4 étapes pour le nettoyage des systèmes de partage de fichiers

Le caractère pratique et peu coûteux des systèmes de partage et de synchronisation de fichiers (EFSS – Entreprise file sync-and-share) a entraîné une utilisation croissante et incontrôlable de ces derniers. Le résultat n’est pourtant pas probant, ils sont souvent mal organisés. La plupart des organisations manquent de visibilité et de contrôle sur le capital informationnel présent dans leurs systèmes de partage de fichiers. A ce problème s’ajoute le fait que l’on y retrouve souvent de nombreux doublons, et des espaces contenant des fichiers abandonnés (vieux projets, des fichiers d’employés ne travaillant plus dans l’entreprise, etc.)

La plupart des entreprises reconnaissent que la nature désordonnée de leur systèmes de partage de fichiers entraîne des coûts informatiques élevés, des risques juridiques et de non-conformité accrus, ainsi qu’une perte de valeur et de connaissance sur leur capital informationnel; d’où la nécessité d’avoir une visibilité sur les contenus de ces disques partagés et de les assainir.

Comment les entreprises gèrent leur contenu numérique

Il est vrai que les entreprises ont adopté une vision pragmatique lorsqu’il est question de leur contenu numérique (Capital Informationnel… voir article précédent) :

  • Les documents engageants et axés sur des processus sont gérés dans des solutions de gestion de contenu d’entreprise (ECM)
  • La majeure partie du contenu est dispersé dans les serveur de partage de fichiers (disques partagés) “low cost” sous le contrôle des utilisateurs finaux.
  • Plus récemment, les entreprises ont commencé à utiliser des outils de partage et de synchronisation de fichiers dans le Cloud ou EFSS (Enterprise File Sync-and-Share) tels que Dropbox, OneDrive, Google Drive, etc. 

Avec l’émergence de systèmes EFSS, procéder au travail d’assainissement ou de nettoyage AVANT la migration du contenu vers les systèmes EFSS est devenu une problématique qui concerne de plus en plus d’entreprises.

La plupart des organisations considèrent que le travail impliqué relatif au nettoyage de ces environnements de partage de fichiers leur est unique. Il est vrai que chaque organisation est différente. Cependant, le cadre, les méthodologies et les outils à utiliser sont relativement uniformes partout.

Classifier l’information

Avant de définir ce cadre, il est important de noter que le capital informationnel a tendance à se diviser en quatre (ou plus) grandes classes et que les organisations doivent définir les caractéristiques de chacune de ces classes ainsi que les actions devant être menées sur le capital informationnel qui leur appartient :

  • Les archives métier : doivent être soumis à des processus de contrôles formels de RM
  • Le contenu d’entreprise : a une valeur commerciale mais ne correspond pas (encore) à la définition des archives métier (il peut y avoir plusieurs sous-classes en fonction des degrés variables de pertinence commerciale)
  • Les données redondantes, obsolètes et inutiles (en anglais « ROT », Redundant, Obsolete, Trivial) : contenu sans valeur juridique / commerciale pour l’organisation et pouvant donc être supprimé
  • ESI (informations stockées électroniquement par définition FRCP) : contenu qui répond aux litiges actifs et doit être mis en attente et finalement produit

Information Asset Categories

Le processus de nettoyage des systèmes de partage de fichiers

L’intérêt d’utiliser des outils technologiques (File Analytics, eDiscovery, etc.) pour «alimenter» le processus de nettoyage est d’aider à automatiser la découverte, l’inventaire, l’identification de la classe du capital informationnel et le traitement concret des actions définies par l’organisation pour chacune de ces classes.

File Share Remediation Process

Étape 1: Définir les politiques et les règles de nettoyage

  • Définir les classes de capital informationnel et les caractéristiques de chacunes d’entre elles
  • Définir les politiques  et les règles de nettoyage relatives au contenu appartenant à chaque classe (les actions)
  • Définir ce qui constitue une copie “d’or” contre une simple copie en double
  • Définir les exigences de la piste d’audit pour établir un processus défendable sur le plan juridique

Étape 2 : Définir le processus d’exécution du nettoyage

  • Identifier et inventorier les environnements de partage de fichiers au sein de l’organisation
  • Évaluer le volume de contenu dans chaque système
  • Identifier la nature métier du contenu dans chaque système de partage de fichiers
  • Déterminer l’état final de chaque système de partage de fichiers (décommissionner ou continuer l’utilisation)
  • Définir un processus basé sur un lot (définir les lots et les groupes de lots)
  • Hiérarchiser le traitement des lots en fonction du budget, du risque et de la valeur

Étape 3 : Exécuter le processus de nettoyage

  • Traitez les lots provenant des systèmes de partage de fichiers en fonction des priorités établies à l’étape 2
  • Les documents engageants doivent être identifiées selon les politiques, classées et soumises aux systèmes de Records Management
  • Le contenu ROT (moins les golden copies) peut être supprimé ou mis en quarantaine, selon les politiques
  • Les autres documents métiers peuvent rester en place ou être migrés vers des systèmes EFSS basés dans cloud ou SharePoint
  • Une fois qu’un lecteur fichiers partagés a été traité, il est soit décommissionné ou bien pourra continuer à être utilisé (selon la règle)
  • Gérer, surveiller et faire un rapport sur le traitement du lot

Étape 4 : Maintenir

  • Les systèmes de partage de fichiers qui ont été traités et qui sont restés en usage doivent être traités de nouveau sur une base régulière
  • La fréquence du retraitement doit être déterminée par l’organisation, par exemple hebdomadaire, mensuelle ou trimestrielle.

Dans le prochain article, nous parlerons de la façon dont le nettoyage des systèmes de partage de fichiers fait partie intégrante des efforts de l’organisation pour atteindre la conformité RGPD (prévue pour mai 2018). Le même outil d’analyse de fichiers (File Analytics) utilisé pour identifier la classe du capital informationnel peut être configuré (définitions de la reconnaissance de formes) pour (i) identifier les données personnelles situées dans le contenu, (ii) déclencher des demandes de consentement, (iii) générer des notifications et (iv) effectuer d’autres types d’actions prescrites par ce règlement de l’UE.