Opinions
Une structure du risque pour la gestion des données maîtresses
Par La rédaction, publié le 09 septembre 2014
D’ici à 2017, 33 % des plus grandes entreprises internationales subiront une crise des informations en raison de leur incapacité à apprécier leurs informations d’entreprise à leur juste valeur, à les gouverner en conséquence et à leur accorder leur confiance.
Les directeurs des systèmes d’information (DSI) et les directeurs des données s’appuient sur leurs programmes de gestion des données maîtresses (MDM, pour Master data management) afin de fournir une version unique et de confiance des données maîtresses à travers l’entreprise. Toutefois, ils sont peu nombreux à protéger de façon adéquate cette ressource clé de l’entreprise via une structure dédiée de gestion du risque, de sorte que leur entreprise se retrouve exposée.
Gartner définit cinq piliers pour la mise en place d’une telle structure, en tenant compte d’un contexte où le profil de risque change au fil du temps.
1. IDENTIFIER ET ÉVALUER LE RISQUE
Il est essentiel de comprendre les risques opérationnels, technologiques et liés aux informations qui ont un impact sur les programmes de MDM. Le processus de cette évaluation peut s’enrichir d’événements de risque (occurrences réelles et impacts du risque réalisés) existant sur un précédent programme MDM, ou encore d’observations antérieures d’audits ou liées à d’autres programmes axés sur les informations (BI, CRM, etc.). Le registre des risques informatiques, lorsqu’il existe, peut aussi mettre en avant des risques tels que les problèmes d’infrastructure partagée et de perte de personnel. Il n’est pas non plus inutile de souscrire à des rapports externes, tels que ceux publiés sur les menaces. Surtout, un dialogue continu avec les équipes en charge du risque et de la sécurité des informations garantit la pertinence de cette évaluation dans le temps, sujette à l’émergence de nouveaux risques, à un éventuel remaniement organisationnel ou à la mise à disposition de nouvelles technologies de rupture, par exemple.
Il convient ensuite de déterminer la probabilité qu’un risque se produise et son niveau d’impact sur l’entreprise. C’est à cette dernière de définir son seuil de tolérance, de décider quelle perte potentielle liée à un risque est acceptable. Par exemple, le risque peut être que les gérants des données opérant en silos sont incapables d’identifier les problèmes interdomaines liés aux données d’entreprise, la conséquence étant une probabilité d’occurrence de 1/100 000 avec un impact financier de 1 M$, sans perte additionnelle due à des amendes pour non-respect des réglementations ou une dégradation de la réputation. Certaines entreprises peuvent choisir d’accepter ce risque plutôt que de financer des mesures en vue de l’atténuer. En revanche, il est crucial que la probabilité et l’impact soient bien évalués. Si la probabilité était de 1/1 000 et l’impact financier de 10 M$, la décision prise serait sûrement très différente. D’où la nécessité de réfléchir avec les équipes chargées du risque et de la sécurité des informations, comme avec celles de gouvernance des informations.
Le résultat de ce processus est un ensemble approprié de risques attendus du programme de MDM, hiérarchisés par priorités et prêts à servir de contributions pour déterminer comment ces risques doivent être gérés, quelles actions doivent être entreprises.
2. DÉTERMINER LES IMPÉRATIFS
Il convient d’identifier les responsables appropriés, d’une part des risques identifiés et, d’autre part, des actions à entreprendre : ce ne sont pas toujours les mêmes. Des impératifs de contrôle continu doivent également être définis. À cette étape de la structure, l’objectif n’est pas de concevoir la solution, mais plutôt d’énoncer clairement quelles capacités doivent être en place de façon continue pour traiter le risque.
Ces décisions sont prises en fonction de la tolérance au risque de l’entreprise. Une entreprise peut décider d’accepter un risque mais mettre en place des contrôles supplémentaires afi n de surveiller les indicateurs guides, puis revenir sur cette décision ultérieurement. L’entreprise peut également décider de transférer son risque, si elle estime qu’il est économique et sûr d’agir ainsi. Par exemple, elle peut transférer à un prestataire de services de formation tiers le risque d’une formation inadéquate de ses effectifs à la qualité des données (mais pas la qualité des données elle-même) et surveiller les résultats par rapport au contrat de niveau de service (SLA) passé avec ce prestataire.
3. ÉLABORER LA SOLUTION
La conception de la solution utilise comme contributions les impératifs de contrôle, les considérations supplémentaires identifiées et les décisions sur la séparation des risques.
Pour obtenir un environnement de contrôle du risque efficace sur les domaines de la structure organisationnelle et le processus métiers concernés, il faut qu’il y ait la bonne combinaison de contrôles. Cela signifie que les considérations culturelles et politiques sont aussi importantes que le coût de mise en oeuvre des contrôles adéquats. Après tout, la mise en oeuvre de contrôles qui se chargent du risque, mais que personne ne suit, ne peut pas donner un environnement de contrôle efficace.
Pour être efficace, l’élaboration de la solution doit prendre en compte non seulement les risques qui se posent dans l’environnement du moment, mais aussi les menaces qui se profilent à court et à moyen termes. Par exemple, les scénarios où une entreprise examine les modèles PaaS (Platform as a service) ou SaaS (Software as a service) pour la MDM doivent envisager des options telles que des stratégies centrées sur les individus ou une surveillance interne omniprésente.
Parallèlement à la conception de contrôles efficaces et équilibrés, l’approche des tests de conformité doit être définie. Les critères qui déterminent le succès, l’échec et les valeurs intermédiaires seront spécifiés à l’aide d’exemples.
4. DÉPLOYER LA SOLUTION
Pour un responsable de programme de MDM, il est très important de comprendre comment le déploiement – un processus souvent long et consommateur de ressources – sera fait, par qui et quelles parties de l’entreprise doivent être impliquées. Par exemple, dans certaines entreprises, les départements en charge du risque opérationnel gèrent et exécutent cette activité avec des délais et des processus qui sont bien établis. Au gestionnaire du programme de MDM de s’y adapter, sans chercher à déployer une solution distincte.
La migration des nouveaux contrôles et la gestion de sortie des contrôles existants sont en outre souvent complexes et propices à des problèmes de processus. Parfois, les contrôles existants souffrent d’observations d’audit qui leur sont défavorables, d’exceptions aux politiques en place et de problèmes qui sont en cours de résolution. Dans certaines situations, il peut y avoir des tiers dont les modalités contractuelles sont liées à des contrôles en voie d’obsolescence, et la migration vers des contrôles plus récents peut également entraîner des retards.
Les activités de communication et de formation devront pour leur part, dans l’objectif d’une efficacité optimale, être alignées sur les initiatives existantes, telles que celles liées à la confidentialité des données et à la sécurité des informations.
5. SURVEILLER ET CONTRÔLER
Les risques doivent être contrôlés en continu. Des seuils seront donc déterminés pour asseoir la surveillance des performances des opérations et des processus par rapport aux indicateurs témoins et aux guides établis.
Par exemple, dans un enregistrement de données maîtresses sur les clients, un numéro de sécurité sociale ou un numéro d’identité nationale peut avoir un seuil de disponibilité « vert » de 98 %, un seuil « orange » compris entre 95 et 97,9 % et un seuil « rouge » de 94,9 % ou moins. La surveillance mise en place identifiera alors une dérive vers le bas qui trouve ses origines dans un centre d’appels donné et déclenchera en conséquence un événement appelant des contrôles préventifs. Il pourra s’agir d’une alerte téléphonique adressée au gérant de ces données, qui pourra prendre une mesure immédiate ou fera remonter le problème de sorte que le risque soit traité avant d’atteindre un niveau inacceptable.
Le plan des tests de conformité créé durant la phase de conception doit être exécuté pour tester l’efficacité de l’environnement de contrôle. Si les contrôles sont bien conçus, le gérant des données pourra utiliser les métrologies continues générées pour obtenir une bonne compréhension du niveau de conformité des processus métiers, bien avant les évaluations formelles des tests de conformité.