Technologies de l'information
Article
Nouvelle
Étude de cas
Portrait de formateur

Données : gouvernance, architecture et sécurité

Technologia
par Technologia
Technologia
Données : gouvernance, architecture et sécurité

Une grosse bouchée pour les organisations.

Revue avec la collaboration de Jean-Claude Beaudry et Pier-Olivier Houde

Le règne de la donnée

Ce n’est pas un phénomène nouveau, mais il a pris de l’ampleur : la donnée est au cœur de bien des organisations, puisqu’elle les aide à prendre des décisions éclairées, en intention du moins.

Pour que ce soit aussi le cas en pratique, cela nécessite de bien comprendre la valeur d’une donnée pour l’organisation (ou plutôt cette manne de données) tout en disposant d’une architecture et d’une gouvernance soutenant celle-ci. Deux éléments qui permettront de mettre les données à profit d’abord dans l’élaboration de la stratégie d’affaire et ensuite dans sa matérialisation.

L’architecture et la gouvernance des données devront être en adéquation avec l’importance de l’information pour toute activités (actions et décisions) effectuées par l’organisation.

Gouvernance des données

Une bonne gouvernance doit clarifier les rôles, les politiques, les processus et les contrôles nécessaires. C’est une mission délicate car elle touche tous les paliers de l’organisation, mais à des degrés divers. Pour être efficace, la gouvernance repose sur les points suivants[1] :

  • L'objectif de la donnée : être bien défini afin de permettre d'harmoniser la gouvernance avec les objectifs d'affaires.
  • Les exigences face à cette donnée : proviennent des besoins d’utilisation interne/externe de l’organisation et de certaines règlementations, ou lois, s’appliquant à celle-ci.
  • Les méthodes : comment les données seront-elles gouvernées. Un point aussi bien technique (prévention, intervention, etc.) qu’éthique (code de conduite…).La sécurisation est essentielle et varie selon la nature des données (publique, interne, protégé, confidentielle). Pour chaque catégorie, des règles des méthodes différentes devront être appliqué afin de prévenir et d'intervenir pour éviter un incident.
  • La provenance/source de cette donnée. Est-elle reconnue ? Sécuritaire ?
  • Les gens : ce sont eux qui sont d’abord l’objet de la gouvernance, afin de leur donner un cadre quant à l’usage et la consommation des données.
  • Les processus : ils détaillent la séquence des actions prises en vue d’obtenir un résultat spécifique (résolution de problème, catalogage, suivi, qualité, etc.).
  • La technologie : elle intervient sur de nombreux aspects des données, qui ont chacun leur degré de gouvernance (Importation/historisation, analyse, traitement/extraction, génération de métrique pour tableau de bord, etc.).
  • La culture : elle va grandement aider pour que tout fonctionne ensemble, en proposant un modèle de comportement qui suscite à la fois adhésion et respect éthique. La faille de sécurité la plus importante dans une entreprise est l'humain. Par le biais de formation et d'une conscientisation des enjeux, on minimise le risque d'un incident.

L’évolution spectaculaire de la gestion de données (nuage, lac de données, etc.) impose une modernisation des pratiques de gouvernance, pour toute organisation responsable.

Architecture de données

Des données efficaces ce sont aussi des données partagées, et ce, dans une forme adaptée à l’audience cible. L’évolution technologique autant que la variété des requêtes ont favorisé l’émergence d’un maillage des données qui se caractérise par :

  • D’une part par la flexibilité et la facilité d’accès (avec l’essor de l’infonuagique et son corollaire en gestion d’accès et de sécurité).
  • D’autre part par la virtualisation des données (permet l’expérimentation ainsi que l’exploitation de données variées).
  • Enfin, les nouvelles architectures permettent l’ingestion de données en amont et leur accès en aval.

Mais pour parvenir à tout cela il faut référencer les données pour comprendre leur contexte fonctionnel tout en conservant leur lien avec l’objectif d’affaires.

Un enjeu souvent rencontré est la propagation de la donnée à travers l’organisation sans toutefois créer de la duplication asynchrone de cette même donnée.  Une duplication asynchrone de données représente souvent des enjeux de confiance pour la donnée et sa sécurisation adéquate.

Il faut noter que la donnée est à l’origine de l’information, de la connaissance et de la sagesse d’une organisation (selon la hiérarchie DIKW – Data-Information – Knowledge – Wisdom).  Il est donc important de concevoir l’architecture de donnée afin d’assurer sa consommation adéquate dans le but de devenir une organisation faisant usage de sagesse dans sa prise de décision.

Compte tenu que la donnée et sa consommation reposent dans des systèmes et plateformes technologiques, il est donc impératif que l’architecture technologique soit cohérente avec l’architecture des données et des informations.

Sécurité des données

Qui dit donnée, dit enjeu de sécurité.  Le traitement des données doit être conformes aux diverses lois et réglementations auxquelles notre organisation est exposée.    Il faut donc bien connaitre ces exigences pour bien agir sur les données que nous gérons.

Une préoccupation accrue au niveau des données personnelles est beaucoup plus d’actualité.

es préoccupations grandissantes des usagers quant à la protection et à l’usage qui est fait de leurs données personnelles sont dans l’esprit de grand nombre d’organisations. C’est d’ailleurs cette préoccupation accrue qui a mené à la mise en place la loi 25, qui entre en vigueur progressivement depuis septembre 2022. L’objectif : responsabiliser les organismes publics et privés quant à la protection des renseignements personnels. Pour ce faire, celles-ci devront :

  • Continuer à investir dans le traitement et la protection des données personnelles.
  • Être transparentes envers les clients quant à l'utilisation de leurs données. Si la loi oblige à une certaine conformité, la transparence facilite la confiance.
  • Utiliser l’IA oui, mais sous le chaperonnage d’un humain pour s’assurer du respect des principes éthiques et limiter les impacts pour les décisions automatisées.

Il faut connaitre les menaces les plus importantes sur les données et se préparer à les protéger.

Les menaces sont réelles et regroupées sous huit grands groupes[2].

  1. Rançongiciels (bloquent vos opérations dans l’attente du versement d’une rançon).
  2. Logiciels malveillants (virus et autres).
  3. Ingénierie sociale (jouer sur le facteur humain, comme se faire passer pour un membre de la direction afin d’autoriser un virement bancaire).
  4. Menaces contre les données (pour obtenir accès à des base de données afin de les consulter ou de perturber le bon fonctionnement des systèmes qui en dépendent).
  5. Menaces sur la disponibilité/accessibilité : déni de service (impossible d’accéder au service ou aux données).
  6. Menaces sur la disponibilité/accessibilité : menaces internet (limiter ou empêcher l’accès au réseau internet).
  7. Désinformation et mésinformation
  8. Attaques de la chaîne d’approvisionnement et du bon fonctionnement entre le commanditaire et son fournisseur (le prestataire et son client sont visés).

De l’importance d’anticiper

Aucun secteur n'est à l'abri des attaques informatiques, ni aucune entreprise, grande ou petite. L’explosion du nombre de cas dans les dernières années nous le montre bien. D’ailleurs les PME sont particulièrement vulnérables : elles sont nombreuses et ont moins de ressources pour se protéger. Un responsable des systèmes de sécurité de l'information (RSSI) pourra définir et mettre en place la politique de sécurité de l'entreprise. Qu’importe qu’il soit interne ou externe, l’essentiel est qu’il prenne les bonnes mesures rapidement.

La sécurité étant l’affaire de tous les employés, pas seulement celle des T.I., il est aussi essentiel de sensibiliser et former les employés au risque informatique et à ses conséquences. Ce premier pas peut réduire significativement la vulnérabilité de l'organisation.

Bien sûr, la mise en place d'un plan d'intervention en cas d'incident informatique facilite la continuité des activités. Il doit inclure une phase de rétroaction pour évaluer l'efficacité des mesures et apporter les améliorations nécessaires.

Autres outils à disposition des organisations : l’audit de sécurité (évaluation des risques, audit de vulnérabilité et test d'intrusion), pour identifier les failles et les faiblesses potentielles.

Toujours anticiper le pire scénario afin d’être prêt. On ne le dira jamais assez, une sauvegarde hors-ligne est toujours garante de conserver vos données les plus importante. Aujourd’hui, les sauvegardes sont la première cible dès qu’une intrusion est réalisée pour réaliser un rançongiciel. Qui paierait une rançon quand une simple opération de restauration corrigerait tout en quelques clics avec moins de 24 heures de perte ?

Une question de culture

Les organisations disposent de plus en plus de données, qui intéressent les pirates. Il est donc logique que les usagers s’inquiètent de leur bonne préservation et que le gouvernement prenne des dispositions dans ce sens. Si la loi 25 a déjà établit un calendrier d’actions à prendre d’ici septembre 2024 (ainsi que les amendes pour les contrevenants), il est plus simple et plus efficace pour les organisations de prendre des mesures préventives. Et en particulier de développer au sein de leur équipe une culture de la cybersécurité.

Pour aller plus loin : 

ITSM : Gestion et gouvernance des pratiques

 

Programmation SQL : maîtrisez les essentiels

 

 [1] Selon l’approche de Dave Wells « Modern governance framework »

[2] Threat Landscape 2022 - ENISA

Photo de Shubham Dhage sur Unsplash

Articles similaires

Voir tous les articles de blogue
Le train de l’IA est en marche, ne restez pas sur le quai
Article
Nouvelle
Étude de cas
Portrait de formateur
Le train de l’IA est en marche, ne restez pas sur le quai
Technologia
par Technologia
Test logiciel : bien démarrer l’automatisation
Article
Nouvelle
Étude de cas
Portrait de formateur
Test logiciel : bien démarrer l'automatisation
Michel Benoit
par Michel Benoit
Un plan de test basé sur les risques
Article
Nouvelle
Étude de cas
Portrait de formateur
Un plan de test basé sur les risques
Michel Benoit
par Michel Benoit
RPRP et transferts des renseignements personnels hors du Québec
Article
Nouvelle
Étude de cas
Portrait de formateur
RPRP et transferts des renseignements personnels hors du Québec
Khady Niang Ly
par Khady Niang Ly