Pour les MSP, une cybersécurité efficace doit inclure la gouvernance des données
Alors que de nombreux MSP commencent tout juste à explorer les opportunités commerciales autour de la cybersécurité, le besoin de gouvernance des données est en réalité un problème depuis des années, voire des décennies.
La gouvernance des données a toujours été au cœur des préoccupations depuis que les systèmes et les applications sont devenus monnaie courante pour aider les entreprises à gérer leurs activités, a déclaré à ChannelE2E David Washo, partenaire du service client chez AHEAD, cabinet de conseil en transformation numérique. Que les entreprises aient ou non su à l’époque appeler cela gouvernance des données, gestion de l’information ou gestion des données, elles ont toujours su que prendre soin de ses données faisait partie intégrante des opérations commerciales.
Une gouvernance efficace des données est un élément essentiel d’une stratégie globale de cybersécurité. Elle garantit que les données sont cohérentes et fiables et qu’elles ne sont pas utilisées à mauvais escient. Elle est de plus en plus essentielle à mesure que les organisations sont confrontées à des réglementations de plus en plus strictes en matière de confidentialité des données et s’appuient de plus en plus sur l’analyse des données pour optimiser leurs opérations et favoriser la prise de décision commerciale.
La gouvernance des données est un élément essentiel d’une stratégie globale de gestion des données. Mais les organisations doivent se concentrer sur les avantages commerciaux attendus d’un programme de gouvernance pour qu’il soit efficace. Washo a déclaré que récemment, avec l’essor de l’IA et d’outils et de technologies plus sophistiqués, l’intérêt pour les capacités de gouvernance des données a été ravivé.
L’essor de l’IA met l’accent sur la gouvernance des données
« Plus précisément, pour les organisations déjà engagées dans cette voie, l’accent est mis sur ce qui doit changer, et pour celles qui commencent leur parcours, l’accent est mis sur la meilleure façon de déployer les capacités. Suivent-elles des modèles traditionnels comme les domaines de données, les gestionnaires de données et la qualité des données ? Ou utilisent-elles des techniques plus avancées comme l’utilisation de modèles ML et déploient-elles des catalogues de données avancés et intègrent-elles la gouvernance des données dans les architectures de données et limitent-elles autant que possible l’implication humaine ? » a déclaré Washo.
Bien entendu, les lois et mandats de conformité réglementaire croissants dictent parfois l’approche que les MSP doivent adopter et peuvent varier en fonction de la région, du marché vertical et d’autres facteurs.
« Pour les organisations mondiales, le Règlement général sur la protection des données (RGPD) est un enjeu majeur, qui met l’accent sur la protection des données personnelles collectées et le droit de rester privé ou anonyme », a déclaré Washo. « Le California Consumer Privacy Act (CCPA) s’applique aux résidents de Californie et est similaire au RGPD, en mettant l’accent sur le droit à l’oubli (à la suppression des données) et sur le droit de se retirer des campagnes de vente. Par exemple, ne pas utiliser [a customer’s] « Informations personnelles identifiables (PII) à vendre à un tiers sans mon consentement. »
Si cela semble incroyablement complexe, rassurez-vous : c’est généralement moins invasif que les organisations ne le pensent, a déclaré Washo. Il s’agit généralement simplement de réunir les experts en données les plus avertis d’une organisation (que ce soit par domaine ou par domaine) et de commencer à élaborer un plan pour une meilleure gestion des données, a-t-il ajouté.
« La plupart du temps, les organisations mettent déjà en place une forme de gouvernance des données, mais cela se fait de manière informelle. C’est la formalisation de certains processus, décisions, rôles et responsabilités qui donne véritablement vie à la capacité de gouvernance des données », a déclaré Washo. Cela comprend la formalisation des réponses aux questions, notamment sur la manière dont les décisions sont prises sur les données. Qui prend les décisions ? Qui est responsable en dernier ressort de la qualité des données ? Comment savons-nous que les données sont fiables ? Qui est responsable de la correction des erreurs de données ?
« Comment l’entreprise se mobilise-t-elle autour de ses données les plus importantes ? Comment les équipes informatiques et commerciales travaillent-elles ensemble ? Toutes ces questions sont au cœur des réponses apportées par la gouvernance des données », a déclaré Washo. « Une bonne façon de commencer est de déclarer que l’entreprise va formaliser cette capacité, puis de la définir et de se concentrer sur les petites victoires et de s’assurer que le soutien de la direction est fort. »
Mettre tous ensemble
Pour faciliter les choses, a déclaré Washo, il est important de commencer par bien comprendre les différences entre la gouvernance des données et la gestion des données et de s’assurer que non seulement les praticiens au quotidien connaissent la différence, mais que les dirigeants la connaissent également.
« La gouvernance des données établit les garde-fous pour la gestion des données (en d’autres termes, la manière dont cela doit être fait). La gestion des données consiste à bloquer et à gérer au quotidien les tâches de gestion des données », a expliqué Washo. « La gouvernance des données fonctionne en partenariat avec les fonctions de gestion des données. Une façon de faciliter l’ensemble de la fonction est de s’assurer que les rôles et les responsabilités sont clairs. Sans propriété, rôles et responsabilités clairs, l’activation technologique sera un désastre et il y aura toujours un peu de flou par rapport à la valeur et à qui fait quoi », a-t-il déclaré. Commencez simplement par comprendre les capacités de base, obtenez le soutien et le parrainage de la direction, communiquez souvent et utilisez la technologie pour activer ces capacités lorsque cela est nécessaire, a-t-il déclaré.
D’autres facteurs clés souvent négligés sont les aspects culturels et de communication, où les programmes de gouvernance et de gestion des données échouent souvent. À titre d’exemple, explique Washo, il se peut que la direction n’ait pas une compréhension claire de ce qu’est la gouvernance des données et de la manière dont elle peut aider l’organisation.
« Les dirigeants et la direction doivent comprendre que la gouvernance des données est un parcours et se préparer au changement culturel nécessaire en se concentrant sur de nouvelles méthodes de travail », a-t-il déclaré. « Les résultats ne seront peut-être pas immédiats, mais au fil du temps, une organisation en tirera des bénéfices. C’est un peu comme faire de l’exercice physique : quelques séances de gym ne produiront pas de résultats immédiats. C’est la discipline et la répétition des actions qui permettent de voir les résultats au fil du temps. »
Les cadres peuvent être utiles ici, mais Washo a souligné qu’ils devraient être utilisés comme un guide et non comme un évangile strict. « Le corpus de connaissances sur la gestion des données (DMBOK) est une source fiable et intemporelle », a-t-il déclaré. « En fait, tous les cadres doivent être utilisés comme un guide, mais les programmes de gouvernance des données doivent être spécifiquement adaptés à chaque organisation. Le modèle d’intégration de la maturité des capacités (CMMI) dispose d’un modèle de maturité de la gestion des données (DMMM) qui est également un bon guide à suivre. Les aspects du modèle de maturité peuvent permettre à une organisation de s’évaluer sur sa maturité globale en fonction de critères de référence cohérents et comparables, a déclaré Washo.
Dans le cadre d’une stratégie globale de cybersécurité, les MSP et les organisations qu’ils servent doivent investir pour devenir axés sur les données. Quelle que soit la manière dont ils se réfèrent à la capacité d’activation des données, à la gestion des données ou à la transformation des données, s’assurer que les rôles et responsabilités appropriés et les résultats commerciaux sont clairs aidera tout le monde à rester plus en sécurité.