Data management : les entreprises sont en retard mais veulent aller trop vite !

Sous l’angle du RGPD ou du Cloud Act, la donnée et ses différents niveaux de confidentialité sont au cœur des préoccupations des entreprises. Les retardataires prennent de plus en plus la mesure de l’urgence de se préoccuper de cette question de classification afin de décider du type de stockage adapté, mais beaucoup veulent aller trop vite.

Les décisions stratégiques prises dans l’urgence et dé-corrélées d’une analyse fine de la faisabilité ont souvent des conséquences bien pires que l’absence de décision à court terme. Voici les erreurs les plus fréquemment constatées.

La toute première étape dans l’élaboration d’une stratégie de data management consiste à cartographier les données, les flux et les éléments. Sans analyse précise et documentée de l’existant, la tentation de « tout mettre dans le même cloud » entraîne des risques inconsidérés. Les OIV (Organisme d’importance vitale) le savent et l’anticipent par exemple car certaines données et processus peuvent être soumis à la Loi de Programmation Militaire.

 La gestion de la complexité de la cohabitation des systèmes n’est pas à prendre à la légère au même titre qu’une étude de réversibilité en amont. Trop d’entreprises oublient que le fait de retirer les données d’un cloud public est payant. Tout mettre dans le même cloud peut entraîner des surcoûts et donc un risque financier, c’est pourquoi l’analyse de l’existant doit être accompagné d’une démarche FinOpps afin de rendre prédictif le coût du cloud public, mettre en place des mécanismes de management et d’alerte en cas de surconsommation.

Il faut intégrer tous ces éléments et surtout mettre en place les processus qui vont permettre de supporter la démarche (et d’intégrer les nouvelles) pendant toute la vie du projet et faire travailler ensemble aussi bien le chief data officer, le DPO que les opérations de monitoring.

Dans un premier temps, cela permettra de redéployer des éléments qui existaient par le passé, ensuite de créer des équipes pluridisciplinaires en conservant un mode agile et tout ce qui attire vers le cloud. Enfin, l’enjeu est aussi organisationnel : la maîtrise du cycle de vie autour de la donnée (la créer, l’alimenter, la partager).

La classification est une action continue, qui peut nécessiter de s’équiper d’outils de classification et des outils d’analyse afin de maintenir les processus et les opérations. Par exemple, on peut utiliser le Machine Learning pour que l’IA apprenne à repérer des données, et à les échantillonner. De même, on peut utiliser le cloud pour analyser la migration vers le cloud.

Cet aspect de classification des données est un travail assez simple qui est, en principe, déjà fait compte tenu des obligations du RGPD. Toutefois, il s’agit là d’une problématique plus large et plus profonde.

En effet, faire confiance au fournisseur de cloud n’empêche pas de mettre en place des dispositifs de sécurité tel que le chiffrement ou s’équiper des applications nécessaires afin d’éviter les partages indésirables et maintenir la fluidité pour l’utilisateur final. Le cloisonnement, est une garantie de non-partage de document.

Le client garde la main sur les données en utilisant ses propres clés de chiffrement (système de ‘Bring our own key’). Et la localisation des données et le contrôle de cette localisation sont aussi des éléments essentiels.

Les métiers font parfois pression sur la DSI ou les RSSI pour aller vite et utiliser autant que possible des solutions de cloud public. Ces derniers prennent alors le rôle d’empêcheur de tourner en rond alors même que souvent l’utilisation du cloud hybride permet la fluidité, la sécurité et la rapidité souhaitée.