INTELLIGENT BUSINESS

STRATEGIES

LIVRE BLANC

Gouvernance, Risques et Conformit

Le rle de la gestion des donnes dans la diminution des risques

Par Mike Ferguson Intelligent Business Strategies Aot 2011

Prpar pour :

Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques

Table des matires

Introduction Gouvernance, Risques et Conformit ............................................................................3 Qu est-ce que la gestion des risques d entreprise ? .............................................................................5 Les problmes de donnes qui contribuent au risque ..........................................................................8 Risques lis la qualit des donnes ......................................................................................8 Risques lis la confidentialit des donnes ..........................................................................9 Risques lis la maintenance non autorise de donnes .....................................................9 Risques lis la synchronisation des donnes .................................................................... 10 Risques lis la correction des donnes ............................................................................. 10 Utilisation du Data Mana gement pour la rduction des risques ........................................................ 11 Questions culturelles et organisationnelles .......................................................................... 11 Identifier les donnes risque et l impact sur l activit ........................................................ 11 Dfinir des politiques destines grer les donnes risque ............................................ 12 Dterminer o les donnes risque se situent .................................................................... 13 Prvenir des risques lis aux donnes ................................................................................. 13 Application des politiques de gestion des risques lis aux donnes .... 14 Sourage des risques de donnes .......................................................... 16 La surveillance des risques lis aux donnes ......................................... 16 Mise jour des donnes aprs un vnement risque ...................................................... 17 Conclusions ........................................................................................................................................... 18

Copyright Intelligent Business Strategies Limited

Introduction au programme Gouvernance, Risques et Conformit - GRC

Diverses dfaillances ayant t constates ces cinq dix dernires annes, les entreprises accordent une plus grande attention en matire de Gouvernance, Risques et Conformit, afin de relever la barre et d acqurir de meilleures pratiques.

Au cours de la dernire dcennie, nous avons observ un nombre important de dfaillances au sein de grandes entreprises dans divers pays travers le monde. Certaines de ces dfaillances ont t le fait de mauvaises pratiques de gestion (galement connues sous le nom de gouvernance). Cela s est traduit par de nouvelles lois et rglementations de conformit qui ont t mises en place pour tenter d obliger les entreprises rhausser la barre en termes de qualit de processus ou de pratiques. Ces dernires annes, c est l effondrement de tout le secteur des services financiers qui a beaucoup attir l attention. Dans ce cas-l, la plupart des banques se sont effondres du fait de mauvaises pratiques dans la gestion des risques de crdit. Prter de l argent des clients haut risque sur le march hypothcaire des prts a finalement abouti ce que bon nombre de ces clients ne soient pas en mesure de payer leurs hypothques. En consquence, de nombreuses banques se sont effondres ou ont t reprises par les gouvernements ou par d autres banques. Aprs ces retombes, les proccupations des entreprises se sont concentres autour de trois domaines troitement lis : La gouvernance d entreprise La gestion des risques La conformit dans l entreprise

Ensemble, ils sont connus sous l appellation Gouvernance, Risques et Conformit (GRC). Wikipdia fournit un excellent schma (voir Figure 1) de ces trois domaines et de la faon dont ils s intgrent. Il montre galement que la combinaison de la stratgie, des ressources humaines, des processus et de la technologie est ncessaire pour contrler le problme de Gouvernance, Risques et Conformit.
Les socits ont besoin d une stratgie de Gouvernance, Risques et Conformit pour les aider grer leur activit.

Governance, Risk and Compliance

Source: Wikipedia

Figure 1

Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques
La gouvernance concerne la responsabilit et le contrle

La gouvernance est le terme qui dcrit la gestion et le contrle de toute une organisation de manire globale. Elle exige d utiliser davantage de structures de contrle des informations de l entreprise, impliquant responsabilit et approbation. La gouvernance ncessite galement la normalisation et l intgration des processus d activit, ainsi qu une meilleure gestion de l information, rendue possible grce des projets de gestion de la performance ou de business intelligence. La gestion des risques est l ensemble des processus permettant d identifier, d analyser, et surtout d viter les risques qui pourraient empcher une organisation d atteindre ses objectifs commerciaux. Il s agit galement d tre en mesure de dtecter rapidement les risques qui surviennent et d y rpondre en temps opportun afin de minimiser l impact de ces vnements risque sur l activit dans son ensemble. Le non-respect de la lgislation, la non-conformit aux rglementations et l exposition aux risques de crdit sont les principaux risques dont traitent les domaines de Gouvernance, Risques et Conformit. La conformit consiste se conformer aux exigences prescrites. Ces exigences peuvent tre spcifies dans la lgislation (la loi amricaine Sarbanes-Oxley Act par exemple), les rglementations de l industrie (la rglementation Solvency II pour l industrie de l assurance, par exemple) voire dans les politiques d entreprise. Une analyse de l activit est ncessaire pour identifier les exigences de conformit, valuer l tat de conformit actuel de l organisation, et valuer les risques et les cots potentiels de la non-conformit vs les cots d une mise en conformit. La mise en conformit peut entraner des changements dans les processus d activit, le reporting, la surveillance des vnements et des incidences, ainsi que la rpartition des responsabilits au sein de l organisation. Une initiative de GRC est par essence clairement dpendante des donnes de l entreprise. Les donnes sont en effet ncessaires pour grer une entreprise, grer les risques et aider une entreprise rester en conformit. Les donnes elles-mmes doivent tre gouvernes de faon rester correctes, compltes, fiables et clairement interprtes. Sans cela, une initiative de Gouvernance, Risques et Conformit ne peut pas tre construite sur des bases solides. Dans un contexte de risques, les donnes doivent tre scuriss, leur accs doit tre contrl et les donnes sensibles masques pour le respect de la confidentialit. Dans un contexte de conformit, les donnes et les politiques concernant les donnes doivent tre dfinies, maintenues, contrles et doivent tre vrifiables par le biais de processus normaliss.

La gestion des risques vise amliorer la capacit attnuer les risques.

La quantit croissante des lgislations et de rglementations a amen beaucoup de socits se soucier de la conformit.

Les socits ont besoin d une stratgie de Gouvernance, Risques et Conformit. Les ressources humaines, les processus et la technologie sont ncessaires pour mettre en oeuvre la stratgie de Gouvernance, Risques et Conformit.

En analysant la figure 1, on remarque qu une approche de Gouvernance, Risques et Conformit intgre, globale et chelle de l entreprise est ncessaire. Et c est l alliance d une stratgie efficace, de ressources humaines impliques, de processus standardiss et de technologies performantes qui permet de tendre vers cet objectif. tant donn que la capacit d une entreprise mettre en uvre sa stratgie de Gouvernance, Risques et Conformit dpend des donnes, nous devons galement appliquer la stratgie, les ressources humaines, les processus et la technologie aux donnes pour obtenir une base juste et fiable de Gouvernance, Risques et Conformit. Dans ce deuxime livre de la srie Gouvernance, Risques et Conformit, nous examinerons comment la gestion des donnes peut aider les entreprises diminuer les risques, et comment cette stratgie de Gouvernance, Risques et Conformit s inscrit dans une perspective commerciale. Le troisime et dernier livre de la srie examinera comment la conformit s applique aux donnes.

Copyright Intelligent Business Strategies Limited

Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques

Qu est-ce que la gestion des risques d entreprise ?

Les socits cotes sont dsormais values sur leur capacit contrler les risques.

La gestion des risques d entreprise est une composante cl de toute initiative de Gouvernance, Risques et Conformit.

En novembre 2007, Standard and Poors (S&P) a officiellement suggr la mise en place d un nouvel outil d analyse de la gestion des risques en entreprise. Leur intention tait d instaurer un dispositif de Gestion des Risques en Entreprise (GRE) permettant de noter les entreprises non financires, paralllement aux mcanismes de notation dj existants mais uniquement destins valuer la gestion des risques dans les institutions financires. Au final, le dispositif imagin pouvait s appliquer aussi bien aux institutions financires qu aux institutions non financires. Ce qui permettait d en faire un dispositif global, apportant un clairage sur la gestion des risques dans tous les secteurs de l industrie. Depuis, S&P a cr ses propres dispositifs de gestion d valuation des risques, qui peuvent clairement avoir un impact ngatif sur le prix des actions d une entreprise si celle-ci n est pas bien note sur cette notion critique qu est la gestion des risques. Notez que la GRE reprsente le R dans Gouvernance, Risques et Conformit. Il ne s agit donc pas d une notion autonome : les risques doivent tre vits afin de rester en conformit, et les programmes de gestion de la performance doivent prendre en compte les risques. La question la plus vidente dans la gestion des risques d entreprise est la suivante : votre socit a-t-elle dress un inventaire de tous les risques majeurs susceptibles d influer sur sa capacit rester solvable et traiter en toute confiance ? Pouvez-vous prendre facilement connaissance des risques que la socit a identifis, l impact commercial possible de ces risques et les moyens mis en uvre pour les grer ? Il existe de nombreux types de risques diffrents. S&P a propos le classement suivant dans son document de 2007 :
Risques environnementaux Continuit d affaires Conjoncture commerciale Environnemental Procs en responsabilit Catastrophes naturelles/Mto Pandmie Dommages physiques Risque politique Rglementaire/Lgislatif Risques financiers Disponibilit en capital Crdit/Contrepartie Risque des marchs financiers Inflation Taux d intrt Liquidit Risques d approvisionnement Prix des produits Chane d approvisionnement Risques de gestion Gouvernance d entreprise Protection des donnes Sant et scurit des employs Proprit intellectuelle Conflits Pnurie de main-d uvre qualifie Administration et gestion/Restructuration Complexit de gestion Problmes de sous-traitance

Un inventaire de tous les risques importants et de leur impact sur l activit est fondamental.

Source : Standard and Poors Vous pourriez facilement prendre cette catgorisation leve des risques un niveau beaucoup plus bas. Par exemple, le risque concernant la scurit des donnes peut tre dcompos en confidentialit des donnes, accs scuris aux donnes, possibilit de rcupration des donnes et donnes errones. Quels que soient les risques auxquels vous tes confronts, ils doivent tre documents. Cependant, la GRE va beaucoup plus loin que cela. L annonce faite en 2007 par S&P tait clairement destine permettre de comprendre et d valuer la gestion des risques dans les socits publiques cotes.

Copyright Intelligent Business Strategies Limited

Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques Le document Gestion des Risques d Entreprises de S&P comprend les notions suivantes :
Des indicateurs cls de risques sont utiliss pour mesurer le succs d un programme de gestion des risques.

Culture de gestion des risques et gouvernance Contrles des risques Risques mergents Gestion des risques stratgiques

La culture de gestion des risques et la gouvernance sont relatives la mise en place d un programme de GRE. Ce programme doit comprendre une vision de la gestion des risques, une position claire sur les mesures appliquer vis--vis des risques et sur la tolrance aux risques, l identification des personnels chargs de la gestion des risques et ceux chargs de la mise en place de rapports de gestion des risques destins aux dirigeants et aux audits. Il doit galement inclure des dtails sur la faon dont l entreprise mesure le succs de son programme de gestion des risques en utilisant les indicateurs cls de risques (ICR). En outre, il doit indiquer comment ces ICR affectent la rmunration des dirigeants et comment la gestion des risques intgre la gestion de performance de l entreprise et la budgtisation. Ce dernier point est connu sous le nom de gestion du rendement pilote par les risques. Le contrle des risques est associ la faon dont l entreprise identifie et contrle chaque risque majeur. Pour diminuer les risques, les entreprises doivent comprendre quels sont les risques principaux, quelles sont les limites pour chaque risque majeur et quels contrles peuvent tre mis en place pour respecter ces limites. Ces contrles peuvent prendre la forme de processus d approbation ou de poids et contrepoids, qui sont en ralit des moyens mettant en relation les risques pour mieux les contrler. Les ICR permettent gnralement de surveiller et de contrler les risques majeurs. Il est galement ncessaire de fixer des seuils d ICR afin de s assurer que les limites de risques sont connues et ne sont pas franchies. La gestion des risques doit tre intgre dans les processus de l activit et la comprhension du risque doit tre partage avec les cadres dirigeants. Si les risques surviennent, il doit y avoir un processus pour grer les pertes ainsi que les changements apporter aux procdures GRE, et ce, afin d viter qu une mme perte ne se reproduise. Ces changements doivent eux aussi tre contrls et vrifiables. Les risques mergents sont relatifs aux processus et procdures qu une entreprise a mis en place pour diminuer les risques et se prparer une catastrophe. Il peut y avoir plusieurs catastrophes potentielles dfinies, chacune ayant son propre degr de gravit. Les entreprises doivent identifier et classer les catastrophes par ordre d importance, valuer l impact de chacune d elles et mettre en place les plans d urgence ncessaires pour tre en mesure d y rpondre rapidement. Une entreprise doit notamment comprendre l impact des risques sur ses liquidits et disposer de pratiques de gestion du risque de liquidit pour le contrler. Dans ce sens, une entreprise a besoin de surveiller les vnements externes ou internes et les tendances pour anticiper l mergence desdites catastrophes. La gestion des risques stratgiques implique l laboration de plans stratgiques devant inclure une analyse de risque/performance lors de l allocation des ressources. Cela implique galement de tenir compte du risque lors de la prise de dcisions stratgiques, du pricing ou encore de l valuation de la performance. Ce n est pas par hasard si la gestion des risques est considre comme le revers de la gestion de la performance en matire de prise de dcisions stratgiques. On appelle parfois cela la Gestion de la Performance d Entreprise corrige du risque, o les tableaux de bord GPE de niveaux stratgiques comprennent la fois des indicateurs-cls de performance (ICP) et des indicateurs-cls de risques (ICR). Il devrait tre possible de voir un aperu des risques sur un tableau de bord GPE 6

Le contrle des risques permet d empcher l occurrence de risques importants. Les seuils d ICR permettent aux socits de dclencher des actions pour rduire au minimum l impact d un risque sur l activit quand les niveaux de tolrance sont dpasss.

Il est important d avoir des procdures testes et en place pour grer les catastrophes.

La gestion de la performance d entreprise ajuste aux risques est importante pour s assurer que le risque est bien pris en compte lors de la prise de dcisions stratgiques.

Copyright Intelligent Business Strategies Limited

Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques dtaillant bien les risques pris en charge. Simplement parce que la gestion des risques concerne les dcisions financires et qu elle doit tre prise en compte. Compte tenu de cette dfinition de la gestion du risque d entreprise, il est vident que le succs de sa mise en uvre dpend des donnes. Pour que la GRE fonctionne bien, ces donnes doivent tre fiables et scurises. Comprendre que la question des donnes est associe la gestion des risques est donc important, car ces questions peuvent augmenter la possibilit d occurrence de risques ayant un impact prjudiciable sur l activit de l entreprise.

Copyright Intelligent Business Strategies Limited

Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques

Les problmes de donnes qui contribuent au risque

La mauvaise qualit des donnes et le non-respect de leur confidentialit augmentent les risques pour l entreprise.

En ce qui concerne la gestion des risques, un certain nombre de questions sur les risques lis aux donnes doivent tre traites dans le cadre d un programme de Gouvernance, Risques et Conformit. Cela permet d viter les problmes de donnes engendrant des risques. Les problmes de donnes sont gnralement lis : La qualit des donnes La confidentialit des donnes Le contrle non autoris de donnes La synchronisation de donnes La rcupration de donnes

Examinons chacun de ces risques en dtail.

Risques lis la qualit des donnes

Nous avons dj vu que des donnes fiables sont ncessaires pour la GRE. En ce qui concerne la qualit des donnes, il ne fait aucun doute que des dfauts dans les donnes peuvent occasionner des risques. Prenons un exemple dans le secteur de l assurance : le risque assur et/ou les donnes de rclamations tant introduits dans la catgorie propension la caducit , les modles de prvisions auront pour rsultat un trop grand nombre de clients marqus comme tant potentiellement dfaillants. Cela signifie que les assureurs peuvent chercher obtenir des renouvellements pour des clients haut risque, et que les budgets marketing mis de ct pour la fidlisation des clients peuvent devenir mal cibls. Le rsultat est un risque accru de faire progresser les rclamations et les ratios de pertes dommageables.
Des dfauts de donnes peuvent augmenter les risques de retards dans les processus et des cots d exploitation imprvus.

Autre exemple dans le secteur de l industrie, des donnes de commande incompltes et/ou imprcises peuvent causer des erreurs de planning au niveau de la production. Ces facteurs ont un impact sur les programmes de production et provoquent des erreurs de fabrication, y compris des ruptures d approvisionnement ou une surproduction de produits finis. La surproduction augmente les cots en nergie et en matriaux, ce qui est l un des principaux soucis des directeurs financiers de fabrication. Ce problme peut galement tre caus par des donnes errones au niveau des stocks disponibles. Bien que l informatique ne soit pas responsable de ce que les utilisateurs professionnels entrent dans les bases de donnes et les applications, elle est nanmoins charge du maintien qualitatif de donnes exactes et compltes dans les entrepts de donnes. Des technologies de profilage et de nettoyage des donnes sont ainsi utilises pour aider identifier et nettoyer les donnes de mauvaise qualit, ou pour empcher que des donnes de mauvaise qualit n aillent au-del de l opration de saisie de donnes. En outre, il est ncessaire que les responsables mtier ou chefs de divisions surveillent la qualit des donnes de leurs propres domaines d activit pour les empcher de se dtriorer. La technologie de surveillance de la qualit des donnes peut tre utilise pour les aider dans cette tche.

Copyright Intelligent Business Strategies Limited

Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques
Le fait d tre propritaire des donnes est un facteur important du contrle des donnes risque.

Une point cl toutefois, reste de savoir qui est responsable de ce qu un tiers peut voir. Par exemple, si les responsables mtier et les administrateurs de donnes l intrieur de l entreprise contrlent la qualit des donnes utilises en interne, qui est responsable des donnes fournies aux clients, aux partenaires ou aux fournisseurs ? L appropriation et la capacit considrer ses donnes d un point de vue extrieur sont galement importantes. Il est donc recommand d avoir une vision plus tendue du primtre de ses donnes et de ne pas restreindre la proprit des donnes un systme spcifique. Il est en effet beaucoup plus efficace d associer la proprit des donnes une entit de donnes de rfrence (les donnes des clients, par exemple) ou un type de transaction (les commandes, par exemple), car ce type de proprit est l chelle de l entreprise.

Risques lis la confidentialit des donnes

Le dfi de la confidentialit des donnes est de partager les donnes tout en assurant une protection des informations personnelles. En outre, la confidentialit des donnes devient un problme de gestion des risques lorsque des donnes sensibles sont dans la nature . Ce genre de problme est connu comme tant une violation de la confidentialit des donnes, et c est un problme qui devient particulirement proccupant lorsque des donnes client sont exposes ou se retrouvent entre de mauvaises mains. Les donnes sur les employs sont galement sensibles. Les entreprises ont besoin d anticiper les ventuels problmes de violation de confidentialit des donnes et de faire tout leur possible pour les viter. Les violations de confidentialit des donnes peuvent conduire la fraude, une forte insatisfaction d un client, la perte d une opportunit d affaires, voire un procs en responsabilit ou des sanctions rglementaires. Elles peuvent galement ternir de faon notable une marque ou la rputation d une socit. La confidentialit des donnes ne se limite pas la protection des donnes sensibles qui pourraient tomber dans de mauvaises mains en dehors de l entreprise. Elle couvre en effet galement l exposition de donnes sensibles des personnes non autorises l intrieur de l entreprise. Un certain nombre de sondages indiquent que des vols de donnes ou des infractions sur des donnes ont t attribus des actions internes d employs malveillants. Pour contrer ce problme, il doit y avoir moyen d identifier et de masquer les donnes sensibles de faon ce qu elles ne soient pas vues par les utilisateurs professionnels non autoriss ou par des dveloppeurs informaticiens. Dans ce dernier cas, ce sont souvent les donnes de tests qui peuvent poser problme. De nombreuses socits crent en effet des copies compltes de donnes de production dans le cadre de tests de qualit qui requirent souvent l utilisation de donnes de production. Le problme d un tel procd est l introduction d un risque potentiel d exposition lorsque des donnes sensibles sont impliques dans les tests. Si plusieurs ensembles de donnes de tests sont crs partir de donnes de production, il y aura probablement plusieurs informations sensibles stockes dans des environnements de tests diffrents. Cela augmente les risques de vol de donnes sensibles par un employ malveillant.

Les donnes sensibles et confidentielles ont besoin d tre protges contre les violations de confidentialit.

Il est important de masquer les donnes sensibles dans des environnements d essai et de production. Les copies superflues de donnes sensibles ou confidentielles doivent galement tre prises en compte.

Risques lis la maintenance non autorise de donnes

Aprs les problmes lis la confidentialit des donnes viennent l accs et la maintenance non autoriss de donnes sensibles par les employs. Du fait que des copies de donnes se retrouvent dans des systmes oprationnels de divers La scurit de l accs aux dpartements, ce problme est souvent beaucoup plus difficile grer qu il n y donnes doit galement parat. Il exige une coordination de privilges de scurit travers de multiples tre gre pour empcher portails, applications et technologies de base de donnes. Il est en outre compliqu la maintenance non par le fait que de nombreuses applications ont, mme aujourd hui, leur propre autorise de donnes modle maison d autorisation exclusive. En outre, les donnes protger sensibles par des employs. peuvent tre connues sous des noms diffrents dans les diffrents systmes fondamentaux qui sous-tendent les processus d activits de base de l entreprise. Bien que de nombreuses entreprises passent progressivement une authentification Copyright Intelligent Business Strategies Limited

Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques et des mcanismes d autorisation communs (l annuaire d entreprise LDAP, par exemple), elles sont encore dans un statut hybride avec une authentification et un paysage d autorisation complexe. Ce type de complexit laisse la porte ouverte aux violations de la scurit d accs aux donnes.
Un mcanisme commun d authentification et d autorisation a simplifi la gestion de la scurit d accs aux donnes.

Toutes sortes de risques peuvent provenir de ces types d infractions et notamment la fraude, les retards dans les processus dus aux dfauts de donnes, les augmentations imprvues des cots d exploitation et le mcontentement des clients.

Risques lis la synchronisation des donnes

Le manque de synchronisation des donnes peut perturber toutes les oprations d une organisation. Par exemple, les donnes clients sont exploites la fois pour la vente, le marketing, les services, les finances et la distribution. Les donnes produits sont quant elles utilises au niveau du dveloppement des produits, de la planification, de la fabrication, des magasins et des applications de commerce lectronique. Beaucoup de ces fonctions d entreprise sont prises en charge par des systmes d application spars, faisant de la synchronisation des donnes un enjeu majeur. Faire en sorte qu une simple modification de donne (changement du nom d un client par exemple) se rpercute sur tous les systmes de l entreprise tout en restant synchroniss peut s avrer complexe. Si cela pouvait par le pass se rsoudre avec une gestion systme par systme et une synchronisation fragmentaire, une approche commune est aujourd hui ncessaire pour grer ces modifications de manire standardise et donc efficace. Le manque de synchronisation peut augmenter les risques de retard dans les processus, et entraner des dfauts de donnes, des augmentations imprvues des cots d exploitation et le mcontentement des clients. Il peut galement entraner une augmentation du risque de crdit et un accs des donnes errones pour les tiers (les donnes de produits accessibles aux dtaillants et aux changes lectroniques, par exemple) et les dcideurs.

Les erreurs dans la synchronisation des donnes augmentent le risque des retards de processus, des cots d exploitation non prvus et de mcontentement des clients.

Risques lis la correction des donnes

Le problme de la correction des donnes est vident : si les donnes ne sont pas corrigeables, cela peut affecter les activits d une socit. Des processus peuvent tre perturbs et s interrompre, ce qui impacte srieusement les cots, les revenus et la confiance des clients. Cela peut sembler tre une question simple rsoudre, mais en ralit cela s avre bien souvent compliqu, car des donnes de rfrence (les clients, produits ou actifs par exemple) et de transaction (les commandes par exemple) peuvent avoir t transmises plusieurs dpartements. Garantir l intgrit et la possibilit de correction de certains types de donnes peut donc s avrer beaucoup plus complexe que prvu. Maintenir l change et l intgrit des donnes dans tous les systmes de l entreprise est nanmoins essentiel pour la continuit de l activit. Il s ensuit qu une sauvegarde ou une remise jour de donnes peut tre ncessaire dans les cas les plus graves. Par consquent, tre en mesure de sauvegarder et de corriger des donnes de base et de transaction, indpendamment de l emplacement de ces donnes, est donc souhaitable. Bien qu il ne s agisse pas d un procd courant, de nombreuses entreprises aspirent le faire, car cela simplifierait considrablement les pratiques actuelles tout en rduisant les risques. Le dfi consiste tre capable d identifier o sont situes toutes les donnes dans l entreprise.

tre en mesure de conserver ou de rcuprer les donnes de rfrence ou de transaction, quel que soit leur emplacement dans l entreprise, rduirait les risques de manire significative.

Copyright Intelligent Business Strategies Limited

10

Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques

Utilisation du Data Management pour la rduction des risques

Les technologies de gestion des donnes peuvent tre utilises pour identifier et contrler des donnes risque.

Dans la prcdente section, nous avons identifi les diffrents types de risques lis aux donnes. Afin de rduire l occurrence de tels risques, des projets de gouvernance et de gestion des donnes peuvent tre envisags. Nous avons dj abord la mise en uvre la gouvernance des donnes dans le premier Livre blanc1 de cette srie Gouvernance, Risques et Conformit. Dans ce livre-ci, nous allons plus particulirement examiner la faon dont les personnes, les processus et les technologies de gestion des donnes peuvent servir identifier et grer les donnes risque.

Questions culturelles et organisationnelles

La responsabilit induit la proprit et pose les bases du contrle.

Une mthodologie de prvention des risques et une procdure teste de mise jour du risque crent une relation de confiance.

La gestion des risques lis aux donnes fait indiscutablement partie de la gestion des risques d entreprise (GRE), qui son tour est un lment cl de la stratgie de Gouvernance, Risques et Conformit (GRC). Intgrer une initiative GRE ou GRC est donc un moyen de prendre conscience de l importance de la gestion des donnes. La conscience gnre l intrt, mais rendre les gens responsables implique les notions d appropriation et de contrle. Appliquer une mthodologie de prvention des risques qui permette d identifier et de classer les risques lis aux donnes, ainsi que des procdures prouves de mise jour des risques, cre une relation de confiance. Cela permet galement de fournir les garde-fous ncessaires pour maintenir sous contrle les risques lis aux donnes. Il est galement important de reconnatre que la menace interne est relle et dangereuse quand il s agit de violations de donnes. En intgrant la gestion de l enregistrement des emails, la dcouverte lectronique (e-discovery) et la vrifiabilit des procdures de gestion des risques, il devient possible d instaurer un climat de confiance au sein de l entreprise ainsi qu un environnement de donnes bien gr. Cela encourage galement l autodiscipline. Mettre en place un conseil de gouvernance de donnes 2 qui gre aussi la protection des donnes va clairement dans ce sens.

Identifier les donnes risque et l impact sur l activit

Les socits ont besoin d identifier les donnes risque.

Avoir un vocabulaire d affaires partag facilite l identification des donnes risque.

Afin de grer les donnes risque, il est ncessaire de dfinir au pralable les donnes de rfrence et de transaction utilises dans l entreprise, puis de mettre en vidence les lments risque de ces donnes. Nous avons vu dans le Livre blanc de gouvernance des donnes 3 de cette srie que cela se traduit par la cration d un vocabulaire mtier partag (VMP) des noms et dfinitions communes pour les donnes, incluant les contraintes d intgrit des donnes. Le VMP se construit comme une vritable compilation d entits spcifiques des donnes de rfrence et de donnes de transaction.

Gouvernance, Risques et Conformit - Le rle de la gouvernance des donnes dans la stratgie de Gouvernance, Risques et Conformit
1,2,3

Copyright Intelligent Business Strategies Limited

11

Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques Une fois que les donnes de rfrence et de transaction ont t dfinies au sein du VMP, il est donc ncessaire d identifier les donnes dans le VMP considrs comme tant risque . Les donnes risque peuvent alors tre associes des menaces indiquant les dangers potentiels. Le tableau ci-dessous montre les types de donnes risque et menaces associes :
Donnes risque
Les donnes risque peuvent tre associes des menaces

Donnes saisies manuellement Donnes considres comme sensibles ou confidentielles Donnes considres comme d accs restreint Donnes utilises dans des applications multiples Donnes considres comme essentielles l activit de l entreprise et la prise de dcision

Risques potentiels des donnes (menaces) Dfauts de qualit des donnes Violation de la confidentialit des donnes Accs non autoris Erreurs de synchronisation chec de correction

Par exemple, les donnes clients peuvent tre considres comme sensibles et donc potentiellement risque en termes de violation de la confidentialit des donnes ou d accs non autoris. De la mme faon, les donnes concernant les employs tels que les numros de scurit sociale ou les salaires peuvent tre considrs comme confidentiels. Il peut galement arriver que des donnes clients puissent tre de mauvaise qualit du fait d erreurs de saisie en interne, par les clients eux-mmes ou encore par des partenaires sur Internet.
Comprendre l impact des risques donne une priorit aux efforts de la gestion des risques.

Il est galement important de comprendre l impact des risques lis aux donnes sur l activit. Par exemple, l impact est-il financier ? Est-il oprationnel - et, si oui, quelles sont les ressources ncessaires pour rsoudre le problme ? Dbouche-t-il sur des infractions la conformit rglementaire ou a-t-il un impact sur la marque de l entreprise et sa rputation ?

Dfinition des politiques destines grer les donnes risque

Les donnes risque tant identifies, l tape suivante consiste dfinir les politiques ncessaires pour rduire l occurrence des risques lis aux donnes. Plusieurs types de politiques de diminution des risques lis aux donnes peuvent devoir tre dfinis pour chaque donne risque. Il s agit notamment des : Politiques de validation de la qualit des donnes Politiques de confidentialit des donnes Politiques d un cycle de vie des donnes indiquant qui est autoris : o Crer o Consulter o Mettre jour o Supprimer Politiques de synchronisation des donnes Sauvegarde des donnes et politiques d archivage

Ces politiques doivent tre dfinies pour chaque donne risque afin que les risques lis aux donnes puissent tre grs.

Ces politiques peuvent galement tre dlimites par un primtre de restriction visant limiter la gestion des risques une application spcifique utilise dans une activit donne, ou des personnes se trouvant dans un secteur bien particulier de l organisation. Toutefois, si les donnes couvrent plusieurs units et systmes de l organisation, des politiques communes toute l entreprise doivent tre appliques.

Copyright Intelligent Business Strategies Limited

12

Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques

Dterminer o les donnes risque se situent

Les donnes risque doivent tre localises afin de pouvoir grer correctement les risques.

Aprs avoir identifi dans le VMP les donnes considres risque et dfini les politiques appliquer afin de rduire les risques lis aux donnes, le prochain dfi consiste dterminer l emplacement exact de ces donnes dans l entreprise. Cela comprend l identification de toutes les donnes redondantes, qu elles se situent au niveau des systmes de production ou des systmes de tests. Cela s avre ncessaire, car si nous ignorons o se trouvent ces donnes, nous ne pouvons pas liminer l occurrence des risques lis aux donnes. Nous devons localiser les donnes, puis en tablir la carte dans le VMP afin de dterminer : Quelle est la qualit des donnes ? Est-ce que la confidentialit des donnes est applique sur des donnes confidentielles et sensibles ? L accs autoris aux lments de donnes restreints est-il respect dans toute l entreprise ? La synchronisation de donnes fonctionne-t-elle sur tous les systmes o la donne est utilise, et est-elle effective ? Les donnes critiques peuvent-elles tre corriges dans tous les systmes qui les utilisent ?

Nous avons galement besoin de savoir quel volume de donnes nous grons au sein de chaque systme.
La technologie de dcouverte des donnes permet de localiser rapidement les donnes risque.

Le point cl ici est la ncessit de mettre en place des initiatives de dcouverte de donnes et de raliser un mapping du VMP afin de localiser les donnes risque dans toute l entreprise. Cette tche peut tre ralise manuellement ou automatiquement. Si elle est faite manuellement, la tche de dcouverte prendra du temps et sera trs coteuse. Par consquent, les plates-formes de gestion de donnes qui incluent un outil de dcouverte automatique pour localiser les donnes et les relations entre les donnes travers plusieurs systmes de l entreprise offrent un avantage certain. Par un marquage automatique des donnes rpertories au sein du VMP il devient possible pour ces outils de localiser des donnes signales dans le VMP comme tant sensibles, confidentielles ou essentielles pour l activit - et de dterminer si les politiques relatives la qualit des donnes sont respectes.

Prvention des risques lis aux donnes

Aprs avoir localis les donnes risque dans toute l entreprise, l tape suivante consiste impliquer les personnes, mettre en uvre des processus et des technologies de gouvernance et de gestion des donnes afin de prvenir l occurrence des risques lis aux donnes. Cela peut se traduire par : 1. L application de politiques de gouvernance des donnes et de gestion des risques lis aux donnes pour en rduire les effets 2. L identification de la source ou de la cause de chaque risque lis aux donnes, et la mise en uvre de politique de conduite du changement pour rduire les risques de rcidive 3. La surveillance des risques lis aux donnes pour vrifier l efficacit des politiques et procdures de diminution des risques.

Copyright Intelligent Business Strategies Limited

13

Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques

Application des politiques de gestion des risques lis aux donnes

Dans une plate-forme technologique de gestion des donnes, des outils peuvent tre utiliss pour appliquer les politiques de gestion des risques.

La premire politique appliquer concerne les donnes risque qui ont dj t identifies au sein de l organisation. Cela implique de partager les mtadonnes entre les diffrents outils d une plate-forme de gestion des donnes qui aura t mise en place. La figure 2 reprsente une plate-forme de gestion de donnes, telle que prsente dans un autre livre blanc de cette srie Gouvernance, Risques et Conformit, traitant de la gouvernance des donnes4. A noter que des outils supplmentaires de gestion des donnes ont t ajouts en plus de ceux dj mentionns dans le premier document. Il s agit notamment d un outil de masquage des donnes confidentielles, d un outil de sauvegarde et de correction des donnes et d un outil de gestion de la scurit des donnes pour grer les autorisations sur plusieurs systmes. Les outils ncessaires pour appliquer la politique aux donnes risque sont indiqus en rouge.

Using The Enterprise Data Management Platform For Data Risk Management
La plate-forme de gestion des donnes est une suite d outils qui accdent des mtadonnes partages
Business Glossary Tool

Data Governance / Management Console Data & Metadata Relationship Discovery Tools Data Quality Profiling & Monitoring Tools Data Cleansing & Matching Tools Data Privacy Masking Tool
Data Backup and Recovery Tool

Data Security Manage ment tool

A shared business vocabulary is defined and documented using a business glossary tool. Also, approval processes can be created here.

shared metadata

All tools in the Data Management Platform share a common repository

Figure 2 La cl de la russite d un tel projet rside dans le partage des mtadonnes entre l outil de dcouverte des donnes et les outils de gestion des donnes mis en vidence dans la plate-forme.
La dcouverte automatise de donnes permet de trouver des entits compltes de donnes travers des systmes htrognes

La dcouverte automatise de donnes permet de trouver des entits compltes de donnes travers des systmes htrognes. Cela implique par exemple l identification de toutes les donnes client et les relations entre ces donnes au sein de l entreprise, et ce, peu importe leur localisation. Ce phnomne est illustr sur la figure 3.

Gouvernance, Risques et Conformit - Le rle de la gouvernance des donnes dans la stratgie de Gouvernance, Risques et Conformit
4

Copyright Intelligent Business Strategies Limited

14

Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques

Automated Data Discovery Seeks To Find Complete Business Data Entities Across Heterogeneous Systems

Customer

Automated grouping of tables across multiple systems into business entities

Copyright Intelligent Business Strategies, 2010

Figure 3
Cela signifie qu il devient possible de savoir o se trouvent toutes les donnes risque

En trouvant des pools complets de donnes (un client, un produit ou une commande, par exemple), il devient possible de grer les risques au niveau de l entit, indpendamment de l endroit o se trouvent les donnes. Si l on prend l exemple d un ensemble de donnes correspondant un client, il devient possible de grer la qualit, la confidentialit, la sauvegarde, la scurit d accs, la correction et la synchronisation des donnes de ce client. Grce la localisation des donnes par la technique de dcouverte des donnes et l tablissement des correspondances sur un VMP, il devient possible d identifier les politiques de gestion des risques de donnes (qualit, confidentialit, accs scuris, etc.) qui sont relatives un pool de donnes en particulier. Par consquent, en partageant les mtadonnes gnres pendant la dcouverte des donnes avec d autres outils de gestion de donnes, il devient possible d appliquer des politiques dj dfinies pour grer les risques lis aux donnes. C est ce que nous retrouvons sur la figure 4. Afin de prvenir les risques lis la qualit des donnes, les mtadonnes de mauvaise qualit peuvent tre traites avec des outils de gestion de la qualit des donnes pour les rendre fiables. De mme, afin de prvenir les infractions la confidentialit des donnes, les mtadonnes sensibles et confidentielles peuvent tre protges avec des outils spcifiques, permettant de masquer ces donnes dans les systmes o elles se trouvent et de grer la production de pools de donnes test. Il devient galement possible de sauvegarder des pools complets de donnes, indpendamment de leur localisation, tout simplement parce que la dcouverte des donnes a permis d identifier tous les lments des donnes et leur environnement parmi les systmes htrognes de l entreprise.

En partageant la localisation de toutes les donnes risque avec d autres outils de gestion des donnes, il devient possible d appliquer aux donnes les politiques de gestion des risques dans l entreprise.

Copyright Intelligent Business Strategies Limited

15

Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques

Using Automated Data Discovery And Data Management Tools To Mitigate Data Risks
Prevent data defects by automating data quality assessment and data cleansing of discovered at-risk data Data Discovery Tool Data Profiling Tool Data Cleansing Tool customer
metadata

Prevent data privacy breaches by masking Data Privacy Tool discovered sensitive/ confidential data & generating test data Backup and Recovery Tool

metadata

Data sources Data Security Admin Tool

Automate backup & recovery of complete data entities

Prevent data access security violations by managing authorised access to complete data entities across the enterprise
Copyright Intelligent Business Strategies, 2010

Figure 4

Identification desSources de risques de donnes

En plus d appliquer des politiques de gouvernance, de gestion et de contrle de donnes, il est galement trs important de dterminer la source des risques lis aux donnes pour empcher de futures occurrences. La source (cause) de donnes risque peut tre un employ, un utilisateur externe (un client, un partenaire ou un fournisseur, par exemple), une application ou un script s excutant l intrieur de l entreprise ou en dehors de l entreprise (dans le cloud, par exemple) ou sur un systme client ou partenaire. Plus rare mais possible, une catastrophe naturelle peut galement tre la cause de situations de donnes risques.
Les risques lis aux donnes peuvent tre recherchs la source et des modifications peuvent tre apportes pour rduire d ventuels risques supplmentaires.

Une fois la source identifie, il est ncessaire d apporter des modifications au niveau des procdures pour aider diminuer les risques l avenir. Il pourrait mme tre justifi de prendre une assurance contre un risque li aux donnes, si le cot de remise niveau ou de correction s avre lev. Par exemple, il peut tre ncessaire de modifier les procdures afin d introduire des options de confidentialit et de nettoyage des donnes, si les donnes sont saisies au clavier ou sur la base d vnements. Un conseil de scurit des informations, impliquant un processus formel d approbation, peut galement tre mis en place pour rgir la scurit d accs aux donnes et la lier des contrles internes.

La surveillance des risques lis aux donnes

Le suivi des risques permet aux entreprises d en garder le contrle.

La dernire tape dans la prvention des risques lis aux donnes consiste surveiller et contrler les risques.. Ce qui implique la mise en place d indicateurs de risque mettant en vidence leur frquence et leur gravit. Des rapports de gestion de risques et des tableaux de bord graphiques sont ncessaires pour permettre aux personnes dsignes comme responsables de surveiller les risques dans leurs domaines respectifs. Ces fonctions de suivi des risques pourront tre intgres aux rapports de surveillance de la qualit des donnes existants afin de permettre une surveillance centralise.

Copyright Intelligent Business Strategies Limited

16

Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques

Mise jour des donnes aprs un vnement risque

Outre l utilisation de technologies de gestion de risques, il est ncessaire d tablir des procdures de redressement, dans le cas o des risques se produiraient. Par exemple, il devrait tre possible d identifier les activits frauduleuses rsultant d une violation de confidentialit des donnes et de localiser facilement le risque li aux donnes (les donnes sensibles non masques, par exemple). Les liens entre les mtadonnes rendent notamment cela possible. Les entreprises doivent pouvoir avoir confiance en leurs procdures de redressement. Ce qui implique d tre en mesure d identifier rapidement la source du risque, de localiser les donnes, de les corriger, de masquer et/ou de scuriser l accs ces donnes et d tre en mesure de faire un rapport sur toute l activit lie au redressement.
Des procdures prouves de redressement aident les entreprises agir rapidement pour minimiser l impact conomique.

Les procdures de redressement doivent tre documentes, communiques largement et si possible automatises. Tester ses procdures de contrle et de redressement est un facteur cl de russite d un projet de correction et de mise jour des donnes. Cela apporte une certaine confiance et srnit aux entreprises, qui amliorent ainsi leur ractivit et rduisent au minimum l impact sur leur activit. Il est galement important de connecter des fonctionnalits comme la dcouverte lectronique dans tout processus de redressement pour tre en mesure de rcuprer toutes les communications lies pouvant avoir eu lieu avant et aprs l vnement qui s est produit.

Copyright Intelligent Business Strategies Limited

17

Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques

Conclusions
Gouvernance et gestion des donnes jouent un rle crucial dans la diminution des risques.

Il ne fait aucun doute que la gouvernance et la gestion des donnes jouent un rle important dans la diminution des risques. Avant tout, une stratgie de gestion des risques et une mthodologie pour la gestion et la prvention des risques de donnes doivent tre tablies. Il est galement primordial que vous sachiez o sont vos donnes, afin d avoir en permanence la possibilit d identifier les donnes risques, de les classer et de dfinir des politiques pour grer ces risques. Etablir un vocabulaire mtier partag (VMP) est un point de dpart essentiel. L existence d un VMP vous permet de dfinir systmatiquement les donnes de rfrence et de transaction ainsi que toute politique associe de gestion des risques appliquer ces donnes. En faisant usage des outils de dcouverte des donnes dans une plate-forme de gestion des donnes, les donnes de rfrence et transactionnelles dfinies en commun peuvent tre localises dans l entreprise et stockes dans le VMP. Une fois cette tche accomplie, il est possible d obtenir une vision globale de toutes les donnes risque de l entreprise. ce stade, vous pouvez dterminer si les politiques de gestion des risques (et autres politiques de gouvernance des donnes) sont mises en application dans les systmes sous-jacents qui abritent les donnes risque identifies. Si ce n est pas le cas, il devient possible d appliquer de telles politiques, de rechercher la cause des risques et d apporter les changements ncessaires pour prvenir d autres risques. tant donn que les plates-formes logicielles de gestion de donnes fournissent une grande partie des outils pour atteindre ce rsultat, il est difficile d admettre que des entreprises n investissent pas dans de tels outils. Enfin, tablir la responsabilit et la proprit des donnes au sein de l organisation implique que des personnes seront responsables de la surveillance des risques lis aux donnes. Ceci, associ des procdures prouves de redressement du risque, doit amener au sentiment que l organisation est sous contrle et peut russir sa stratgie de gestion des risques. Le prsent article se concentre sur la gestion des risques dans un programme de Gouvernance, Risques et Conformit. Dans le prochain article de cette srie, nous aborderons le thme de la conformit.

Un vocabulaire d affaires partag vous permet de dfinir systmatiquement les donnes lmentaires, de signaler les donnes risque et de dfinir des politiques de gestion des risques.

Une plate-forme de gestion des donnes vous aide dfinir et appliquer les politiques de contrle des donnes risque dans l entreprise.

Copyright Intelligent Business Strategies Limited

18

Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques

propos d Intelligent Business Strategies

Aujourd hui, les entreprises prospres sont celles qui savent assimiler les nouvelles technologies de l information et les utiliser efficacement dans leur activit. Mais face tant de nouveaux dveloppements technologiques comment les utilisateurs d informatique et les professionnels peuvent-ils suivre ? Intelligent Business Strategies est une socit de recherche informatique et de conseil dont le but est d aider les entreprises comprendre et exploiter les nouveaux dveloppements en business intelligence, traitement analytique, gestion des donnes et intgration d entreprise. Ensemble, ces technologies permettent une organisation de devenir une entreprise intelligente. Mike Ferguson est le Directeur gnral d Intelligent Business Strategies Limited. En tant qu analyste et consultant, il est spcialiste en business intelligence et en intgration d entreprise. Avec plus de 29 ans d exprience dans le domaine IT, Mike a collabor avec des dizaines d entreprises concernes par des problmatiques de business intelligence, de gestion des donnes et d intgration d entreprise. Il est intervenu lors de manifestations dans le monde entier et a crit de nombreux articles. Mike est un expert local sur le Rseau B-EYE, proposant des articles, des blogs et ses points de vue sur l industrie. Auparavant, il a t Directeur et co-fondateur de Codd and Date Europe Limited - les inventeurs du modle relationnel, architecte en chef Teradata et Directeur gnral Europe de Database Associates. Il enseigne dans des masters de veille stratgique oprationnelle et de gestion de la performance, de gouvernance de donnes d entreprise, de gestion des donnes de rfrence et d intgration oprationnelle d entreprise.

INTELLIGENT BUSINESS
STRATEGIES
Intelligent Business Strategies 2nd Floor, Springfield House Water Lane, Wilmslow Cheshire SK9 5BG Angleterre Tlphone : (+44)-1625-520700 URL Internet : www.intelligentbusiness.biz E-mail: mferguson@intelligentbusiness.biz Srie Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans l attnuation des risques Copyright 2010 par Intelligent Business Strategies Tous droits rservs

Copyright Intelligent Business Strategies Limited

19