La gouvernance des données

Pratiques proactives de sécurité numérique pour l’amélioration des PME

Qu’est-ce qui est omniprésent dans le monde numérique? Le monde numérique n’existe pas sans les données. Pourquoi? Au-delà des réalités physiques du monde physique, les entrepreneurs des PME canadiennes doivent également coexister avec les réalités virtuelles et l’omniprésence des données dans le monde virtuel. En tant qu’éléments d’information recueillis auprès de multiples sources et stockés à des fins de référence, d’analyse et de prise de décision, les données sont essentiellement des faits, des chiffres et des détails en formes brutes qui, lorsqu’ils sont traités correctement, peuvent fournir des informations et des connaissances¹. Les données sont partout: les températures relevées par une station météorologique, les messages textes que nous envoyons et recevons, les vidéos que nous regardons sur diverses plateformes, les courriels que nous échangeons entre nous, le matériel et les commentaires que nous publions dans les médias sociaux, et même notre rythme cardiaque enregistré par un appareil de surveillance d’activité physique, ou les résultats d’un ECG stockés dans un dispositif médical utilisé par un hôpital.

Considérées fondamentalement comme les éléments constitutifs de l’information et de la connaissance, les données sont caractérisées par leur nature, leurs formes, leurs types et leurs finalités. Nature : les données peuvent être qualitatives (informations descriptives) ou quantitatives (valeurs numériques). Formes : les données peuvent être produites sous de nombreuses formes telles que des textes, des nombres, des images, des contenus audios et vidéos. Types : les données sont souvent catégorisées comme structurées (c’est-à-dire organisées dans un format prévisible comme la plupart des bases de données), ou non structurées (c’est-à-dire dépourvues de format fixe comme le contenu des courriels), ou semi-structurées (c’est-à-dire un mélange de formats structurés et non structurés comme les courriels, les fichiers XML ou JSON). Finalités : lorsqu’elles sont traitées et analysées, les données servent à diverses fins, fournissant des informations qui aident à prendre des décisions éclairées, à résoudre des problèmes et à générer de nouvelles connaissances. Les données sont essentiellement la matière première qui, lorsqu’elle est convenablement collectée et traitée, se transforme en informations précieuses adaptables dans de nombreux domaines et applications.

Afin que les PME canadiennes puissent mieux gérer leurs données, nous proposons ici quelques balises vers une gouvernance efficace des données. Comment les entrepreneurs canadiens qui travaillent quotidiennement dans diverses organisations peuvent-ils appliquer des pratiques proactives de gouvernance des données pour l’amélioration de leurs PME respectives? En s’appuyant sur le savoir-faire synthétisé à partir des ressources essentielles^{2,3,4,5,6,7,8} référencées dans les notes de fin du présent document, notre Infolettre du mois de décembre 2024 fournit des réponses multifactorielles à cette question primordiale et elle explique les facettes pratiques relatives à plusieurs niveaux de la gouvernance des données.

1 Government of Canada. Treasury Board Secretariat Corporate Reports. Government in a Digital Age. 2023 –2026 Data Strategy for the Federal Public Service: Digital Government Innovation Enabling Interoperability. Government of Canada Official Publications. https://www.canada.ca/en/treasury-board-secretariat/corporate/reports/2023-2026-data-strategy.html

2 National Institute of Standards and Technology (NIST). U.S. Department of Commerce. NIST Internal Report—NIST IR 8496, Data Classification Concepts & Considerations for Improving Data Protection. Initial Public Draft, November 2023, 17 pages   https://nvlpubs.nist.gov/nistpubs/ir/2023/NIST.IR.8496.ipd.pdf

3 Harvard University. PrivSec – Information Security and Data Privacy. The Data Lifecycle. Cambridge, Massachusetts, USA. https://privsec.harvard.edu/data-lifecycle

4 Oleg Gusikhin, Slimane Hammoudi & Alfredo Cuzzocrea (Editors). Data Management Technologies and Applications: Conference Proceedings, 12^th International Conference, DATA 2023, Rome, Italy, July 11–14, 2023, Revised Selected Papers. Published on the 6^th of September 2024, Springer Nature Academic Publisher, German-British Publishing Company, headquarters: London, United Kingdom, 242 pages. https://link.springer.com/book/10.1007/978-3-031-68919-2

5 K. Selçuk Candan & Maria Luisa Sapino. Data Management for Multimedia Retrieval: Knowledge Management, Databases and Data Mining for Computer Science, Software Engineering and Development. Print Hardcover Edition of July 2010 and Online Edition of July 2014, Cambridge University Press, Cambridge, United Kingdom, 500 pages. https://www.cambridge.org/core/books/data-management-for-multimedia-retrieval/F0DCC5CDA740E5ADE1F6E6028A706BA2

6 Harvard University. PrivSec – Information Security and Data Privacy. Data Classification Table – Administrative Examples. Cambridge, Massachusetts, USA. https://privsec.harvard.edu/data-classification-table

7 David Feng, W.C. Siu & Hong Jiang Zhang (Editors). Multimedia Information Retrieval and Management: Technological Fundamentals and Applications. Paperback Edition published on the 15^th of December 2010, Springer Nature Academic Publisher, German-British Publishing Company, headquarters: London, United Kingdom, 476 pages. https://link.springer.com/book/10.1007/978-3-662-05300-3

8 Ravi Jay Gunnoo. Cybersecurity Education Compendium: Harnessing Digital Safety Best Practices Across the World. 1^st Edition published in Paperback—Large Print Format and e-Book Version. Publication date: the 18^th of September 2024. Publishing Company: Amazon Publishing, Seattle, State of Washington, USA, 728 pages. https://www.amazon.ca/CYBERSECURITY-EDUCATION-COMPENDIUM-Harnessing-Practices/dp/B0DF6NPLFS/

La gouvernance des données : étapes de mise en œuvre

La mise en œuvre de la gouvernance des données va au-delà de la simple conformité; il s’agit d’utiliser les données comme un atout stratégique pour favoriser la croissance et l’innovation des entreprises. Pour parvenir à une gouvernance des données efficace, suivez les étapes ci-dessous :

1. Établissez une politique de gouvernance des données.
2. Inventoriez les données, notamment en déterminant leur classification.
3. Gérez les données tout au long de leur cycle de vie.

Comprendre le cycle de vie des données et ses étapes typiques

Le cycle de vie des données fait référence aux différentes étapes par lesquelles traversent les données – de leur création à leur suppression. Comprendre le cycle de vie des données aide les organisations à classer, gérer et protéger les données avec succès. Quelles sont les étapes typiques du cycle de vie des données? Voici un résumé des étapes distinctes du cycle de vie des données :

1. La création des données : il s’agit de l’étape initiale où les données sont générées, conçues et collectées. Cela peut provenir de diverses sources telles que des transactions, des capteurs, des saisies de données effectuées par les utilisateurs, des sondages, etc.
2. Le stockage des données : une fois les données créées, elles doivent être stockées de manière sécurisée. Cela implique de sélectionner des solutions de stockage appropriées telles que des bases de données, des entrepôts de données ou un stockage infonuagique pour défendre la sécurité et l’accessibilité des données.
3. L’utilisation des données : au cours de cette étape, les données sont consultées, utilisées pour de nombreuses raisons et partagées. C’est là que les données apportent de la valeur à une organisation.
4. L’entretien des données : des activités d’entretien régulier garantissent que les données demeurent exactes, mises à jour et pertinentes. Cela comprend le nettoyage des données, la validation et la mise à jour des enregistrements s’il y a lieu.
5. L’archivage des données : au fil du temps, certaines données peuvent ne plus être utilisées activement, mais doivent être conservées à des fins de conformité ou de référence historique. L’archivage déplace ces données vers des solutions de stockage à long terme.
6. L’élimination des données : finalement, lorsque les données ne sont plus nécessaires et ont dépassé leur période de conservation, elles doivent être éliminées de manière sécurisée. Cela nécessite de supprimer les données de manière à ce qu’elles ne puissent pas être récupérées, protégeant ainsi les informations confidentielles.

Chaque étape du cycle de vie des données nécessite une planification et une gestion minutieuses pour assurer la véracité des données, la sécurité et la conformité aux exigences réglementaires. Une gestion appropriée à chaque étape aide les organisations à tirer le meilleur parti de leurs actifs de données tout en minimisant les risques.

Comment pouvez-vous protéger le partage de vos données avec des parties externes?

La protection de vos données lors du partage avec des parties externes nécessite plusieurs pratiques bénéfiques pour s’assurer que les données demeurent sécurisées et confidentielles. Certaines mesures efficaces se résument comme suit :

• Les ententes de partage des données : établissez des ententes officielles avec des parties externes qui décrivent les conditions générales de partage des données. Ces ententes devraient inclure des clauses de confidentialité et préciser comment les données peuvent être utilisées et protégées.
• Le cryptage des données : utilisez des méthodes de cryptage robustes pour sécuriser les données en transit et au repos. Cela garantit que même si les données sont interceptées, elles ne peuvent pas être lues sans la clef de cryptage.
• Les contrôles d’accès : mettez en œuvre des contrôles d’accès stricts pour s’assurer que seules les personnes autorisées peuvent accéder aux données. Utilisez le contrôle d’accès basé sur les rôles (CABR) pour limiter l’accès en fonction du rôle et des responsabilités de l’utilisateur.
• L’anonymisation ou le masquage des données : dans la mesure du possible, anonymisez ou masquez les données confidentielles avant de les partager. Ce processus comprend la suppression ou le masquage des détails tels que les renseignements personnels identifiables (RPI) afin de minimiser le risque d’exposition.
• Les vérifications constantes et la surveillance régulière : effectuez des vérifications fréquentes et surveillez continuellement les activités de partage de données pour détecter et répondre à tout accès non autorisé ou activité suspecte.
• L’authentification robuste : utilisez l’authentification multifactorielle (MFA) pour vérifier l’identité des utilisateurs accédant aux données. Cela ajoute une couche de protection supplémentaire au-delà d’un simple mot de passe.
• La classification des données : classez clairement les données en fonction de leur confidentialité et mettez en œuvre les mesures connexes de protection. Assurez-vous que les parties externes comprennent les exigences de classification et de traitement.
• La formation des employés : sensibilisez les employés et les partenaires externes aux meilleures pratiques en matière de sécurité des données. Une formation régulière peut aider à prévenir les violations accidentelles de données et à s’assurer que chacun comprend ses responsabilités.
• Le plan de réponse face aux incidents (PRI) : mettez en place un PRI pour intervenir lorsqu’il y a des atteintes à la sécurité des données ou aux incidents de cybersécurité impliquant des parties externes. Ce plan d’intervention d’urgence devrait comprendre des étapes pour informer les parties concernées et réduire l’impact de la violation de données.

En mettant en œuvre les mesures évolutives susmentionnées, vous pouvez réduire considérablement le risque de violation de données et vous assurer que vos données restent protégées lorsque vous les partagez avec des parties externes.

Conclusion

La mise en œuvre de la gouvernance des données ne se limite pas uniquement à la conformité; il s’agit d’exploiter les données comme un atout stratégique pour améliorer la cybersécurité et stimuler la croissance des affaires pour les PME. Pour parvenir à une gouvernance agissante des données dans le contexte de la cybersécurité, suivez les étapes suivantes :

1. Établissez une politique de gouvernance des données : élaborez une politique intégrale qui décrit les principes, les rôles et les responsabilités en matière de gestion sécurisée des données au sein de votre organisation.
2. Faites l’inventaire de vos données : faites un inventaire complet de vos données, y compris leur classification, pour vous assurer que des mesures de traitement, de protection et de sécurité appropriés sont en place.
3. Gérez les données tout au long de leur cycle de vie : mettez en œuvre des pratiques robustes de gestion des données pour superviser les données depuis leur création jusqu’à leur suppression, en garantissant leur intégrité, leur disponibilité et leur sécurité à chaque étape de leur cycle de vie.

En adhérant aux étapes énoncées ci-dessus, les organisations peuvent renforcer leur posture de cybersécurité, améliorer la prise de décision et stimuler l’innovation.

Ressources et références

• Gouvernement du Canada. Rapports ministériels du Secrétariat du Conseil du Trésor. À propos du gouvernement – Innovations en matière de gouvernement numérique. Stratégie relative aux données de 2023-2026 pour la fonction publique fédérale. Publications officielles du Gouvernement du Canada. https://www.canada.ca/fr/secretariat-conseil-tresor/organisation/rapports/strategie-relative-aux-donnees-2023-2026.html
• National Institute of Standards and Technology (NIST). United States Department of Commerce. NIST Internal Report—NIST IR 8496 IPD. Data Classification Concepts and Considerations for Improving Data Protection, Initial Public Draft, November 2023, 17 pages. https://nvlpubs.nist.gov/nistpubs/ir/2023/NIST.IR.8496.ipd.pdf
• Harvard University. PrivSec – Information Security and Data Privacy. The Data Lifecycle. Cambridge, Massachusetts, USA. https://privsec.harvard.edu/data-lifecycle
• Oleg Gusikhin, Slimane Hammoudi & Alfredo Cuzzocrea (Editors). Data Management Technologies and Applications: Conference Proceedings, 12^th International Conference, DATA 2023, Rome, Italy, July 11–14, 2023, Revised Selected Papers. Published on the 6^th of September 2024, Springer Nature Academic Publisher, German-British Publishing Company, headquarters: London, United Kingdom, 242 pages. https://link.springer.com/book/10.1007/978-3-031-68919-2
• Selçuk Candan & Maria Luisa Sapino.Data Management for Multimedia Retrieval: Knowledge Management, Databases and Data Mining for Computer Science, Software Engineering and Development.Print Hardcover Edition of July 2010 and Online Edition of July 2014, Cambridge University Press, Cambridge, United Kingdom, 500 pages. https://www.cambridge.org/core/books/data-management-for-multimedia-retrieval/F0DCC5CDA740E5ADE1F6E6028A706BA2
• Harvard University. PrivSec – Information Security and Data Privacy. Data Classification Table – Administrative Examples. Cambridge, Massachusetts, USA. https://privsec.harvard.edu/data-classification-table
• David Feng, W.C. Siu & Hong Jiang Zhang (Editors). Multimedia Information Retrieval and Management: Technological Fundamentals and Applications. Paperback Edition published on the 15^th of December 2010, Springer Nature Academic Publisher, German-British Publishing Company, headquarters: London, United Kingdom, 476 pages. https://link.springer.com/book/10.1007/978-3-662-05300-3
• Ravi Jay Gunnoo. Cybersecurity Education Compendium: Harnessing Digital Safety Best Practices Across the World. 1^st Original Edition published in Paperback—Large Print Format and e-Book Version. Publication date: the 18^th of September 2024. Publishing Company: Amazon Publishing, Seattle, State of Washington, USA, 728 pages. https://www.amazon.ca/CYBERSECURITY-EDUCATION-COMPENDIUM-Harnessing-Practices/dp/B0DF6NPLFS/
• John Ladley. Data Governance: How to Design, Deploy and Sustain an Effective Data Governance. 2^nd Edition published in paperback on the 8^th of November 2019, Academic Press—an imprint of Elsevier, Salt Lake City, Utah, USA, 350 pages. https://shop.elsevier.com/books/data-governance/ladley/978-0-12-815831-9
• Mohan Subramaniam. The Future of Competitive Strategy: Unleashing the Power of Data and Digital Ecosystems. Hardcover Edition published on the 16^th of August 2022. The MIT Press, Cambridge, Massachusetts, USA, 312 pages. https://mitpress.mit.edu/search-result-list/?keyword=The+Future+of+Competitive+Strategy%3A+Unleashing+the+Power+of+Data+and+Digital+Ecosystems
• Barbara Canton, Wayne Erdman, Jeff Irvine et al. Mathematics of Data Management Textbook—12 Student Editions. Paperback Edition published on the 19^th of August 2002, McGraw-Hill Ryerson Publishing, Milton (Ontario), Canada, 676 pages. https://archive.org/details/mc-graw-hill-data-management/page/16/mode/2up
• Vijay Govindarajan and Venkat Venkatraman. Fusion Strategy: How Real-Time Data and AI Will Power the Industrial Future. 1^st Hardcover Edition published on the 12^th of March 2024, Havard Business Review (HBR) Press, Boston, Massachusetts, USA, 224 pages. https://store.hbr.org/product/fusion-strategy-how-real-time-data-and-ai-will-power-the-industrial-future-ebook-and-mini-masterclass-with-vijay-govindarajan/10813?sku=10813E-KND-ENG
• Alex Berson and Larry Dubov. Master Data Management and Data Governance: Latest Techniques for Building a Customer-Focused Enterprise Environment. 2^nd Hardcover Edition published on the 6^th of December 2021, McGraw-Hill Osborne Media, New York City, New York, USA, 537 pages. https://www.mhebooklibrary.com/doi/book/10.1036/9780071744591
• Michael E. Kirshteyn. Data Governance Framework: A Comprehensive Guide to Success. Hardcover Edition published on the 30^th of January 2024, Amazon Publishing, Seattle, State of Washington, USA, 277 pages. https://www.amazon.com/dp/B0CTLP4T6X/
• David Plotkin. Data Stewardship: An Actionable Guide to Effective Data Management and Data Governance. 2^nd Paperback Edition published on the 31^st of October 2020, Academic Press—an imprint of Elsevier, Salt Lake City, Utah, USA, 248 pages. https://shop.elsevier.com/books/data-stewardship/plotkin/978-0-12-822132-7
• Morgan Templar. Get Governed: Building World Class Data Governance Programs. Paperback Edition published on the 13^th of September 2017, Ivory Lady Publishing, 274 pages. https://www.amazon.com/Get-Governed-Building-Governance-Programs/dp/069295175X/
• Thomas C. Redman. Getting in Front of Data: Who Does What? 1^st Paperback Edition published on the 13^th of August 2016, Technics Publications, Sedona, Arizona, USA190 pages. https://technicspub.com/getting-in-front-on-data/

Contributions

Nous remercions en particulier le Conseil national de recherches du Canada (CNRC) pour son soutien financier par le biais de son Programme d’aide à la recherche industrielle (PARI).

Éditeur en chef : Alan Bernardi

Informaticien & traducteur-réviseur certifié : Ravi Jay Gunnoo (C.P.T. ISO 17100)