Stratégie

Six bonnes pratiques pour une gouvernance des données efficace

Bryan Phillips, SVP technologie et CIO chez Alpha Packaging : « Il est essentiel d’avoir un groupe qui a la responsabilité des données maîtres, en lien étroit avec les métiers. »

La gouvernance des données est devenue une initiative stratégique. Dans cet article adapté de CIO États-Unis, plusieurs DSI partagent leurs bonnes pratiques pour s'assurer que les données essentielles à l'entreprise sont fiables, sécurisées et disponibles pour les métiers.

PublicitéPourquoi avoir une bonne gouvernance des données est-il si important ? Il suffit de songer à ce qui peut advenir sans celle-ci : des données de mauvaise qualité, difficiles à utiliser, sans intégrité, vulnérables aux menaces de cybersécurité, incohérentes et pas toujours disponibles pour les utilisateurs métiers. En d'autres mots, du point de vue de l'entreprise, il n'y a quasiment aucun intérêt à disposer de données sans gouvernance. Selon la définition du Data Governance Institute, une organisation qui propose de bonnes pratiques et des conseils dans ce domaine, « la gouvernance des données est un système de décisions et responsabilités pour les processus liés à l'information. Ceux-ci s'exécutent en suivant des modèles partagés, qui décrivent qui peut faire quelles actions sur quelles informations et quand, dans quelles circonstances et en utilisant quelles méthodes. »

La transformation digitale à l'oeuvre dans un très grand nombre d'organisations a rendu encore plus vitale une solide gouvernance des données, car une grande partie du succès des entreprises dépend de données fiables, sécurisées et disponibles au bon moment pour les bonnes personnes. Sans surprises, la demande pour les produits et services de gouvernance des données progresse. Dans un rapport, le cabinet d'études Markets and Markets estime que le marché global de la gouvernance de données va passer de 2,1 milliards USD en 2020 à 5,7 milliards USD en 2025, avec un taux de croissance annuel composé (CAGR) évalué à 22% sur cette période. Des facteurs comme l'augmentation rapide des volumes de données, la hausse des obligations légales et de conformité et la collaboration accrue au sein des entreprises vont nourrir la croissance de ce marché, selon le rapport. Avec l'arrivée prochaine de plusieurs régulations sur la protection des données, établies par des gouvernements partout dans le monde, il est devenu plus important que jamais de s'assurer que les données sont stockées, utilisées et diffusées de façon appropriée dans les organisations, ajoute le rapport. L'adoption croissante de DevOps pour le développement applicatif semble également avoir un impact sur la demande de gouvernance des données, selon le cabinet d'études. En effet, le rapport note une forte corrélation entre la mise en oeuvre de DevOps et l'implémentation de programmes de gouvernance des données.

Dans ce contexte, les organisations peuvent s'inspirer des donnes pratiques suivantes, recueillies par CIO États-Unis auprès de plusieurs DSI, afin de créer un programme de gouvernance des données efficace.

1. Identifier les données essentielles et les traiter comme une ressource stratégique

Toutes les données ne sont pas de même importance pour l'organisation. Savoir quels sont les éléments de l'infrastructure de données les plus essentiels pour l'entreprise forme l'un des piliers d'une bonne gouvernance des données. « En vous penchant sur ce domaine, vous constaterez que les éléments critiques touchent des douzaines, voire des centaines de systèmes et d'applications » observe Jack McCarthy, CIO pour le département judiciaire de l'état du New Jersey. « Ces données se trouvent dans de multiples rapports à travers tout le système d'information. En commençant par identifier les éléments clefs, vous pouvez les tracer jusqu'à leur source et identifier les règles et procédures applicables. »

PublicitéÀ un niveau plus fondamental, les organisations doivent comprendre combien l'information est importante pour leur succès. Cela peut aider à créer une culture favorable à une gouvernance solide des données, y compris aux plus hauts niveaux de l'organisation. « Mon expérience est que l'efficacité de la gouvernance des données découle de la volonté et de la capacité de l'entreprise à concevoir les données comme un actif stratégique essentiel », affirme Bill Balint, CIO de l'université Indiana de Pennsylvanie. « Transformer les données brutes en information pouvant apporter des résultats positifs peut être vu comme un effet a posteriori. »

2. Établir des règles et procédures pour l'ensemble du cycle de vie des données

La donnée n'existe pas comme un point unique dans le temps. Elle est créée par une source, nettoyée, mise à jour, stockée, analysée, transmise, sauvegardée, supprimée et plus encore. De potentiels points de contact sont présents à toutes les étapes du cycle de vie et bien gouverner les données tout au long de ces différentes étapes nécessite d'avoir des règles et procédures en place pour chacune d'entre elles. « Il faut identifier qui est le propriétaire de la donnée et quels systèmes ou personnes peuvent la modifier durant son cycle de vie », explique Jack McCarthy. C'est ainsi que les organisations peuvent fournir des pistes d'audit et d'autres points de contrôles de la donnée afin d'assurer une compréhension complète et minutieuse des éléments de données, ajoute-t-il.

Un bon exemple illustrant la nécessité de telles règles est le moment où le département judiciaire de l'état du New Jersey cherchait à réaliser une analyse de risques en vue d'une réforme de la justice criminelle qui éliminait les libérations sous caution dans l'état. « Alors que nous regardions comment collecter les données et identifier les éléments clefs requis pour calculer automatiquement les scores dans notre outil d'analyse, nous avons peu à peu remonté le cycle de vie d'une arrestation », relate Jack McCarthy. « Nous avons constaté que les données nécessaires n'existaient pas au moment où le mandat était émis par la cour. La source des données se situait plus tôt, quand les forces de police réalisaient les vérifications d'empreintes pour identifier un accusé. En traçant les données jusqu'à leur source, nous avons pu établir des directives et des règles avec nos partenaires internes et externes, pour s'assurer que les éléments clefs du système que nous construisions étaient disponibles pour notre usage ainsi que pour d'autres partenaires en aval. »

3. Impliquer les utilisateurs métier dans le processus de gouvernance

Les utilisateurs métiers sont les premiers à bénéficier d'une bonne gouvernance des données, car elle leur permet d'avoir des données disponibles et de haute qualité pour les aider à mieux exécuter leurs missions. Ils devraient donc être impliqués dans le processus de gouvernance, si et là où cela est pertinent. « J'aime former un groupe d'utilisateurs avec les propriétaires des données ou leurs adjoints directs », confie Bryan Phillips, vice-président senior de la technologie et CIO du groupe d'emballages Alpha Packaging. « J'apprécie ensuite de leur donner un certain niveau de contrôle budgétaire sur les sujets en cours et les priorités. »

Cela tend à forger une coopération entre différents départements, à promouvoir le partage des connaissances et cela peut même créer une petite compétition amicale, selon Bryan Phillips. « Vous voulez que ce groupe partage dans un sentiment de réussite. La gouvernance des données peut être perçue de façon négative quand elle est mal menée », ajoute-t-il. Les propriétaires des données sont souvent les mieux placés pour cataloguer leurs données, d'après Bryan Phillips. « Nul ne connaît mieux les données qu'eux. Utilisez ce groupe pour identifier les points qui posent problème et pour les résoudre. »

4. Ne pas négliger la gestion des données maîtres

La gouvernance doit inclure la gestion des données maîtres, c'est-à-dire les données sur l'entreprise qui fournissent le contexte de toutes les transactions métiers. Une gestion efficace des données maîtres peut améliorer la cohérence et la pertinence des données. « Il doit y avoir un vrai focus sur la standardisation et/ou le référencement transversal des données maîtres », estime Bryan Phillips. « C'est souvent le point le plus surveillé. Sans cela, les données peuvent se retrouver dans des silos, sans moyen de les croiser avec des données d'autres domaines. Il est très important d'avoir un groupe qui a la responsabilité des données maîtres et travaille en lien étroit avec les métiers. » Dans l'idéal, le groupe chargé de gérer ces données maîtres doit être une fonction transverse plutôt qu'un groupe rattaché à l'IT, selon Bryan Phillips.

5. Comprendre la valeur de l'information

La gouvernance des données est presque une appellation erronée, car elle ne reflète pas forcément la valeur réelle des enseignements tirés de l'information. « L'information consiste à corréler des données qui créent de la valeur pour une organisation », affirme Marc Johnson, consultant senior et CIO virtuel de l'entreprise de conseil en santé Impact Advisors. Dans son secteur, cela inclut des données financières, des données patients, des données sur les employés, etc. « La gouvernance a besoin d'aller plus loin que la classification des données. Elle nécessite de classer l'information. La classification de l'information indique la valeur pour l'organisation et l'impact subséquent si celle-ci est perdue, volée ou détruite », explique Marc Johnson. Il cite en exemple un employé qui envoie par mail de l'information depuis un compte d'entreprise vers un compte privé. « Nous avons des outils de prévention des pertes de données en place pour bloquer l'exfiltration de données de santé protégées au format électronique », indique Marc Johnson. « Si nous n'avions pas pris le soin de classifier l'information, et pas seulement les données, nous aurions bloqué toute une liste de tâches de routine. Si nous n'avions pas exécuté les vérifications préalables additionnelles, cela aurait provoqué des dizaines de milliers de faux positifs dans nos systèmes, avec à la clef une fatigue liée aux alertes, un trafic réseau excessif et un haut niveau d'alarme injustifié dans le centre d'opérations de sécurité. »

La gouvernance des données demande des vérifications approfondies pour savoir qui a accès à quelle information et quelle est la valeur de cette information pour l'organisation, ses clients, ses employés, ses partenaires et autres. « Si une organisation ne pousse pas suffisamment loin le processus de gouvernance, elle court le risque de surdimensionner ou au contraire de sous-dimensionner ses capacités de protection, de disponibilité et de récupération de ce qui forme le coeur de ses activités - l'information », prévient Marc Johnson.

6. Ne pas restreindre à l'excès l'utilisation des données

Étant donné la valeur concurrentielle de l'information et les risques majeurs pour la sécurité et la vie privée, les décideurs IT peuvent avoir tendance à restreindre fortement la manière dont les données sont distribuées et utilisées. Cela faire de la gouvernance une pratique davantage perçue comme négative que positive dans les organisations, voire finir par décourager l'innovation. Pour Brandon Jones, CIO de l'assureur Worldwide Assurance for Employees of Public Agencies (WAEPA), des restrictions fortes « conduisent à limiter la création de valeur et à inhiber la valeur métier. Cela génère du ressentiment et freine l'adoption par les utilisateurs des technologies d'entreprise. »

WAEPA a construit une plateforme intégrée et exhaustive qui agrège des données provenant de sources disparates dans un référentiel unique, qui permet de multiples visualisations en fonctions des besoins des différents représentants métiers. Parmi les objectifs visés figurent l'accessibilité améliorée, la pertinence et l'exhaustivité des données, afin de renforcer le niveau de confiance lors de la prise de décisions. « Les leaders organisationnels doivent continuellement s'adapter aux besoins du métier, et pour y parvenir, chacune des parties prenantes doit être en mesure de contribuer », estime Brandon Jones. Elles doivent aussi bénéficier d'un accès facile et sécurisé à l'information pertinente pour les sujets sur lesquels elles travaillent. « La gouvernance revient à s'assurer que les vrais problèmes trouvent des réponses, et donc à ce que les données soient utilisées pour prendre des décisions informées afin d'adresser ces mêmes problèmes », pointe Brandon Jones.

Article de Bob Violino / CIO États-Unis (Adaptation et traduction par Aurélie Chandèze)