Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus

La différence entre gouvernance des données et gouvernance des systèmes d’information

Ces derniers temps, nous avons été tellement concentrés sur la gouvernance des données, sur la nécessité de tirer le plus de valeur de nos données et sur les moyens d’éviter...
Michael Buckbee
4 minute de lecture
Publié 2 mars 2018
Dernière mise à jour 3 novembre 2021

Ces derniers temps, nous avons été tellement concentrés sur la gouvernance des données, sur la nécessité de tirer le plus de valeur de nos données et sur les moyens d’éviter le prochain piratage de grande ampleur, que nous avons été nombreux à oublier les bases de la gouvernance des systèmes d’information, grâce à laquelle nous pouvons appliquer une gouvernance des données efficace.

Ce phénomène est en partie dû au fait que la gouvernance des données et celle des systèmes de l’information ont des objectifs très similaires et interdépendants. De manière générale, ces deux processus servent à optimiser les actifs de l’organisation afin de lui apporter la plus grande valeur métier.

Puisque les liens entre la gouvernance des systèmes d’information et la gouvernance des données sont si étroits et essentiels, passons en revue leurs points communs et différences.

Qu’est-ce que la gouvernance des systèmes d’information ?

La gouvernance des systèmes d’information veille à ce que les investissements informatiques de l’organisation soutiennent les objectifs métier, gèrent les risques et soient conformes aux réglementations.

Voici quelques exemples d’investissements informatiques : sécurité physique et technique, chiffrement, serveurs, logiciels, ordinateurs et appareils réseau, schémas de base de données et sauvegardes.

Il est souvent dit que ces investissements sont des postes de dépenses plutôt que des sources de revenus. Soyons clairs : les organisations ne pourraient pas fonctionner, optimiser ou même générer de chiffre d’affaires sans l’informatique.

Bref : pas d’informatique, pas de données, et pas d’activité.

Mais la gestion saine de l’informatique exige un pilotage dédié pour faire en sorte d’optimiser les investissements technologiques.

Les parties prenantes impliquées dans la réussite de la gouvernance des systèmes d’information sont le conseil d’administration, les responsables des finances, des opérations, du marketing, des ventes, des ressources humaines, de l’approvisionnement et, bien entendu, le directeur informatique (CIO/DSI) et les autres responsables de la gestion de l’informatique.

C’est au CIO qu’incombe la responsabilité d’aligner la gouvernance des systèmes d’information sur les objectifs métier de l’organisation.

Pour cela, il utilise souvent des cadres de gouvernance de données mis au point par des experts du secteur. Ces cadres s’accompagnent de guides d’implémentation, d’études de cas et d’évaluations. Voici quelques cadres dont vous avez peut-être entendu parler :

COBIT 5 : un des référentiels du secteur, il aide les entreprises dans leurs opérations de gouvernance des systèmes d’information, d’optimisation de l’activité et de croissance en préconisant l’application de pratiques éprouvées. Ce référentiel s’appuie sur cinq principes clés de gouvernance et de gestion de l’informatique d’entreprise :

  1. Répondre aux besoins des parties prenantes
  2. Couvrir l’entreprise de bout en bout
  3. Appliquer un seul cadre de référence
  4. Favoriser une approche globale
  5. Séparer la gouvernance et la gestion

ITIL (IT Infrastructure Library) : aide à aligner les services informatiques sur les besoins de l’activité. Ce cadre est principalement connu pour ses cinq publications clés, chacune d’elles présentant les meilleures pratiques adaptées à chaque phase du cycle de vie du service informatique.

FAIR : nouveau cadre qui, selon son site Web, est une « organisation professionnelle à but non lucratif ayant pour mission de faire progresser la mesure et la gestion du risque lié aux informations. Elle fournit aux responsables en charge des risques liés aux informations, de la cybersécurité et de l’activité les normes et meilleures pratiques qui aident les organisations à mesurer, gérer et signaler les risques liés aux informations d’un point de vue métier. »

À vous de voir quel cadre convient le mieux à la culture de votre entreprise et, selon les organisations, l’approche hybride est souvent celle qui fonctionne le mieux.

Et lorsqu’une gouvernance des systèmes d’information adéquate est en place, la gouvernance des données a plus de chances de porter ses fruits. Pourquoi ? L’exécution et la gestion des systèmes, des applications, de l’assistance informatique et leur façon de gérer les données dans l’entreprise auront un impact sur la gouvernance des données.

Alors, qu’est-ce que la gouvernance des données ?

La gouvernance des données fait référence à la gestion des données dans le but d’améliorer les résultats de l’activité et de soutenir la croissance de l’entreprise.

Jusqu’ici, hormis le fait qu’elle concerne un autre type d’actif, la gouvernance des données est très similaire à la gouvernance des systèmes d’information.

Parmi les parties prenantes impliquées dans la gouvernance des données, on trouve toutes les personnes participant à la gouvernance des systèmes d’information, auxquelles viennent s’ajouter quelques responsables : conseil d’administration, responsables des finances, des opérations, du marketing, des ventes, des ressources humaines, de l’approvisionnement, le CIO et le responsable de la gestion informatique.

Toutefois, la personne chargée d’aligner les données sur les indicateurs métier de l’organisation est le responsable des données (Chief Data Officer, ou CDO). Le CDO impliquera aussi des spécialistes des données, des programmeurs et tout service générant des données, c’est-à-dire tous les services d’une organisation.

Ce n’est que récemment que les CDO sont venus prêter main forte à l’équipe dirigeante et ils aident à gérer l’entreprise de manière à générer de la valeur métier à partir des données. D’après Gartner, 90 % des grandes organisations auront un responsable des données d’ici 2019.

Oui, le responsable des données a bien un rôle technique, mais il doit aussi posséder des compétences de gestion de l’activité et des changements. Après tout, il doit agréger les données, les analyser et, c’est le plus difficile, faire en sorte que l’entreprise puisse les exploiter.

La gouvernance des données étant un secteur relativement nouveau, il n’existe aucun cadre établi équivalent à COBIT 5.

Mais d’après mes recherches et les échanges que j’ai pu avoir des professionnels à l’occasion de conférences, les dirigeants d’une entreprise doivent se poser les questions suivantes :

  1. Quelle est notre stratégie métier ?
    • Une stratégie de données ne va pas générer un euro de chiffre d’affaires pour votre entreprise, il s’agit simplement d’un engrenage lançant la machine.
  2. Avons-nous défini et communiqué les objectifs clés dans toute notre organisation ?
    • Vous allez gaspiller beaucoup de temps, d’argent et de ressources à résoudre un problème si vous ne savez pas quel est le problème métier.
  3. Possédons-nous les données adéquates et leur qualité est-elle suffisante ?
    • Si les données ne sont pas de qualité, vos projets de données et vos analyses ne donneront pas satisfaction, c’est inévitable.

En discutant avec Jeffery McMillian, responsable des données chez Morgan Stanley, j’ai appris qu’il consacre 90 % de son temps aux deux premières questions. D’après lui, si vous ne pouvez pas répondre à ces deux questions, tout ce que vous pourrez faire par ailleurs ne servira à rien.

Faites en sorte que vos données restent protégées et en sécurité – obtenez une évaluation gratuite des risques dès aujourd’hui.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testez Varonis gratuitement.
Un résumé détaillé des risques liés à la sécurité de vos données.
Stratégie claire vers une remédiation automatisée.
Déploiement rapide.
Keep reading
guide-de-l’acheteur-de-dspm
Guide de l’acheteur de DSPM
Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
derrière-la-refonte-de-la-marque-varonis
Derrière la refonte de la marque Varonis
Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.
trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
Trois façons dont Varonis vous aide à lutter contre les menaces internes
Les entreprises ont du mal à lutter contre les menaces internes. Pour lutter contre elles, Varonis s’appuie sur la « triade de la sécurité des données » (sensibilité, accès et activité).