Your SlideShare is downloading. ×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Gestion des données de votre entreprise que risquez vous?

1,346
views

Published on

Au cours de la dernière décennie, plusieurs grandes entreprises se sont effondrées- en particulier dans le secteur bancaire. Certaines de ces défaillances ont été causées par de mauvaises pratiques de …

Au cours de la dernière décennie, plusieurs grandes entreprises se sont effondrées- en particulier dans le secteur bancaire. Certaines de ces défaillances ont été causées par de mauvaises pratiques de gestion. DataFlux vous offre la possibilité de consulter l’analyse de Mike Ferguson sur le rôle de la gestion des données et le contrôle des risques.

Published in: Technology

0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,346
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
74
Comments
0
Likes
3
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. INTELLIGENT BUSINESS STRATEGIESLIVRE BLANC Gouvernance, Risques et Conformité Le rôle de la gestion des données dans la diminution des risques Par Mike Ferguson Intelligent Business Strategies Août 2011 Préparé pour :
  • 2. Gouvernance, Risques et Conformité - Le rôle de la gestion des données dans la diminution des risques Table des matièresIntroduction à Gouvernance, Risques et Conformité ............................................................................3Qu est-ce que la gestion des risques d entreprise ? .............................................................................5Les problèmes de données qui contribuent au risque ..........................................................................8 Risques liés à la qualité des données ......................................................................................8 Risques liés à la confidentialité des données ..........................................................................9 Risques liés à la maintenance non autorisée de données .....................................................9 Risques liés à la synchronisation des données .................................................................... 10 Risques liés à la correction des données ............................................................................. 10Utilisation du Data Mana gement pour la réduction des risques ........................................................ 11 Questions culturelles et organisationnelles .......................................................................... 11 Identifier les données à risque et l impact sur l activité ........................................................ 11 Définir des politiques destinées à gérer les données à risque ............................................ 12 Déterminer où les données à risque se situent .................................................................... 13 Prévenir des risques liés aux données ................................................................................. 13 Application des politiques de gestion des risques liés aux données .... 14 Sourçage des risques de données .......................................................... 16 La surveillance des risques liés aux données ......................................... 16 Mise à jour des données après un événement à risque ...................................................... 17Conclusions ........................................................................................................................................... 18 Copyright © Intelligent Business Strategies Limited 2
  • 3. Introduction au programme « Gouvernance,Risques et Conformité - GRC »Diverses défaillances Au cours de la dernière décennie, nous avons observé un nombre important deayant été constatées défaillances au sein de grandes entreprises dans divers pays à travers le monde.ces cinq à dix dernières Certaines de ces défaillances ont été le fait de mauvaises pratiques de gestionannées, les entreprisesaccordent une plus (également connues sous le nom de gouvernance). Cela s est traduit par degrande attention en nouvelles lois et réglementations de conformité qui ont été mises en place pourmatière de tenter d obliger les entreprises à réhausser la barre en termes de qualité deGouvernance, Risques processus ou de pratiques. Ces dernières années, c est l effondrement de tout leet Conformité, afin de secteur des services financiers qui a beaucoup attiré l attention. Dans ce cas-là, larelever la barre et plupart des banques se sont effondrées du fait de mauvaises pratiques dans lad acquérir de meilleurespratiques. gestion des risques de crédit. Prêter de l argent à des clients à haut risque sur le marché hypothécaire des prêts a finalement abouti à ce que bon nombre de ces clients ne soient pas en mesure de payer leurs hypothèques. En conséquence, de nombreuses banques se sont effondrées ou ont été reprises par les gouvernements ou par d autres banques. Après ces retombées, les préoccupations des entreprises se sont concentrées autour de trois domaines étroitement liés : · La gouvernance d entreprise · La gestion des risques · La conformité dans l entreprise Ensemble, ils sont connus sous l appellation « Gouvernance, Risques et Conformité » (GRC). Wikipédia fournit un excellent schéma (voir Figure 1) de ces trois domaines et de la façon dont ils s intègrent. Il montre également que la combinaison de la stratégie, des ressources humaines, des processus et de la technologie est nécessaire pour contrôler le problème de Gouvernance, Risques et Conformité.Les sociétés ont besoind une stratégie deGouvernance, Risqueset Conformité pour les Governance, Risk and Complianceaider à gérer leuractivité. Source: Wikipedia Figure 1
  • 4. Gouvernance, Risques et Conformité - Le rôle de la gestion des données dans la diminution des risques La gouvernance La gouvernance est le terme qui décrit la gestion et le contrôle de toute une concerne la organisation de manière globale. Elle exige d utiliser davantage de structures de responsabilité et le contrôle des informations de l entreprise, impliquant responsabilité et approbation. contrôle La gouvernance nécessite également la normalisation et l intégration des processus d activité, ainsi qu une meilleure gestion de l information, rendue possible grâce à des projets de gestion de la performance ou de business intelligence. La gestion des risques La gestion des risques est l ensemble des processus permettant d identifier, vise à améliorer la d analyser, et surtout d éviter les risques qui pourraient empêcher une organisation capacité à atténuer les d atteindre ses objectifs commerciaux. Il s agit également d être en mesure de risques. détecter rapidement les risques qui surviennent et d y répondre en temps opportun afin de minimiser l impact de ces événements à risque sur l activité dans son ensemble. Le non-respect de la législation, la non-conformité aux réglementations et l exposition aux risques de crédit sont les principaux risques dont traitent les domaines de Gouvernance, Risques et Conformité. La quantité croissante La conformité consiste à se conformer aux exigences prescrites. Ces exigences des législations et de peuvent être spécifiées dans la législation (la loi américaine Sarbanes-Oxley Act réglementations a par exemple), les réglementations de l industrie (la réglementation Solvency II amené beaucoup de sociétés à se soucier de pour l industrie de l assurance, par exemple) voire dans les politiques d entreprise. la conformité. Une analyse de l activité est nécessaire pour identifier les exigences de conformité, évaluer l état de conformité actuel de l organisation, et évaluer les risques et les coûts potentiels de la non-conformité vs les coûts d une mise en conformité. La mise en conformité peut entraîner des changements dans les processus d activité, le reporting, la surveillance des événements et des incidences, ainsi que la répartition des responsabilités au sein de l organisation. Une initiative de GRC est par essence clairement dépendante des données de l entreprise. Les données sont en effet nécessaires pour gérer une entreprise, gérer les risques et aider une entreprise à rester en conformité. Les données elles-mêmes doivent être gouvernées de façon à rester correctes, complètes, fiables et clairement interprétées. Sans cela, une initiative de Gouvernance, Risques et Conformité ne peut pas être construite sur des bases solides. Dans un contexte de risques, les données doivent être sécurisés, leur accès doit être contrôlé et les données sensibles masquées pour le respect de la confidentialité. Dans un contexte de conformité, les données et les politiques concernant les données doivent être définies, maintenues, contrôlées et doivent être vérifiables par le biais de processus normalisés. Les sociétés ont besoin En analysant la figure 1, on remarque qu une approche de Gouvernance, Risques et d une stratégie de Conformité intégrée, globale et à échelle de l entreprise est nécessaire. Et c est Gouvernance, Risques l alliance d une stratégie efficace, de ressources humaines impliquées, de processus et Conformité. standardisés et de technologies performantes qui permet de tendre vers cet objectif. Étant donné que la capacité d une entreprise à mettre en uvre sa stratégie de Les ressources humaines, les processus Gouvernance, Risques et Conformité dépend des données, nous devons également et la technologie sont appliquer la stratégie, les ressources humaines, les processus et la technologie aux nécessaires pour mettre données pour obtenir une base juste et fiable de Gouvernance, Risques et en oeuvre la stratégie de Conformité. Gouvernance, Risques et Conformité. Dans ce deuxième livre de la série Gouvernance, Risques et Conformité, nous examinerons comment la gestion des données peut aider les entreprises à diminuer les risques, et comment cette stratégie de Gouvernance, Risques et Conformité s inscrit dans une perspective commerciale. Le troisième et dernier livre de la série examinera comment la conformité s applique aux données. Copyright © Intelligent Business Strategies Limited 4
  • 5. Gouvernance, Risques et Conformité - Le rôle de la gestion des données dans la diminution des risques Qu est-ce que la gestion des risques d entreprise ? Les sociétés cotées sont En novembre 2007, Standard and Poors (S&P) a officiellement suggéré la mise en désormais évaluées sur place d un nouvel outil d analyse de la gestion des risques en entreprise. Leur leur capacité à contrôler intention était d instaurer un dispositif de Gestion des Risques en Entreprise (GRE) les risques. permettant de noter les entreprises non financières, parallèlement aux mécanismes de notation déjà existants mais uniquement destinés à évaluer la gestion des risques dans les institutions financières. Au final, le dispositif imaginé pouvait s appliquer aussi bien aux institutions financières qu aux institutions non financières. Ce qui permettait d en faire un dispositif global, apportant un éclairage sur la gestion des risques dans tous les secteurs de l industrie. Depuis, S&P a créé ses propres dispositifs de gestion d évaluation des risques, qui peuvent clairement avoir un La gestion des risques d entreprise est une impact négatif sur le prix des actions d une entreprise si celle-ci n est pas bien composante clé de toute notée sur cette notion critique qu est la gestion des risques. Notez que la GRE initiative de Gouvernance, représente le « R » dans Gouvernance, Risques et Conformité. Il ne s agit donc pas Risques et Conformité. d une notion autonome : les risques doivent être évités afin de rester en conformité, et les programmes de gestion de la performance doivent prendre en compte les risques. Un inventaire de tous les La question la plus évidente dans la gestion des risques d entreprise est la risques importants et de suivante : votre société a-t-elle dressé un inventaire de tous les risques majeurs leur impact sur l activité susceptibles d influer sur sa capacité à rester solvable et à traiter en toute est fondamental. confiance ? Pouvez-vous prendre facilement connaissance des risques que la société a identifiés, l impact commercial possible de ces risques et les moyens mis en uvre pour les gérer ? Il existe de nombreux types de risques différents. S&P a proposé le classement suivant dans son document de 2007 : Risques Risques financiers Risques Risques de gestion environnementaux d approvisionnement Continuité d affaires Disponibilité en Prix des produits Gouvernance d entreprise capital Conjoncture commerciale Crédit/Contrepartie Chaîne Protection des données d approvisionnement Environnemental Risque des marchés Santé et sécurité des financiers employés Procès en responsabilité Inflation Propriété intellectuelle Catastrophes Taux d intérêt Conflits naturelles/Météo Pandémie Liquidité Pénurie de main-d uvre qualifiée Dommages physiques Administration et gestion/Restructuration Risque politique Complexité de gestion Réglementaire/Législatif Problèmes de sous-traitance Source : Standard and Poors Vous pourriez facilement prendre cette catégorisation élevée des risques à un niveau beaucoup plus bas. Par exemple, le risque concernant la sécurité des données peut être décomposé en confidentialité des données, accès sécurisé aux données, possibilité de récupération des données et données erronées. Quels que soient les risques auxquels vous êtes confrontés, ils doivent être documentés. Cependant, la GRE va beaucoup plus loin que cela. L annonce faite en 2007 par S&P était clairement destinée à permettre de comprendre et d évaluer la gestion des risques dans les sociétés publiques cotées. Copyright © Intelligent Business Strategies Limited 5
  • 6. Gouvernance, Risques et Conformité - Le rôle de la gestion des données dans la diminution des risques Le document Gestion des Risques d Entreprises de S&P comprend les notions suivantes : · Culture de gestion des risques et gouvernance · Contrôles des risques · Risques émergents · Gestion des risques stratégiquesDes indicateurs clés de La culture de gestion des risques et la gouvernance sont relatives à la mise enrisques sont utilisés pour place d un programme de GRE. Ce programme doit comprendre une vision de lamesurer le succès d un gestion des risques, une position claire sur les mesures à appliquer vis-à-vis desprogramme de gestiondes risques. risques et sur la tolérance aux risques, l identification des personnels chargés de la gestion des risques et ceux chargés de la mise en place de rapports de gestion des risques destinés aux dirigeants et aux audits. Il doit également inclure des détails sur la façon dont l entreprise mesure le succès de son programme de gestion des risques en utilisant les indicateurs clés de risques (ICR). En outre, il doit indiquer comment ces ICR affectent la rémunération des dirigeants et comment la gestion des risques intègre la gestion de performance de l entreprise et la budgétisation. Ce dernier point est connu sous le nom de gestion du rendement pilotée par les risques.Le contrôle des risques Le contrôle des risques est associé à la façon dont l entreprise identifie et contrôlepermet d empêcher chaque risque majeur. Pour diminuer les risques, les entreprises doiventl occurrence de risques comprendre quels sont les risques principaux, quelles sont les limites pour chaqueimportants. risque majeur et quels contrôles peuvent être mis en place pour respecter cesLes seuils d ICR limites. Ces contrôles peuvent prendre la forme de processus d approbation ou depermettent aux sociétés poids et contrepoids, qui sont en réalité des moyens mettant en relation les risquesde déclencher desactions pour réduire au pour mieux les contrôler. Les ICR permettent généralement de surveiller et deminimum l impact d un contrôler les risques majeurs. Il est également nécessaire de fixer des seuils d ICRrisque sur l activité quand afin de s assurer que les limites de risques sont connues et ne sont pas franchies. Lales niveaux de tolérance gestion des risques doit être intégrée dans les processus de l activité et lasont dépassés. compréhension du risque doit être partagée avec les cadres dirigeants. Si les risques surviennent, il doit y avoir un processus pour gérer les pertes ainsi que les changements à apporter aux procédures GRE, et ce, afin d éviter qu une même perte ne se reproduise. Ces changements doivent eux aussi être contrôlés et vérifiables.Il est important d avoir Les risques émergents sont relatifs aux processus et procédures qu une entreprisedes procédures testées et a mis en place pour diminuer les risques et se préparer à une catastrophe. Il peut yen place pour gérer les avoir plusieurs « catastrophes » potentielles définies, chacune ayant son proprecatastrophes. degré de gravité. Les entreprises doivent identifier et classer les catastrophes par ordre d importance, évaluer l impact de chacune d elles et mettre en place les plans d urgence nécessaires pour être en mesure d y répondre rapidement. Une entreprise doit notamment comprendre l impact des risques sur ses liquidités et disposer de pratiques de gestion du risque de liquidité pour le contrôler. Dans ce sens, une entreprise a besoin de surveiller les événements externes ou internes et les tendances pour anticiper l émergence desdites catastrophes. La gestion des risques stratégiques implique l élaboration de plans stratégiques devant inclure une analyse de risque/performance lors de l allocation des ressources. Cela implique également de tenir compte du risque lors de la prise deLa gestion de la décisions stratégiques, du pricing ou encore de l évaluation de la performance. Ceperformance d entreprise n est pas par hasard si la gestion des risques est considérée comme le revers de laajustée aux risques est gestion de la performance en matière de prise de décisions stratégiques. On appelleimportante pour s assurerque le risque est bien pris parfois cela la Gestion de la Performance d Entreprise corrigée du risque, où lesen compte lors de la prise tableaux de bord GPE de niveaux stratégiques comprennent à la fois desde décisions stratégiques. indicateurs-clés de performance (ICP) et des indicateurs-clés de risques (ICR). Il devrait être possible de voir un aperçu des risques sur un tableau de bord GPE Copyright © Intelligent Business Strategies Limited 6
  • 7. Gouvernance, Risques et Conformité - Le rôle de la gestion des données dans la diminution des risques détaillant bien les risques pris en charge. Simplement parce que la gestion des risques concerne les décisions financières et qu elle doit être prise en compte. Compte tenu de cette définition de la gestion du risque d entreprise, il est évident que le succès de sa mise en uvre dépend des données. Pour que la GRE fonctionne bien, ces données doivent être fiables et sécurisées. Comprendre que la question des données est associée à la gestion des risques est donc important, car ces questions peuvent augmenter la possibilité d occurrence de risques ayant un impact préjudiciable sur l activité de l entreprise. Copyright © Intelligent Business Strategies Limited 7
  • 8. Gouvernance, Risques et Conformité - Le rôle de la gestion des données dans la diminution des risques Les problèmes de données qui contribuent au risque La mauvaise qualité des En ce qui concerne la gestion des risques, un certain nombre de questions sur les données et le non-respect risques liés aux données doivent être traitées dans le cadre d un programme de de leur confidentialité Gouvernance, Risques et Conformité. Cela permet d éviter les problèmes de augmentent les risques pour l entreprise. données engendrant des risques. Les problèmes de données sont généralement liés à: · La qualité des données · La confidentialité des données · Le contrôle non autorisé de données · La synchronisation de données · La récupération de données Examinons chacun de ces risques en détail. Risques liés à la qualité des données Nous avons déjà vu que des données fiables sont nécessaires pour la GRE. En ce qui concerne la qualité des données, il ne fait aucun doute que des défauts dans les données peuvent occasionner des risques. Prenons un exemple dans le secteur de l assurance : le risque assuré et/ou les données de réclamations étant introduits dans la catégorie « propension à la caducité », les modèles de prévisions auront pour résultat un trop grand nombre de clients marqués comme étant potentiellement défaillants. Cela signifie que les assureurs peuvent chercher à obtenir des renouvellements pour des clients à haut risque, et que les budgets marketing mis de côté pour la fidélisation des clients peuvent devenir mal ciblés. Le résultat est un risque accru de faire progresser les réclamations et les ratios de pertes dommageables. Des défauts de données Autre exemple dans le secteur de l industrie, des données de commande peuvent augmenter les incomplètes et/ou imprécises peuvent causer des erreurs de planning au niveau de risques de retards dans la production. Ces facteurs ont un impact sur les programmes de production et les processus et des coûts d exploitation provoquent des erreurs de fabrication, y compris des ruptures d approvisionnement imprévus. ou une surproduction de produits finis. La surproduction augmente les coûts en énergie et en matériaux, ce qui est l un des principaux soucis des directeurs financiers de fabrication. Ce problème peut également être causé par des données erronées au niveau des stocks disponibles. Bien que l informatique ne soit pas responsable de ce que les utilisateurs professionnels entrent dans les bases de données et les applications, elle est néanmoins chargée du maintien qualitatif de données exactes et complètes dans les entrepôts de données. Des technologies de profilage et de nettoyage des données sont ainsi utilisées pour aider à identifier et à nettoyer les données de mauvaise qualité, ou pour empêcher que des données de mauvaise qualité n aillent au-delà de l opération de saisie de données. En outre, il est nécessaire que les responsables métier ou chefs de divisions surveillent la qualité des données de leurs propres domaines d activité pour les empêcher de se détériorer. La technologie de surveillance de la qualité des données peut être utilisée pour les aider dans cette tâche. Copyright © Intelligent Business Strategies Limited 8
  • 9. Gouvernance, Risques et Conformité - Le rôle de la gestion des données dans la diminution des risques Le fait d être propriétaire Une point clé toutefois, reste de savoir qui est responsable de ce qu un tiers peut des données est un voir. Par exemple, si les responsables métier et les administrateurs de données à facteur important du l intérieur de l entreprise contrôlent la qualité des données utilisées en interne, qui contrôle des données à risque. est responsable des données fournies aux clients, aux partenaires ou aux fournisseurs ? L appropriation et la capacité à considérer ses données d un point de vue extérieur sont également importantes. Il est donc recommandé d avoir une vision plus étendue du périmètre de ses données et de ne pas restreindre la propriété des données à un système spécifique. Il est en effet beaucoup plus efficace d associer la propriété des données à une entité de données de référence (les données des clients, par exemple) ou à un type de transaction (les commandes, par exemple), car ce type de propriété est à l échelle de l entreprise. Risques liés à la confidentialité des données Le défi de la confidentialité des données est de partager les données tout en assurant une protection des informations personnelles. En outre, la confidentialité des données devient un problème de gestion des risques lorsque des données sensibles sont « dans la nature ». Ce genre de problème est connu comme étant une Les données sensibles et violation de la confidentialité des données, et c est un problème qui devient confidentielles ont besoin particulièrement préoccupant lorsque des données client sont exposées ou se d être protégées contre retrouvent entre de mauvaises mains. Les données sur les employés sont également les violations de sensibles. Les entreprises ont besoin d anticiper les éventuels problèmes de confidentialité. violation de confidentialité des données et de faire tout leur possible pour les éviter. Les violations de confidentialité des données peuvent conduire à la fraude, à une forte insatisfaction d un client, à la perte d une opportunité d affaires, voire à un procès en responsabilité ou à des sanctions réglementaires. Elles peuvent également ternir de façon notable une marque ou la réputation d une société. Il est important de La confidentialité des données ne se limite pas à la protection des données masquer les données sensibles qui pourraient tomber dans de mauvaises mains en dehors de l entreprise. sensibles dans des Elle couvre en effet également l exposition de données sensibles à des personnes environnements d essai et de production. non autorisées à l intérieur de l entreprise. Un certain nombre de sondages indiquent que des vols de données ou des infractions sur des données ont été attribués à des actions internes d employés malveillants. Pour contrer ce problème, Les copies superflues de il doit y avoir moyen d identifier et de masquer les données sensibles de façon à ce données sensibles ou qu elles ne soient pas vues par les utilisateurs professionnels non autorisés ou par confidentielles doivent des développeurs informaticiens. Dans ce dernier cas, ce sont souvent les données également être prises en compte. de tests qui peuvent poser problème. De nombreuses sociétés créent en effet des copies complètes de données de production dans le cadre de tests de qualité qui requièrent souvent l utilisation de données de production. Le problème d un tel procédé est l introduction d un risque potentiel d exposition lorsque des données sensibles sont impliquées dans les tests. Si plusieurs ensembles de données de tests sont créés à partir de données de production, il y aura probablement plusieurs informations sensibles stockées dans des environnements de tests différents. Cela augmente les risques de vol de données sensibles par un employé malveillant. Risques liés à la maintenance non autorisée de données Après les problèmes liés à la confidentialité des données viennent l accès et la maintenance non autorisés de données sensibles par les employés. Du fait que des copies de données se retrouvent dans des systèmes opérationnels de divers La sécurité de l accès aux départements, ce problème est souvent beaucoup plus difficile à gérer qu il n y données doit également paraît. Il exige une coordination de privilèges de sécurité à travers de multiples être gérée pour empêcher la maintenance non portails, applications et technologies de base de données. Il est en outre compliqué autorisée de données par le fait que de nombreuses applications ont, même aujourd hui, leur propre sensibles par des modèle « maison » d autorisation exclusive. En outre, les données à protéger employés. peuvent être connues sous des noms différents dans les différents systèmes fondamentaux qui sous-tendent les processus d activités de base de l entreprise. Bien que de nombreuses entreprises passent progressivement à une authentification Copyright © Intelligent Business Strategies Limited 9
  • 10. Gouvernance, Risques et Conformité - Le rôle de la gestion des données dans la diminution des risques et à des mécanismes d autorisation communs (l annuaire d entreprise LDAP, par exemple), elles sont encore dans un statut hybride avec une authentification et un paysage d autorisation complexe. Ce type de complexité laisse la porte ouverte aux violations de la sécurité d accès aux données. Un mécanisme commun Toutes sortes de risques peuvent provenir de ces types d infractions et notamment d authentification et la fraude, les retards dans les processus dus aux défauts de données, les d autorisation a simplifié augmentations imprévues des coûts d exploitation et le mécontentement des la gestion de la sécurité d accès aux données. clients. Risques liés à la synchronisation des données Le manque de synchronisation des données peut perturber toutes les opérations d une organisation. Par exemple, les données clients sont exploitées à la fois pour la vente, le marketing, les services, les finances et la distribution. Les données Les erreurs dans la produits sont quant à elles utilisées au niveau du développement des produits, de la synchronisation des planification, de la fabrication, des magasins et des applications de commerce données augmentent le électronique. Beaucoup de ces fonctions d entreprise sont prises en charge par des risque des retards de systèmes d application séparés, faisant de la synchronisation des données un enjeu processus, des coûts d exploitation non prévus majeur. Faire en sorte qu une simple modification de donnée (changement du nom et de mécontentement d un client par exemple) se répercute sur tous les systèmes de l entreprise tout en des clients. restant synchronisés peut s avérer complexe. Si cela pouvait par le passé se résoudre avec une gestion « système par système » et une synchronisation fragmentaire, une approche commune est aujourd hui nécessaire pour gérer ces modifications de manière standardisée et donc efficace. Le manque de synchronisation peut augmenter les risques de retard dans les processus, et entraîner des défauts de données, des augmentations imprévues des coûts d exploitation et le mécontentement des clients. Il peut également entraîner une augmentation du risque de crédit et un accès à des données erronées pour les tiers (les données de produits accessibles aux détaillants et aux échanges électroniques, par exemple) et les décideurs. Risques liés à la correction des données Le problème de la correction des données est évident : si les données ne sont pas corrigeables, cela peut affecter les activités d une société. Des processus peuvent être perturbés et s interrompre, ce qui impacte sérieusement les coûts, les revenus et la confiance des clients. Cela peut sembler être une question simple à résoudre, mais en réalité cela s avère bien souvent compliqué, car des données de référence Être en mesure de (les clients, produits ou actifs par exemple) et de transaction (les commandes par conserver ou de exemple) peuvent avoir été transmises à plusieurs départements. Garantir l intégrité récupérer les données de et la possibilité de correction de certains types de données peut donc s avérer référence ou de beaucoup plus complexe que prévu. Maintenir l échange et l intégrité des données transaction, quel que soit dans tous les systèmes de l entreprise est néanmoins essentiel pour la continuité de leur emplacement dans l activité. l entreprise, réduirait les risques de manière significative. Il s ensuit qu une sauvegarde ou une remise à jour de données peut être nécessaire dans les cas les plus graves. Par conséquent, être en mesure de sauvegarder et de corriger des données de base et de transaction, indépendamment de l emplacement de ces données, est donc souhaitable. Bien qu il ne s agisse pas d un procédé courant, de nombreuses entreprises aspirent à le faire, car cela simplifierait considérablement les pratiques actuelles tout en réduisant les risques. Le défi consiste à être capable d identifier où sont situées toutes les données dans l entreprise. Copyright © Intelligent Business Strategies Limited 10
  • 11. Gouvernance, Risques et Conformité - Le rôle de la gestion des données dans la diminution des risques Utilisation du Data Management pour la réduction des risques Les technologies de Dans la précédente section, nous avons identifié les différents types de risques liés gestion des données aux données. Afin de réduire l occurrence de tels risques, des projets de peuvent être utilisées gouvernance et de gestion des données peuvent être envisagés. Nous avons déjà pour identifier et contrôler des données à risque. abordé la mise en uvre la gouvernance des données dans le premier Livre blanc1 de cette série Gouvernance, Risques et Conformité. Dans ce livre-ci, nous allons plus particulièrement examiner la façon dont les personnes, les processus et les technologies de gestion des données peuvent servir à identifier et à gérer les données à risque. Questions culturelles et organisationnelles La responsabilité induit la La gestion des risques liés aux données fait indiscutablement partie de la gestion propriété et pose les des risques d entreprise (GRE), qui à son tour est un élément clé de la stratégie de bases du contrôle. Gouvernance, Risques et Conformité (GRC). Intégrer une initiative GRE ou GRC est donc un moyen de prendre conscience de l importance de la gestion des données. La conscience génère l intérêt, mais rendre les gens responsables implique les notions d appropriation et de contrôle. Appliquer une méthodologie de Une méthodologie de prévention des risques qui permette d identifier et de classer les risques liés aux prévention des risques et données, ainsi que des procédures éprouvées de mise à jour des risques, crée une une procédure testée de relation de confiance. Cela permet également de fournir les garde-fous nécessaires mise à jour du risque créent une relation de pour maintenir sous contrôle les risques liés aux données. Il est également confiance. important de reconnaître que la menace interne est réelle et dangereuse quand il s agit de violations de données. En intégrant la gestion de l enregistrement des e- mails, la découverte électronique (e-discovery) et la vérifiabilité des procédures de gestion des risques, il devient possible d instaurer un climat de confiance au sein de l entreprise ainsi qu un environnement de données bien géré. Cela encourage également l autodiscipline. Mettre en place un conseil de gouvernance de données 2 qui gère aussi la protection des données va clairement dans ce sens. Identifier les données à risque et l impact sur l activité Les sociétés ont besoin Afin de gérer les données à risque, il est nécessaire de définir au préalable les d identifier les données à données de référence et de transaction utilisées dans l entreprise, puis de mettre en risque. évidence les éléments à risque de ces données. Nous avons vu dans le Livre blanc de gouvernance des données 3 de cette série que cela se traduit par la création d un vocabulaire métier partagé (VMP) des noms et définitions communes pour les données, incluant les contraintes d intégrité des données. Le VMP se construit Avoir un vocabulaire comme une véritable compilation d entités spécifiques des données de référence et d affaires partagé facilite de données de transaction. l identification des données à risque. « Gouvernance, Risques et Conformité - Le rôle de la gouvernance des données 1,2,3 dans la stratégie de Gouvernance, Risques et Conformité » Copyright © Intelligent Business Strategies Limited 11
  • 12. Gouvernance, Risques et Conformité - Le rôle de la gestion des données dans la diminution des risques Une fois que les données de référence et de transaction ont été définies au sein du VMP, il est donc nécessaire d identifier les données dans le VMP considérés comme étant « à risque ». Les données à risque peuvent alors être associées à des menaces indiquant les dangers potentiels. Le tableau ci-dessous montre les types de données à risque et menaces associées : Données à risque Risques potentiels des données (menaces) Les données à risque Données saisies manuellement Défauts de qualité des données peuvent être associées à Données considérées comme sensibles ou Violation de la confidentialité des des menaces confidentielles données Données considérées comme d accès restreint Accès non autorisé Données utilisées dans des applications multiples Erreurs de synchronisation Données considérées comme essentielles à Échec de correction l activité de l entreprise et à la prise de décision Par exemple, les données clients peuvent être considérées comme sensibles et donc potentiellement à risque en termes de violation de la confidentialité des données ou d accès non autorisé. De la même façon, les données concernant les employés tels que les numéros de sécurité sociale ou les salaires peuvent être considérés comme confidentiels. Il peut également arriver que des données clients puissent être de mauvaise qualité du fait d erreurs de saisie en interne, par les clients eux-mêmes ou encore par des partenaires sur Internet. Comprendre l impact des Il est également important de comprendre l impact des risques liés aux données sur risques donne une priorité l activité. Par exemple, l impact est-il financier ? Est-il opérationnel - et, si oui, aux efforts de la gestion quelles sont les ressources nécessaires pour résoudre le problème ? Débouche-t-il des risques. sur des infractions à la conformité réglementaire ou a-t-il un impact sur la marque de l entreprise et sa réputation ? Définition des politiques destinées à gérer les données à risque Les données à risque étant identifiées, l étape suivante consiste à définir les politiques nécessaires pour réduire l occurrence des risques liés aux données. Plusieurs types de politiques de diminution des risques liés aux données peuvent devoir être définis pour chaque donnée à risque. Il s agit notamment des : · Politiques de validation de la qualité des données Ces politiques doivent · Politiques de confidentialité des données être définies pour chaque · Politiques d un cycle de vie des données indiquant qui est autorisé à : donnée à risque afin que o Créer les risques liés aux données puissent être o Consulter gérés. o Mettre à jour o Supprimer · Politiques de synchronisation des données · Sauvegarde des données et politiques d archivage Ces politiques peuvent également être délimitées par un périmètre de restriction visant à limiter la gestion des risques à une application spécifique utilisée dans une activité donnée, ou à des personnes se trouvant dans un secteur bien particulier de l organisation. Toutefois, si les données couvrent plusieurs unités et systèmes de l organisation, des politiques communes à toute l entreprise doivent être appliquées. Copyright © Intelligent Business Strategies Limited 12
  • 13. Gouvernance, Risques et Conformité - Le rôle de la gestion des données dans la diminution des risques Déterminer où les données à risque se situent Les données à risque Après avoir identifié dans le VMP les données considérées à risque et défini les doivent être localisées politiques à appliquer afin de réduire les risques liés aux données, le prochain défi afin de pouvoir gérer consiste à déterminer l emplacement exact de ces données dans l entreprise. Cela correctement les risques. comprend l identification de toutes les données redondantes, qu elles se situent au niveau des systèmes de production ou des systèmes de tests. Cela s avère nécessaire, car si nous ignorons où se trouvent ces données, nous ne pouvons pas éliminer l occurrence des risques liés aux données. Nous devons localiser les données, puis en établir la carte dans le VMP afin de déterminer : · Quelle est la qualité des données ? · Est-ce que la confidentialité des données est appliquée sur des données confidentielles et sensibles ? · L accès autorisé aux éléments de données restreints est-il respecté dans toute l entreprise ? · La synchronisation de données fonctionne-t-elle sur tous les systèmes où la donnée est utilisée, et est-elle effective ? · Les données critiques peuvent-elles être corrigées dans tous les systèmes qui les utilisent ? Nous avons également besoin de savoir quel volume de données nous gérons au sein de chaque système. La technologie de Le point clé ici est la nécessité de mettre en place des initiatives de découverte de découverte des données données et de réaliser un mapping du VMP afin de localiser les données à risque permet de localiser dans toute l entreprise. Cette tâche peut être réalisée manuellement ou rapidement les données à risque. automatiquement. Si elle est faite manuellement, la tâche de découverte prendra du temps et sera très coûteuse. Par conséquent, les plates-formes de gestion de données qui incluent un outil de découverte automatique pour localiser les données et les relations entre les données à travers plusieurs systèmes de l entreprise offrent un avantage certain. Par un marquage automatique des données répertoriées au sein du VMP il devient possible pour ces outils de localiser des données signalées dans le VMP comme étant sensibles, confidentielles ou essentielles pour l activité - et de déterminer si les politiques relatives à la qualité des données sont respectées. Prévention des risques liés aux données Après avoir localisé les données à risque dans toute l entreprise, l étape suivante consiste à impliquer les personnes, à mettre en uvre des processus et des technologies de gouvernance et de gestion des données afin de prévenir l occurrence des risques liés aux données. Cela peut se traduire par : 1. L application de politiques de gouvernance des données et de gestion des risques liés aux données pour en réduire les effets 2. L identification de la source ou de la cause de chaque risque liés aux données, et la mise en uvre de politique de conduite du changement pour réduire les risques de récidive 3. La surveillance des risques liés aux données pour vérifier l efficacité des politiques et procédures de diminution des risques. Copyright © Intelligent Business Strategies Limited 13
  • 14. Gouvernance, Risques et Conformité - Le rôle de la gestion des données dans la diminution des risques Application des politiques de gestion des risques liés aux données Dans une plate-forme La première politique à appliquer concerne les données à risque qui ont déjà été technologique de gestion identifiées au sein de l organisation. Cela implique de partager les métadonnées des données, des outils entre les différents outils d une plate-forme de gestion des données qui aura été peuvent être utilisés pour appliquer les politiques de mise en place. La figure 2 représente une plate-forme de gestion de données, telle gestion des risques. que présentée dans un autre livre blanc de cette série Gouvernance, Risques et Conformité, traitant de la gouvernance des données4. A noter que des outils supplémentaires de gestion des données ont été ajoutés en plus de ceux déjà mentionnés dans le premier document. Il s agit notamment d un outil de masquage des données confidentielles, d un outil de sauvegarde et de correction des données et d un outil de gestion de la sécurité des données pour gérer les autorisations sur plusieurs systèmes. Les outils nécessaires pour appliquer la politique aux données à risque sont indiqués en rouge. Using The Enterprise Data Management Platform For Data Risk Management La plate-forme de gestion des données est une suite d outils qui accèdent à des métadonnées Data Governance / Management Console partagées Data & Data Data Data Data Backup Data Business Metadata Quality Cleansing Privacy and Security Glossary Relationship Profiling & & Monitoring Matching Masking Recovery Manage Tool Discovery Tool Tools Tools Tool ment tool Tools A shared business vocabulary is defined and documented using a business glossary shared tool. Also, approval processes metadata can be created here. All tools in the Data Management Platform share a common repository Figure 2 La clé de la réussite d un tel projet réside dans le partage des métadonnées entre l outil de découverte des données et les outils de gestion des données mis en évidence dans la plate-forme. La découverte La découverte automatisée de données permet de trouver des entités complètes de automatisée de données données à travers des systèmes hétérogènes. Cela implique par exemple permet de trouver des l identification de toutes les données client et les relations entre ces données au sein entités complètes de données à travers des de l entreprise, et ce, peu importe leur localisation. Ce phénomène est illustré sur la systèmes hétérogènes figure 3. 4 « Gouvernance, Risques et Conformité - Le rôle de la gouvernance des données dans la stratégie de Gouvernance, Risques et Conformité » Copyright © Intelligent Business Strategies Limited 14
  • 15. Gouvernance, Risques et Conformité - Le rôle de la gestion des données dans la diminution des risques Automated Data Discovery Seeks To Find Complete Business Data Entities Across Heterogeneous Systems Customer Automated grouping of tables across multiple systems into business entities Copyright © Intelligent Business Strategies, 2010 Figure 3 Cela signifie qu il devient En trouvant des pools complets de données (un client, un produit ou une possible de savoir où se commande, par exemple), il devient possible de gérer les risques au niveau de trouvent toutes les l entité, indépendamment de l endroit où se trouvent les données. Si l on prend données à risque l exemple d un ensemble de données correspondant à un client, il devient possible de gérer la qualité, la confidentialité, la sauvegarde, la sécurité d accès, la correction et la synchronisation des données de ce client. Grâce à la localisation des données par la technique de découverte des données et l établissement des correspondances sur un VMP, il devient possible d identifier les politiques de gestion des risques de données (qualité, confidentialité, accès sécurisé, etc.) qui sont relatives à un pool de données en particulier. Par conséquent, en partageant les métadonnées générées pendant la découverte des données avec d autres outils de gestion de données, il devient possible d appliquer des politiques déjà définies pour gérer les risques liés aux données. C est ce que nous retrouvons sur la figure 4. Afin de prévenir les risques liés à la qualité des données, les métadonnées de En partageant la mauvaise qualité peuvent être traitées avec des outils de gestion de la qualité des localisation de toutes les données pour les rendre fiables. De même, afin de prévenir les infractions à la données à risque avec confidentialité des données, les métadonnées sensibles et confidentielles peuvent d autres outils de gestion des données, il devient être protégées avec des outils spécifiques, permettant de masquer ces données dans possible d appliquer aux les systèmes où elles se trouvent et de gérer la production de pools de données test. données les politiques de Il devient également possible de sauvegarder des pools complets de données, gestion des risques dans indépendamment de leur localisation, tout simplement parce que la découverte des l entreprise. données a permis d identifier tous les éléments des données et leur environnement parmi les systèmes hétérogènes de l entreprise. Copyright © Intelligent Business Strategies Limited 15
  • 16. Gouvernance, Risques et Conformité - Le rôle de la gestion des données dans la diminution des risques Using Automated Data Discovery And Data Management Tools To Mitigate Data Risks Prevent data defects by automating data quality assessment and data cleansing of discovered at-risk data Data Discovery Tool Data Profiling Tool Data Cleansing Tool Prevent data privacy customer breaches by masking Data Privacy Tool discovered sensitive/ metadata confidential data & generating test data Backup and Automate backup & metadata Recovery Tool recovery of complete Data sources data entities Data Security Admin Tool Prevent data access security violations by managing authorised access to complete data entities across the enterprise Copyright © Intelligent Business Strategies, 2010 Figure 4 Identification desSources de risques de données En plus d appliquer des politiques de gouvernance, de gestion et de contrôle de données, il est également très important de déterminer la source des risques liés aux données pour empêcher de futures occurrences. La source (cause) de données à risque peut être un employé, un utilisateur externe (un client, un partenaire ou un fournisseur, par exemple), une application ou un script s exécutant à l intérieur de l entreprise ou en dehors de l entreprise (dans le cloud, par exemple) ou sur un système client ou partenaire. Plus rare mais possible, une catastrophe naturelle peut également être la cause de situations de données à risques. Les risques liés aux Une fois la source identifiée, il est nécessaire d apporter des modifications au données peuvent être niveau des procédures pour aider à diminuer les risques à l avenir. Il pourrait même recherchés à la source et être justifié de prendre une assurance contre un risque lié aux données, si le coût de des modifications peuvent remise à niveau ou de correction s avère élevé. Par exemple, il peut être nécessaire être apportées pour réduire d éventuels de modifier les procédures afin d introduire des options de confidentialité et de risques supplémentaires. nettoyage des données, si les données sont saisies au clavier ou sur la base d événements. Un conseil de sécurité des informations, impliquant un processus formel d approbation, peut également être mis en place pour régir la sécurité d accès aux données et la lier à des contrôles internes. La surveillance des risques liés aux données Le suivi des risques La dernière étape dans la prévention des risques liés aux données consiste à permet aux entreprises surveiller et contrôler les risques.. Ce qui implique la mise en place d indicateurs d en garder le contrôle. de risque mettant en évidence leur fréquence et leur gravité. Des rapports de gestion de risques et des tableaux de bord graphiques sont nécessaires pour permettre aux personnes désignées comme responsables de surveiller les risques dans leurs domaines respectifs. Ces fonctions de suivi des risques pourront être intégrées aux rapports de surveillance de la qualité des données existants afin de permettre une surveillance centralisée. Copyright © Intelligent Business Strategies Limited 16
  • 17. Gouvernance, Risques et Conformité - Le rôle de la gestion des données dans la diminution des risques Mise à jour des données après un événement à risque Outre l utilisation de technologies de gestion de risques, il est nécessaire d établir des procédures de redressement, dans le cas où des risques se produiraient. Par exemple, il devrait être possible d identifier les activités frauduleuses résultant d une violation de confidentialité des données et de localiser facilement le risque lié aux données (les données sensibles non masquées, par exemple). Les liens entre les métadonnées rendent notamment cela possible. Les entreprises doivent pouvoir avoir confiance en leurs procédures de redressement. Ce qui implique d être en mesure d identifier rapidement la source du risque, de localiser les données, de les corriger, de masquer et/ou de sécuriser l accès à ces données et d être en mesure de faire un rapport sur toute l activité liée au redressement. Des procédures Les procédures de redressement doivent être documentées, communiquées éprouvées de largement et si possible automatisées. Tester ses procédures de contrôle et de redressement aident les entreprises à agir redressement est un facteur clé de réussite d un projet de correction et de mise à rapidement pour jour des données. Cela apporte une certaine confiance et sérénité aux entreprises, minimiser l impact qui améliorent ainsi leur réactivité et réduisent au minimum l impact sur leur économique. activité. Il est également important de connecter des fonctionnalités comme la découverte électronique dans tout processus de redressement pour être en mesure de récupérer toutes les communications liées pouvant avoir eu lieu avant et après l événement qui s est produit. Copyright © Intelligent Business Strategies Limited 17
  • 18. Gouvernance, Risques et Conformité - Le rôle de la gestion des données dans la diminution des risques Conclusions Gouvernance et gestion Il ne fait aucun doute que la gouvernance et la gestion des données jouent un rôle des données jouent un important dans la diminution des risques. Avant tout, une stratégie de gestion des rôle crucial dans la risques et une méthodologie pour la gestion et la prévention des risques de données diminution des risques. doivent être établies. Il est également primordial que vous sachiez où sont vos données, afin d avoir en permanence la possibilité d identifier les données à risques, de les classer et de définir des politiques pour gérer ces risques. Un vocabulaire d affaires Etablir un vocabulaire métier partagé (VMP) est un point de départ essentiel. partagé vous permet de L existence d un VMP vous permet de définir systématiquement les données de définir systématiquement référence et de transaction ainsi que toute politique associée de gestion des risques les données élémentaires, de signaler à appliquer à ces données. En faisant usage des outils de découverte des données les données à risque et dans une plate-forme de gestion des données, les données de référence et de définir des politiques transactionnelles définies en commun peuvent être localisées dans l entreprise et de gestion des risques. stockées dans le VMP. Une fois cette tâche accomplie, il est possible d obtenir une vision globale de toutes les données à risque de l entreprise. À ce stade, vous pouvez déterminer si les politiques de gestion des risques (et autres politiques de gouvernance des données) sont mises en application dans les systèmes sous-jacents qui abritent les données à risque identifiées. Si ce n est pas le cas, il devient Une plate-forme de gestion des données possible d appliquer de telles politiques, de rechercher la cause des risques et vous aide à définir et à d apporter les changements nécessaires pour prévenir d autres risques. Étant donné appliquer les politiques de que les plates-formes logicielles de gestion de données fournissent une grande contrôle des données à partie des outils pour atteindre ce résultat, il est difficile d admettre que des risque dans l entreprise. entreprises n investissent pas dans de tels outils. Enfin, établir la responsabilité et la propriété des données au sein de l organisation implique que des personnes seront responsables de la surveillance des risques liés aux données. Ceci, associé à des procédures éprouvées de redressement du risque, doit amener au sentiment que l organisation est sous contrôle et peut réussir sa stratégie de gestion des risques. Le présent article se concentre sur la gestion des risques dans un programme de Gouvernance, Risques et Conformité. Dans le prochain article de cette série, nous aborderons le thème de la conformité. Copyright © Intelligent Business Strategies Limited 18
  • 19. Gouvernance, Risques et Conformité - Le rôle de la gestion des données dans la diminution des risques À propos d Intelligent Business Strategies Aujourd hui, les entreprises prospères sont celles qui savent assimiler les nouvelles technologies de l information et les utiliser efficacement dans leur activité. Mais face à tant de nouveaux développements technologiques comment les utilisateurs d informatique et les professionnels peuvent-ils suivre ? Intelligent Business Strategies est une société de recherche informatique et de conseil dont le but est d aider les entreprises à comprendre et à exploiter les nouveaux développements en business intelligence, traitement analytique, gestion des données et intégration d entreprise. Ensemble, ces technologies permettent à une organisation de devenir une entreprise intelligente. Mike Ferguson est le Directeur général d Intelligent Business Strategies Limited. En tant qu analyste et consultant, il est spécialiste en business intelligence et en intégration d entreprise. Avec plus de 29 ans d expérience dans le domaine IT, Mike a collaboré avec des dizaines d entreprises concernées par des problématiques de business intelligence, de gestion des données et d intégration d entreprise. Il est intervenu lors de manifestations dans le monde entier et a écrit de nombreux articles. Mike est un expert local sur le Réseau B-EYE, proposant des articles, des blogs et ses points de vue sur l industrie. Auparavant, il a été Directeur et co-fondateur de Codd and Date Europe Limited - les inventeurs du modèle relationnel, architecte en chef à Teradata et Directeur général Europe de Database Associates. Il enseigne dans des masters de veille stratégique opérationnelle et de gestion de la performance, de gouvernance de données d entreprise, de gestion des données de référence et d intégration opérationnelle d entreprise. INTELLIGENT BUSINESS STRATEGIES Intelligent Business Strategies 2nd Floor, Springfield House Water Lane, Wilmslow Cheshire SK9 5BG Angleterre Téléphone : (+44)-1625-520700 URL Internet : www.intelligentbusiness.biz E-mail: mferguson@intelligentbusiness.biz Série Gouvernance, Risques et Conformité - Le rôle de la gestion des données dans l atténuation des risques Copyright © 2010 par Intelligent Business Strategies Tous droits réservés Copyright © Intelligent Business Strategies Limited 19

×