La gestion des données pour allier sécurité et flexibilité

Les entreprises doivent ouvrir leur système vers l’extérieur tout en renforçant les mesures de sécurité de la donnée.

vaucouleurUneL’exploitation des données doit répondre à de nouvelles exigences, tant réglementaires que business.
Les entreprises doivent, pour cela, ouvrir leur système vers l’extérieur tout en renforçant les mesures de sécurité de la donnée. L’équilibre complexe à trouver implique une meilleure gestion et gouvernance des données. Par Sébastien Lambotte pour l’édition ITnation Mag Juillet 2016

D’un côté, les régulateurs exigent des acteurs économiques qu’ils fassent preuve de plus de transparence, leur demandant de produire une kyrielle de reportings. D’un autre côté, les clients souhaitent désormais pouvoir disposer sans délais des informations qu’ils cherchent ou qui les concernent. Dans ce contexte, le management de l’information constitue un véritable défi pour les entreprises. « Pour y répondre, il faut que les sociétés parviennent à gérer les données plus efficacement, afin de faciliter leur mise à disposition mais aussi d’en assurer la qualité tout en garantissant leur protection. Atteindre ces objectifs, devrait permettre de mieux maîtriser les coûts, et idéalement les réduire », commente Pascal Vaucouleur, Directeur Associé, Advisory Technology Services, EY Luxembourg. Jusqu’à aujourd’hui, la plupart des acteurs de la finance ont appréhendé les nouvelles exigences réglementaires les unes après les autres, mettant en place des procédures de gestion des données dédiées à chaque reporting à produire. Seulement, la multiplication des exigences rend les choses complexes à gérer. « Cette pression réglementaire va se poursuivre. Par exemple, la régulation BCBS 239 exige des acteurs d’être plus transparents sur la manière dont sont calculés les risques inhérents à l’activité financière et de fournir notamment des garanties sur la qualité de la donnée utilisée pour le calcul », poursuit Pascal Vaucouleur.

Faciliter l’accès à la donnée

La qualité de la donnée dépend de la manière dont elle a été saisie et entretenue tout au long de son cycle de vie. Une nouvelle gouvernance de l’information, centralisée, s’impose aujourd’hui pour répondre aux défis réglementaires et business auxquels sont confrontées toutes les entreprises. La gestion des données est souvent organisée en silo de manière indépendante, pour répondre aux besoins de production de chaque reporting et aux besoins métiers. Une même information peut se retrouver dans différents systèmes sans gestion coordonnée avec des risques de saisies multiples et un niveau de qualité hétérogène et non contrôlé. « L’organisation de la gestion de l’information de manière centralisée, avec une gouvernance garantissant son accessibilité et sa sécurité, doit permettre de gagner en efficacité à tous les niveaux, que ce soit pour satisfaire aux exigences des autorités de contrôle ou aux besoins du business », poursuit Pascal Vaucouleur.

 Nouvelles exigences européennes             

En outre, une gestion centralisée permet de garantir une plus grande protection de la donnée tout en octroyant à l’entreprise une flexibilité renforcée quant à son exploitation. Entre sécurité et accessibilité nécessaires, pour répondre au besoin d’ouverture des systèmes, il faut trouver un équilibre.

« Le nouveau règlement sur la protection des données personnelles (GDPR) devrait renforcer plus encore cette exigence, assure François Barret, Senior Manager, Information Security, EY Luxembourg. Adopté en avril dernier, il sera d’application pour toutes les entreprises endéans les deux ans. Ce règlement introduit un changement de paradigme : la protection des données personnelles pour toute application y recourant devra désormais être pensée by design. Autrement dit, toutes les mesures garantissant la protection des données devront être pensées, documentées préalablement au lancement d’un service s’appuyant sur l’exploitation des données personnelles. »

Mieux gérer des données plus nombreuses

Les implications sur la sécurité et sur la gestion de l’information seront non négligeables. Les acteurs, au regard des nouvelles exigences introduites par ce règlement, devront se poser les bonnes questions. Comment collecte-t-on la donnée, la conserve-t-on ou la détruit- on le cas échéant ? De quelle manière la protège-t-on ? La gouvernance en matière de gestion de la donnée doit dès lors être intégralement repensée.
« Il faut que les personnes en charge de la gouvernance de la donnée puissentsavoir à tout moment quelles sont les données présentes dans l’entreprise, mais aussi à quelles fins elles sont utilisées », assure Pascal Vaucouleur. Une gestion centralisée de la donnée, avec une classification précise et des accès définis, doit permettre de répondre aux nouveaux défis. « La croissance du nombre de données soulève aussi des problématiques en matière d’archivage. Stocker et sécuriser chaque donnée représente un coût important. Il faut dès lors ne plus s’encombrer des données qui n’ont pas de valeur ou, pire, que l’on n’est pas en droit de conserver », assure François Barret. Bien gérer la donnée est une chose. La protéger en est une autre. « Le règlement implique notamment que, en cas de faille, il faut pouvoir mieux communiquer sur les données concernées, tant auprès des autorités de contrôle que des clients concernés par la fuite des données. D’autre part, une faille liée au non respect des prescrits du règlement conduit désormais à des pénalités substantielles, à savoir jusqu’à 4% du chiffre d’affaires global de l’entreprise, le montant pouvant s’élever à 20 millions d’euros », poursuit François Barret.

La donnée, élément de base à protéger

Sécuriser la donnée exige de mettre en place de nouvelles procédures et outils.
« Il faut considérer la donnée comme l’élément de base à protéger. On parle d’approches data centric en cyber-sécurité. Au départ de la donnée, on devrait envisager des moyens de protection, tant sur le plan de la prévention, de la détection que de la curation », poursuit François Barret. Une gestion centralisée de la donnée permettra de mettre en place des procédures de protection plus efficaces, à moindres coûts. « Il faut que les entreprises parviennent à mettre en place une gestion harmonisée permettant une identification claire de la donnée, garantissant son maintien, sa qualité, sa sécurité tout au long de son cycle de vie. »