Entreprise : comment exploiter la richesse de l’ouverture des données de façon sécurisée ?

Que représente l’exploitation des données dans une entreprise aujourd’hui ?

William Marcy : Autrefois, toutes les solutions logicielles étaient transmises à la DSI. Au fur et à mesure, les métiers ont évolué et ils ont eu besoin de nouveaux outils. Ces outils ont généré de nouvelles données, qui ne sont pas forcément structurées de la même façon. La data est devenue un patrimoine stratégique. Elle est désormais l’actif le plus précieux pour améliorer le pilotage de son entreprise. L’avenir d’une société se mesure aux données qu’elle stocke, qu’elle analyse, qu’elle manipule et qu’elle envoie. La data permet de prendre les décisions les plus avisées, de faire du prédictif et de gagner des parts de marché.

Or aujourd’hui, le volume de données des entreprises explose, en termes de qualité, de quantité et de sources. Nos clients ont donc besoin de solutions efficaces pour centraliser leurs données, les exploiter, et les sécuriser. En effet, si elles ont tendance à être de plus en plus ouvertes et accessibles, elles doivent avant tout l’être de façon contrôlée et sécurisée.

Mathieu Charbois : Et c’est la vraie question que les entreprises doivent se poser aujourd’hui ! Elles doivent se demander comment réussir à exploiter tout le potentiel et la richesse de leurs données, sans pour autant craindre une cyberattaque. C’est un risque auquel elles ne peuvent pas échapper : les entreprises se feront attaquer, c’est désormais une certitude. Pour preuve, l’an dernier, plus d’une entreprise sur deux a subi une cyberattaque.

Pour l’anticiper au mieux, il ne faut pas se demander si elle aura lieu. En revanche, il faut se projeter dans le "quand" et le "comment". Cette prévision est efficace pour mettre en œuvre une organisation cybersécurité, un pilotage des risques et des solutions techniques, capables de réduire la vraisemblance et l’impact d’une cyberattaque. C’est d’ailleurs l’objet de notre dernier guide.

Comment accompagnez-vous les entreprises face à la menace, tout en profitant de la richesse de leur data ?

W.M. : Nous les aidons d’abord à exploiter leur data, à en comprendre les enjeux et les différentes typologies de données. L’objectif ici est de stocker, de consulter, ou d’échanger des données, de manière efficace et sécurisée. Pour maîtriser toute cette data, des mécanismes de gouvernance sont indispensables. Nous les mettons en place chez nos clients pour :

• Traiter de manière industrialisée les données ;
• Contrôler leur qualité et leur fiabilité ;
• Avoir une vision sur leur pertinence, leur cheminement et leur traçabilité.

Les plateformes de Business Intelligence mises à leur disposition leur permettent d’exploiter ces données grâce à des indicateurs de performance (visuels, tableaux de bord, etc.). Ainsi, les entreprises s’assurent qu’elles utilisent la bonne donnée, au bon moment, tout en suivant les bonnes règles de gestion et les bonnes règles métier.

Les projets sont multiples, stratégiques et structurants pour une entreprise : déploiement d’un CRM, implémentation/migration d’un ERP et mise en place de solutions analytics. De ce fait, les entreprises sont confrontées à un volume de data conséquent. Des quantités de données sont partagées chaque seconde entre les différents serveurs, et sont donc majoritairement exposées. L’aspect sécurité fait désormais partie de chaque projet. À ce titre, il doit être évalué à tout moment, avant, pendant et après le déploiement des différents projets. Cette vigilance accrue réduit le risque de vol ou de compromission.

M.C. : En effet, les entreprises ont tendance à passer cet aspect au second plan. Pourtant, c’est à ce stade que la situation peut devenir critique. Dès que le projet est livré, il est nécessaire d’auditer le système et ses interconnexions, afin de s’assurer en continu qu’il ne présente pas de nouvelles failles ou menaces. Les entreprises nous consultent bien souvent avec ces deux enjeux forts d’exploitation et de sécurisation de leur data. Elles nous demandent alors par quel ordre avancer. En réalité, tout dépend de leur maturité, de la majorité de leur projet et des mesures de sécurisation mises en place par leur système d’information.

Prenons le cas d’une entreprise en pleine réflexion Data. Quelles sont les étapes à suivre ?

M.C. : Il est essentiel d’intégrer une démarche ISP (Intégration de la Sécurité dans les Projets) dès le début du projet. En veillant d’abord aux besoins et aux impératifs de sécurité, l’entreprise gagne du temps et anticipe les audits, via des solutions qui répondent à la fois aux besoins du business et aux problématiques de sécurité. Cette précaution évite toute intervention en aval du projet, pour essayer de sécuriser une solution déjà développée. Si l’on souhaite intégrer la sécurité de manière efficace, il faut avant tout penser de manière globale et optimisée.

Et dans le cas d’une entreprise ayant déjà mis en place des projets Data ?

M.C. : Une entreprise peut aller plus loin en détectant d’abord les failles de son système informatique. Elle pourra ainsi mettre en place des mesures de protection dès que possible. À ce stade, l’entreprise doit être capable de prendre des mesures préventives ou correctives sur ses actifs, comme sur les chaînes d’approvisionnement, de production ou de services. Ainsi, elle peut préserver leur intégrité.

La mise en place d’opérations constantes du Maintien en Condition Opérationnelle (MCO) du système d’information doit être complétée par des opérations de Maintien en Condition de Sécurité (MCS), bien souvent passées au second plan. Cela passera entre autres par des actions de :

• Veille technologique, permettant d’identifier et de recenser les failles de sécurité ;
• Une analyse d’impact de la faille sur les actifs de la société ;
• Une évaluation de la criticité de ces failles ;
• La mise en place d’actions préventives ;
• Des tests récurrents assurés par la mise en place de pentest ;
• Des audits organisationnels pour valider l’efficacité de ces actions.

Quelles contraintes et quels enjeux liés à l’exploitation des données ?

W.M. : Je citerais la gouvernance et l’intégrité des données. Comme je le disais plus tôt, le volume de données ne cesse de croître, car la data naît à tous les étages d’une entreprise. La conséquence la plus visible est la perte de son contrôle. Parfois, un collaborateur n’est même pas conscient que les données reçues et mises à la disposition d’autrui contiennent des informations inappropriées ou inexactes, et donc peu fiables. Cette « prolifération des données » est présente dans de nombreuses entreprises, alors incapables de faire face au rythme et au volume de données entrant dans leurs systèmes.

Pour garantir la qualité et la sécurité des données, la mise en place de la gouvernance (contrôle et protection des données, les processus, les rôles, les politiques, les normes et les mesures…) est indispensable. Tous ces aspects assurent une utilisation efficace des informations, pour aider les entreprises à atteindre leurs objectifs en établissant des processus et des responsabilités.

Ce sujet doit être au cœur des préoccupations d’une entreprise. En effet, une entreprise peut avoir à disposition les données les plus rares du marché. Or, si elles ne sont pas fiables, non conformes ou inexploitables par leur forme, elles seront inutiles, voire même lui être néfastes dans sa capacité à prendre les bonnes décisions.

M.C. : En effet, pour mettre en place une bonne gouvernance des données, la mise en œuvre d’un Système de Management de la Sécurité de l’Information (SMSI) est la solution la plus adaptée. C’est un véritable pilier de la gouvernance de la sécurité. Il permet d’engager, de façon cadrée, un ensemble de mesures de sécurité pour piloter efficacement une démarche de sécurisation du SI. Des outils comme APOS existent pour piloter son SMSI et la gouvernance de sa cybersécurité.

Revenons un instant aux contraintes rencontrées par une entreprise qui gère des données. Nous pourrions citer les conformités réglementaires : de nombreuses lois et réglementations exigent que les entreprises protègent les données de leurs clients et employés. L’entreprise doit donc être en conformité avec ces règles. C’est le cas des entreprises qui gèrent des données de santé, et qui doivent obtenir la certification Hébergeur de Données de Santé (HDS), basée sur la norme ISO 27001 ou encore plus communément la conformité à la RGDP, pour toute entreprise traitant des données à caractère personnel.

Avez-vous un mot de la fin ?

M.C. : La cybersécurité ne peut plus être un sujet négligé sur tout type de projet IT, et en particulier sur les projets Data. En effet, les attaquants externes recherchent en priorité les données sensibles, stratégiques d’une entreprise, pour demander des rançons par exemple. De plus, la cybersécurité, si elle est prise en compte en amont d’un projet, ne représente pas un coût ni un frein à l’innovation.

W.M. : En travaillant main dans la main, sécurité et projet Data permettent d’apporter énormément de plus-value et d’avantages concurrentiels à une entreprise. Elle peut alors envisager l’avenir avec confiance et ambition. Il est important de travailler avec un partenaire de confiance dans la durée. Nous le constatons depuis maintenant 20 ans, en tant que spécialistes dans le conseil, la mise en œuvre, l’intégration et l’hébergement de nos solutions (N.D.L.R. : Microsoft, SAP, Talend et Salesforce).

Nos accompagnements se différencient par notre connaissance des différents secteurs d’activité, des ETI et des grandes entreprises. Un savoir acquis avec nos expériences et notre centre de R&D. Nous conservons aussi l’intégralité de la maîtrise d’œuvre de nos projets et le support de toutes nos installations. Enfin, nous nous engageons sur nos résultats pour nos clients.

TVH Consulting dispose également d’une expertise en cybersécurité pour accompagner ses clients dans leur stratégie 360 ° de sécurité, du système d’information en assurant leur mise en conformité réglementaire (ISO27001, HDS, LPM, RGPD…), mais aussi en les accompagnant sur des audits techniques et des tests d’intrusion. Le développement du groupe s’accélère depuis maintenant plus d’un an, et nous permet d’enrichir notre expertise autour du système d’information des entreprises.

Ce contenu a été réalisé avec SCRIBEO. La rédaction de BFMBUSINESS n'a pas participé à la réalisation de ce contenu.