces risques, bon nombre d’entre elles sont confrontées à une véritable situation de paralysie. L’évolution vers la mise en ligne des activités n’a fait que renforcer le problème. Avec la multiplication des entreprises qui traitent en ligne, il devient de plus de plus difficile de gérer et de contrôler des quantités astronomiques de données, stockées dans différentes parties de l’entreprise. Cette accumulation des données rend plus difficile l’évaluation des actifs essentiels de l’entreprise, et le calcul des risques associés à la perte de ces données. Le résultat est que bon nombre d’entreprises protègent l’ensemble de leurs données de la même manière. Ainsi, une banque peut surprotéger des données de faible intérêt et sous-protéger des données de grande valeur, telles que les renseignements relatifs aux comptes clients ou les données confidentielles sur le personnel. Dans bien des cas, les entreprises ne savent pas comment analyser leurs pratiques en matière de gouvernance des données, quelles équipes doivent être impliquées, et quel type de structure est requis pour gouverner avec efficacité. Dans ce contexte, il existe à l’échelle de tout le tissu économique un réel besoin de services permettant de suivre de manière proactive la gestion et le stockage des données importantes, mais aussi d’optimiser leur utilisation. La gouvernance des données répond à ce besoin en fournissant aux entreprises des processus destinés à gérer les données critiques, à mesurer leur valeur et les risques associés, et à limiter les expositions sécuritaires et opérationnelles associés à l’accès aux données. QU’EST-CE QUE LA GOUVERNANCE DES DONNÉES ? La gouvernance des données est un cadre de contrôle qualité visant à évaluer, à gérer, à exploiter, à optimiser, à contrôler, à entretenir et à protéger les données des entreprises. De nombreux facteurs poussent actuellement la gouvernance des données en tête des préoccupations des décideurs. Il est généralement admis que les sociétés disposant d’un plan efficace dans ce domaine sont capables de produire durablement des données plus précises, complètes et cohérentes sur leurs activités dans l’ensemble de leurs services. Les avantages liés au déploiement d’un programme de gouvernance des données à l’échelle de l’entreprise sont nombreux et divers, à l’image des défis qu’implique la mise en place d’un cadre solide en la matière. RISQUES ET OPPORTUNITÉS Les deux dernières années ont été marquées par des dizaines d’incidents relatifs à des défaillances de processus et à une gestion inadéquate des données, qui ont pris au dépourvu les entreprises concernées. La plupart de ces incidents résultaient du non-respect des politiques ou d’une absence pure et simple de politiques. Ils ont eu pour effet de propulser la gouvernance des données et l’analyse des risques en tête des questions à l’ordre du jour des conseils d’administration. Cependant, les données recèlent aussi une immense valeur – c’est la matière première essentielle pour créer de la valeur au 21e siècle. Car si les données médiocres produisent des décisions commerciales et des résultats médiocres, les données de qualité contribuent non seulement à la fidélisation de la clientèle, mais favorisent aussi de nouvelles opportunités de croissance. Une gouvernance des données efficace améliore la qualité, la disponibilité et l’intégrité des données de l’entreprise. D’autres avantages résident dans les collaborations interfonctionnelles. L’informatique s’applique à éliminer les goulets d’étranglement affectant l’accès aux données pour optimiser leur disponibilité. Parallèlement, il revient à l’opérationnel de supprimer les goulets d’étranglement fonctionnels afin de mieux gérer l’utilisation des données. en association avec 1 LIVRE BLANC : LA GOUVERNANCE DES DONNÉES LE CONSEIL DE GOUVERNANCE DES DONNÉES Fondé en novembre 2004, le Conseil de gouvernance des données d’IBM est un forum de leadership s’adressant aux décideurs en matière de gestion des données, de sécurité informatique, de risque, de conformité et de confidentialité, et traitant des méthodologies de gestion efficace des données à l’échelle de l’entreprise. L’évaluation de la gouvernance des données d’IBM s’est formée à partir des différents apports fournis par ses membres. Le Conseil réunit environ 50 entreprises, institutions et fournisseurs de solutions technologiques leaders impliqués dans la conception de technologies et de méthodes destinées à améliorer la protection des données critiques. L’expérience des membres du Conseil a permis d’élaborer un modèle d’évaluation de référence et une nouvelle approche de la mesure des performances en matière de gouvernance des données. Le Conseil se concentre sur le rapport central entre les données et les processus métier, ainsi que sur la valeur de ces données pour l’entreprise. Il s’attache à couvrir deux problèmes de relation majeurs dans l’industrie : • L’opposition entre opérationnel et TI. • L’interaction entre risques opérationnels et mécanismes de contrôle des processus. Pour plus d’informations, visitez le site : www.ibm.com/ibm/responsibility ÉVALUATION DE LA MATURITÉ Les entreprises peuvent désormais profiter d’une nouvelle classe de services destinés à mesurer leur performance en matière de gouvernance des données – informations clients sensibles ou données financières – dans l’ensemble de leurs structures. Les entreprises peuvent évaluer les écarts entre leurs pratiques existantes et la position qu’elles souhaitent occuper afin d’identifier les opportunités et activités spécifiques permettant d’améliorer la gestion, la valorisation et la protection des données. Le Data Governance Maturity Model (modèle d’évaluation de la maturité en matière de gouvernance des données) a été créé par le Conseil de gouvernance des données (voir encadré à gauche) pour définir les compétences des parties prenantes dans ce domaine. Il mesure les capacités des entreprises l’aide de 11 disciplines de maturité en matière de gouvernance des données, telles que l’état de sensibilisation dans l’entreprise et la gestion du cycle de vie des risques (voir tableau ci-dessous). Ce modèle fournit également des recommandations fondées sur un cadre unique de gouvernance des données pour répondre aux besoins spécifiques des entreprises, évitant ainsi une approche universelle. LES 11 DISCIPLINES DE LA GOUVERNANCE DES DONNÉES Catégorie Description 1 Sensibilisation généralisée dans l’entreprise Désigne le niveau de responsabilité mutuelle entre opérationnel et TI, ainsi que la reconnaissance de la responsabilité fiduciaire de gouvernance des données aux différents niveaux de gestion. 2 Intendance L’intendance est une discipline de contrôle qualité destinée à assurer une protection et une surveillance des données en vue de l’optimisation des actifs, la limitation des risques et le contrôle opérationnel. 3 Politique La politique est la description écrite de la conduite souhaitée au sein de l’entreprise. 4 Création de valeur Le processus par lequel l’actif que représentent les données est qualifié et quantifié, afin de permettre à l’entreprise de créer les conditions d’une création de valeur optimale. 5 Gestion des risques La méthodologie utilisée pour identifier, qualifier, quantifier, éviter, accepter, limiter ou externaliser les risques. 6 Sécurité / Confidentialité / Conformité Désigne les politiques, pratiques et contrôles utilisés par une entreprise pour limiter les risques et protéger ses données. 7 Architecture des données L’architecture des systèmes de données et applications structurées et non structurées permettant la disponibilité et la diffusion des données aux utilisateurs appropriés. 8 Qualité des données Méthodes visant à mesurer, à améliorer et à garantir la qualité et l’intégrité des données de production, de test et d’archivage. 9 Glossaire / Métadonnées de l’entreprise Méthodes et outils destinés à établir une sémantique et des définitions communes pour les termes métiers et TI, ainsi que les modèles, types et dépôts de données. Les métadonnées font le lien entre les analyses informatique et humaine. 10 Gestion du cycle de vie des données Une approche systématique et basée sur des politiques, appliquée à la collecte, à l’utilisation, à la conservation et à la suppression des données. 11 Audit et reporting Processus de l’entreprise permettant le suivi et la mesure de la valeur des données, les risques et l’efficacité de la gouvernance. en association avec 2 LIVRE BLANC : LA GOUVERNANCE DES DONNÉES SIX QUESTIONS TEST LES DÉFIS Selon les conclusions du Conseil de gouvernance des données d’IBM, les défis actuels dans ce domaine sont les suivants : • Le manque de cohérence dans la gouvernance des données se traduit par une déconnexion entre objectifs opérationnels et programmes des TI. • Les politiques de gouvernance et les programmes d’intendance ne sont pas associés à une identification et à un reporting structurés des exigences. • Les risques ne sont pas pris en compte du point de vue de leur cycle de vie, en relation avec des environnements de stockage, des politiques, des normes et des procédures d’évaluation unifiés en matière de données. • Métadonnées et glossaires internes ne sont pas utilisés pour harmoniser les différences sémantiques au sein des entreprises mondiales. • Il existe aujourd’hui peu d’outils technologiques permettant d’établir les valeurs des données qui sont liées à la sécurité, la confidentialité et la conformité. Concrètement, la gouvernance des données consiste à gérer les données comme un actif de l’entreprise et à contrôler les risques opérationnels. Cela implique la protection des données de l’entreprise, le respect des exigences imposées par les organismes de contrôle et les législateurs, ainsi que l’optimisation de la qualité des données afin de fidéliser la clientèle et de favoriser de nouvelles opportunités de croissance. Voici six questions test à soumettre à toute entreprise pour évaluer son degré de maturité en matière de gouvernance des données : Avez-vous un responsable de la gouvernance des données ? La première étape de tout programme efficace de gouvernance des données consiste à nommer une personne responsable, ayant délégation d’autorité du directeur général pour exécuter les actions requises. Rien en effet ne remplace une direction forte. La gouvernance des données est un défi politique exigeant la création d’un consensus entre de nombreuses parties prenantes différentes. À cet égard, le leadership stratégique au sein de l’entreprise constitue la première priorité. Une fois ce leadership établi, le responsable peut mettre sur pied un conseil de gouvernance réunissant les différents acteurs concernés dans l’entreprise, afin d’établir des stratégies d’intendance et de rendre compte de l’avancement à la direction générale et au conseil d’administration. Avez-vous examiné votre situation ? Après avoir créé un conseil de gouvernance, le responsable doit examiner la situation au sein de l’entreprise. L’évaluation de la gouvernance des données de l’entreprise est ici un outil essentiel. Le Conseil de gouvernance des données d’IBM a créé un modèle d’évaluation de la maturité. Celui-ci mesure les pratiques existantes en matière de gouvernance des données en s’appuyant sur 11 disciplines essentielles (voir tableau en page 2). Ce cadre d’évaluation a été développé en partenariat avec 47 entreprises, fournisseurs et universités à travers le monde. Il permet d’établir le degré d’avancement d’un programme de gouvernance des données et d’élaborer une feuille de route étape-par-étape pour l’avenir. Possédez-vous une stratégie en matière de gouvernance des données ? Après l’évaluation de la gouvernance des données d’une entreprise, le Conseil de gouvernance doit créer une vision stratégique applicable aux trois prochaines années. Il doit établir des jalons et indicateurs de performance essentiels afin de suivre les progrès, et produire des rapports annuels à l’intention de la direction générale et du conseil d’administration, ceci dans le but de valider les résultats. Le modèle d’évaluation de la maturité en matière de gouvernance des données peut aider à déterminer les objectifs stratégiques. Avez-vous calculé la valeur de vos données ? Si vous ne connaissez pas la valeur de vos données, vous serez incapable d’optimiser, de protéger ou de mesurer la contribution d’un ensemble de données au résultat de l’entreprise. Mais les données ne sont pas un bien comme les autres. Elles sont comparables à l’eau du robinet – tellement vitales et si souvent tenues pour acquises. Or vos données constituent votre matière première pour créer de la valeur ajoutée, et sa valeur pour l’entreprise peut être évaluée à l’aide d’outils adéquats. • Les contrôles et l’architecture sont déployés avant toute modélisation des effets à long terme. Pour plus d’informations, visitez le site : www.ibm.com/ibm/responsibility en association avec 3 LIVRE BLANC : LA GOUVERNANCE DES DONNÉES Connaissez-vous la probabilité des risques ? CONCLUSION Les entreprises cherchant à mieux gérer leurs données et leurs pratiques en la matière ont besoin d’une nouvelle classe de solutions spécifiques, intégrant méthodes de protection des données, respect des exigences de conformité réglementaire, audits, gestion du cycle de vie des risques et valorisation. Par ailleurs, les politiques de gouvernance des données peuvent également dégager de nouvelles opportunités de croissance et fidéliser la clientèle, grâce à une amélioration de la qualité des données. « Une gouvernance efficace des données permet naturellement de démontrer l’impact de la valeur des données sur le résultat », déclare Steven Adler, Président du Conseil de gouvernance des données. « De plus en plus, la technologie est le moteur de la croissance. L’informatique n’est plus seulement un dépôt de données et d’activités humaines. Elle nous permet d’interagir avec nos clients, nos employés et le reste du monde. L’informatique est véritablement le moteur de l’innovation et de la croissance pour les entreprises au 21e siècle. Dans ce contexte, les données agissent comme le carburant, d’où l’importance de les gérer correctement. » Les données sont désirables, et pas seulement pour les personnes censées les utiliser. Savoir comment chacun en a usé et abusé dans le passé est essentiel afin de déterminer de quelle manière elles risquent d’être affectées ou divulguées à l’avenir. Des solutions avancées sont aujourd’hui disponibles pour aider les entreprises à identifier les événements passés, à établir des typologies des pertes et à prévoir les futurs besoins. Contrôlez-vous l’efficacité de vos procédures de contrôle ? La gouvernance des données a trait au comportement de l’entreprise. Les sociétés évoluent tous les jours, tout comme leurs données, leur valeur et les risques auxquels elles sont exposées. Malheureusement, la plupart des entreprises ne s’auto-évaluent qu’une fois par an. Or, une entreprise incapable de modifier ses procédures de contrôle quotidiennement ou de manière hebdomadaire pour répondre à de nouvelles exigences, est une entreprise qui ne peut gérer le changement. PRINCIPAUX AVANTAGES Au-delà de la protection des données de l’entreprise contre les expositions ou le vol, les pratiques améliorées de gouvernance des données contribuent au respect des exigences imposées par les organismes de contrôle et les législateurs, grâce à des outils technologiques et des processus garantissant la conformité à des directives spécifiques. Parce qu’elles améliorent la qualité des données, les politiques de gouvernance des données peuvent également dégager de nouvelles opportunités de croissance et fidéliser la clientèle. L’intégrité des données permet notamment aux entreprises de recueillir, d’analyser et de partager les tendances du marché, afin de mieux comprendre les besoins des consommateurs, d’élaborer de nouveaux produits et services et d’externaliser les processus métier non essentiels. Une protection efficace des données exige une adhésion généralisée à l’échelle de l’entreprise. Les défis actuels impliquent une sensibilisation et un soutien dans des services jusqu’ici non impliqués dans la protection des données. À cet égard, l’évaluation de la gouvernance des données constitue une avancée essentielle car il permet à d’autres parties prenantes de réaliser la part qu’elles peuvent apporter à l’optimisation de la stratégie. La gouvernance des données est devenue l’une des priorités stratégiques des entreprises et gouvernements dans le monde entier. Regardant vers l’avenir, toute entreprise adoptant un programme dans ce domaine doit évaluer sa situation présente et définir ses objectifs pour demain. Pour plus d’informations, visitez le site : www.ibm.com/ibm/responsibility en association avec 4