(Photo: Sigmund pour Unsplash)
BLOGUE INVITÉ. La cybersécurité et la gouvernance des données sont deux sujets d’actualité sur lesquels les entreprises se posent énormément de questions. On constate effectivement une nette augmentation dans le nombre de recherches faites sur la sécurité et la gouvernance de données dans les dernières années. Selon Google Trends, l’intérêt pour le terme « gouvernance de données » est actuellement à 91 % comparé à 29 % en octobre 2015 et celui pour « cybersécurité » est à 93 % comparé à 11 % en aout 2015.
La tendance de recherche de ces deux sujets n’est pas une coïncidence.
D’une part, il y a une forte augmentation de risques reliés à la cybersécurité et une pression pour augmenter la responsabilité sociale des entreprises. La sécurité des structures informationnelles est donc un sujet important sur lequel la haute direction veut agir.
D’autre part, les données nécessitent d’être bien gérées afin de devenir un réel atout. Il y a quelques années, IBM estimait que la mauvaise gestion des données coûtait 3,1 trillions de dollars américains à l’économie des États-Unis. Cette perte se matérialise à travers le travail en double, voire en triple, occasionné par la correction des données avant la présentation d’un indicateur ou la prise d’une décision.
La gouvernance de données n’est ainsi plus une option, mais plutôt une nécessité pour les entreprises qui souhaitent être responsables envers leurs parties prenantes.
Risques liés
Pendant des années, la gouvernance des données a été un sujet honni dans la plupart des entreprises, car elle menait souvent à une guerre de clochers entre les différentes divisions. Qui était le propriétaire de la donnée ? En l’absence d’un positionnement clair, ce sont les TI qui, année après année, devaient inclure un projet de gouvernance des données dans leur portfolio de projets, sans toutefois pouvoir le mener à terme.
La valeur commerciale des données et la cybermenace ont fait évoluer la position des entreprises sur le sujet, qui est maintenant à l’ordre du jour des comités exécutifs et des conseils d’administration. Le fait que le gouvernement ait introduit des changements législatifs n’y est également pas étranger.
Présenté à l’Assemblée nationale en mai dernier, le projet de loi 95 prévoit « l’obligation, pour les organismes publics, d’assurer la sécurité des ressources informationnelles et de l’information qu’ils détiennent ou qu’ils utilisent, ainsi que celle de prendre, en cas d’atteinte ou de risque d’atteinte à la confidentialité, à la disponibilité ou à l’intégrité de ces ressources ou de cette information, toutes les mesures visant à en corriger les impacts ou à en réduire le risque ».
Ainsi, les entreprises qui ne mettent pas en place une gouvernance des données sont désormais hors la loi. Aux États-Unis, la banque Capital One a dû payer une amende de 80 millions de dollars américains (107 M$ CA) à la suite du vol de données qui a affecté environ 106 millions de clients. Au Québec, aucune entreprise n’a été mise à l’amende jusqu’à maintenant, mais la mésaventure de Desjardins a sans aucun doute mené à la création du projet de loi 95. Le sort des prochaines entreprises à être victime d’une attaque ou d’une fuite sera probablement différent.
Par où commencer?
Une gouvernance des données adéquate demande la mise en place de quelques éléments essentiels : définir des politiques claires ; assigner des rôles et des responsabilités à chaque partie prenante ; dresser un inventaire de ses données ; créer des processus pour la création et la maintenance des données. Aussi, sensibiliser et former ses équipes, car ultimement, c’est la culture de l’entreprise qui doit évoluer pour que chacun comprenne non seulement la sensibilité, mais aussi la valeur des données.
En effet, si une bonne gouvernance peut prévenir contre plusieurs risques et inefficiences, la valorisation des données peut être un véritable tremplin pour une organisation. Améliorer ses processus, accélérer la prise de décision, créer de nouveaux produits ou services ou même revoir son modèle d’affaires : tout cela est possible si on accorde à cette matière première à laquelle nous avons tous accès — les données — l’importance qu’elle mérite.