AVIS D’EXPERT – À mesure que la puissance de l’analyse avancée et de l’IA augmente, l’importance de la gouvernance et de la sécurité des données qui en découle également.
Virginie Brard, directrice commerciale France et Benelux de Fivetran (plateforme de mouvement automatisé des données), fait le point sur le sujet pour les lecteurs de Solutions Numériques et Cybersécurité.
Récemment, des violations et des défaillances de cybersécurité très médiatisées ont projeté la gouvernance et la sécurité des données sur le devant de la scène. Indépendamment de ces incidents, les autorités internationales compétentes ont également renforcé leur surveillance de l’utilisation des données par les entreprises face à la croissance de l’IA générative et d’autres produits et technologies de données. Aux Etats-Unis, le décret présidentiel Biden publié en fin d’année 2023 a été suivi par la loi sur l’intelligence artificielle approuvée par les députés en mars 2024 et en cours d’adoption par l’Union européenne.
Ce cadre réglementaire confirme la responsabilité des entreprises dans la gestion et la sécurisation de leurs données afin d’éviter toute utilisation abusive. Et cela deviendra de plus en plus essentiel à mesure que les entreprises déploieront davantage l’analyse prédictive et l’IA générative. Une infrastructure de données sécurisée et bien gérée garantit la sécurité et l’intégrité des données qui alimentent les initiatives d’IA, ce qui permet de faire confiance aux modèles et de les mettre sur le marché en toute confiance.
La garantie d’une gouvernance et d’une sécurité des données adéquates repose sur les services fournis par les logiciels et les plates-formes constituant l’infrastructure de données. Sans ces services, il peut s’avérer difficile de garder la trace des données, d’empêcher qu’elles ne soient compromises et de les rendre accessibles aux parties prenantes en toute sécurité. Les innovations en matière de processus d’entreprise ou les changements organisationnels ne peuvent à eux seuls fournir ces capacités, en particulier compte tenu de l’ampleur des flux de données modernes. En l’absence de gouvernance et de sécurité des données, les risques réputationnels, les problèmes juridiques, la mise en danger des clients et la compromission de la propriété intellectuelle sont accrus.
Principes de la gouvernance des données
La gouvernance des données correspond à la gestion interne des données et consiste à garantir l’observabilité, le contrôle et l’évolutivité.
L’observabilité est la capacité d’une organisation à suivre, visualiser et comprendre tous ses types de données, qu’il s’agisse de reporting, de tableaux de bord, de modèles prédictifs ou d’autres ressources similaires. Cette tâche est généralement accomplie grâce à des fonctionnalités telles que la collecte de logs et de métadonnées à partir de pipelines de données, l’alimentation de catalogues de données, le maintien de pistes d’audit et le suivi de l’évolution des données produites.
Le contrôle quant à lui consiste à limiter l’accès aux données aux seules parties prenantes nécessaires. Ce contrôle est assuré par des fonctionnalités telles que la possibilité de créer et d’attribuer des rôles avec des privilèges d’accès uniques et la possibilité d’identifier et d’exclure ou de masquer des données sensibles telles que des informations personnelles identifiables par le blocage et le hachage et de limiter la connectivité des plates-formes aux réseaux externes. Les capacités nécessaires pour contrôler les données se chevauchent grandement avec celles requises pour la sécurité.
L’évolutivité, enfin, consiste à permettre et à maintenir l’observabilité, l’accès et le contrôle au fur et à mesure qu’une organisation augmente ses effectifs, construit une infrastructure de données plus complexe et traite des volumes de données plus importants. Les solutions comprennent le contrôle par programme des outils et de l’infrastructure de données (par exemple via une API), le déploiement automatisé des utilisateurs avec authentification multifactorielle et la garantie que les différents éléments de l’infrastructure de données peuvent communiquer les uns avec les autres.
Principes de la sécurité des données
Alors que la gouvernance des données concerne principalement la gestion des données internes, la sécurité des données consiste spécifiquement à empêcher l’accès non autorisé à des données sensibles par des acteurs externes. Cela se fait généralement par des pratiques telles que le cryptage de bout en bout, la purge des données lorsqu’elles ne sont plus nécessaires, l’anonymisation ou l’exclusion des données sensibles des référentiels de données, la mise en réseau et le déploiement privés et le maintien de la résidence des données dans des régions spécifiques.
En fonction du secteur d’activité et de la juridiction, il faut s’assurer que les fournisseurs avec lesquels les entreprises s’associent disposent des certifications nécessaires (comme SOC2, ISO 27001 et HIPAA). De manière général, la sécurité dépend de la limitation des privilèges d’accès nécessaires aux différentes catégories de parties prenantes pour leur permettre de jouer leur rôle.
Quelle que soit la manière dont les entreprises choisissent d’aborder la gouvernance et la sécurité des données, elles devront observer, contrôler, faire évoluer et sécuriser les données grâce à des fonctionnalités telles que l’enregistrement des métadonnées, le cryptage, le contrôle programmatique et bien d’autres encore. Cette démarche peut impliquer des acteurs techniques tels que des analystes et des ingénieurs, et le support des équipes juridique. Il est alors plus pratique d’assembler une infrastructure de données à partir de logiciels et de plates-formes qui sont confirmés pour prendre en charge ces capacités de manière native, plutôt que de les concevoir et de les construire soi-même.
Sécuriser les données pour sécuriser l’avenir
Une mauvaise sécurité et une mauvaise gouvernance des données représentent de plus en plus un danger non seulement sur le plan de la concurrence, mais aussi sur le plan juridique. Il est plus important que jamais pour les entreprises d’anticiper les problèmes potentiels grâce à des pratiques solides de gouvernance et de sécurité des données qui protègent les données des clients et les données exclusives.
La bonne nouvelle, c’est que les principes fondamentaux de la gouvernance et de la sécurité resteront probablement les mêmes, malgré les particularités des réglementations en cours. La gouvernance des données consistera toujours à observer, contrôler et faire évoluer les produits et les opérations liés aux données, tandis que la sécurité des données consistera toujours à refuser l’accès aux données à des parties non autorisées. La conformité au RGPD, à SOC2 et à d’autres normes communes dépend fondamentalement de la capacité d’une entreprise à démontrer une bonne gouvernance et de bonnes pratiques de sécurité.
Au-delà de la conformité réglementaire, une bonne gouvernance et une bonne sécurité des données sont des capacités essentielles et bénéfiques pour l’entreprise. Il est donc possible de suivre la provenance des produits de données, ce qui signifie que les processus utilisés pour les créer sont reproductibles et crédibles. En définissant clairement l’origine des produits de données, l’entreprise peut facilement maintenir une source unique de vérité et se fier à ses informations. D’une importance particulière du point de vue du public, cela implique également la capacité de comprendre et de corriger les produits de données lorsqu’ils produisent des résultats médiocres.
À mesure que la puissance de l’analyse avancée et de l’IA augmente, l’importance de la gouvernance et de la sécurité des données et les enjeux globaux qui en découlent augmentent également. Il incombe aux entreprises de mettre en place une infrastructure sécurisée et gouvernée, d’avoir des conversations critiques et d’évaluer et de sélectionner avec soin les outils et les plateformes appropriés.
Virginie Brard