Articles

La gouvernance de l’information n’est plus un luxe, mais une nécessité

Reading Time: 4 minutes

On entend souvent dire que les informations valent plus que le pétrole. Bien que cette comparaison puisse sembler un peu exagérée, il est évident que les informations sont une denrée qui peut avoir un impact considérable sur les organisations – pour le meilleur et pour le pire. Du scandale de Facebook et Cambridge Analytica aux violations de données d’Equifax et de Capital One, les dirigeants de sociétés et les consommateurs ont pris conscience du pouvoir qu’exercent les informations sur les entreprises et leur image. C’est la raison pour laquelle les organisations doivent se pencher sur la gouvernance de l’information et la manière dont elle peut les affecter.

La gouvernance de l’information ne se limite pas à la gestion des données : il s’agit d’une stratégie de protection, d’exploitation et de maintenance des actifs informationnels. La gouvernance de l’information est une discipline dans laquelle les employés, les consommateurs et les organisations visent les mêmes objectifs : protection de la vie privée, transparence et intégrité. Les dirigeants visionnaires d’aujourd’hui comprennent à quel point il est important d’atteindre ces objectifs pour accomplir leur mission globale et réaliser le chiffre d’affaires escompté.

Mais comment procéder concrètement ? Pour inclure la protection de la vie privée, la transparence et l’intégrité dans la mission d’une entreprise, il faut s’intéresser aux technologies et aux processus susceptibles de les compromettre.

Les dark data, une menace pour la vie privée

Les « dark data » font partie des menaces les plus préoccupantes pour la vie privée et la confiance des consommateurs. Ce sont des contenus si éparpillés, volumineux et divers qu’ils sont mal connus. Les dark data sont les sous-produits de la croissance exponentielle des données de ces dernières années et de la diversité des sources d’informations (applications d’entreprise traditionnelles, e-mails, réseaux sociaux, outils collaboratifs, appareils mobiles, etc.). Selon les estimations actuelles, plus de la moitié des informations présentes dans une organisation traditionnelle sont des dark data.

De nombreuses organisations disposent déjà d’équipes de cybersécurité et d’une infrastructure informatique pour détecter les activités externes suspectes. Mais même dans les organisations les plus vigilantes, les politiques et les procédures de gouvernance de l’information peuvent être insuffisantes pour compenser les mauvaises pratiques de leurs employés en matière de gestion de l’information. Ainsi, les organisations qui souhaitent saisir les opportunités et limiter les risques des dark data ont besoin de processus et d’outils puissants de gouvernance de l’information pour comprendre et gérer correctement ces données, qui sont souvent cachées sous nos yeux.

Transparence : les non-conformités révélées au grand jour

De plus en plus préoccupés par la protection de leur vie privée, les consommateurs commencent à exiger que les organisations leur montrent toutes les informations dont elles disposent sur eux, en vertu de réglementations telles que le RGPD, le CCPA et le NYDFS. De nombreux consommateurs souhaitent connaître, modifier voire effacer les informations les concernant, afin de se sentir tranquilles et de s’assurer que ces données ne sont pas perdues dans le cyberespace, exposées aux criminels.

Par le passé, les consommateurs pensaient que les politiques et les procédures des entreprises avec lesquelles ils réalisent des transactions garantiraient automatiquement la bonne gestion de leurs informations. Les consommateurs et les organisations ont eu beaucoup à apprendre pour connaître les implications de la protection des données et identifier des politiques et des outils robustes permettant de la mettre en œuvre. Maintenant que cette phase d’apprentissage est terminée, les organisations doivent prendre des mesures pour répondre aux exigences réglementaires ou assumer les conséquences. Des entreprises essuient des pertes considérables en termes d’amendes (Marriott et British Airways ont récemment été condamnées à des amendes s’élevant à près de 350 millions de dollars), de réputation ternie et de manque à gagner.

Des outils pour assurer l’intégrité

De nombreuses organisations ont commencé à prendre des mesures pour se mettre en conformité, mais leur plan d’action présente des lacunes non identifiées. Elles réécrivent leurs politiques de confidentialité sans se soucier de leur application concrète, modifient les procédures internes sans consulter ou former leurs employés, enregistrent toutes les informations possibles “par mesure de précaution”, définissent des politiques de conservation sans moyen de les mettre en œuvre – vous voyez le tableau.

Il existe des outils faciles à utiliser et à mettre en œuvre pour aider les organisations à combler ces lacunes en matière de gestion de l’information. Un plan de gestion de l’information, aussi bien intentionné qu’il soit, ne peut pas réussir sans les meilleurs outils – solutions logicielles, consultants, professionnels et experts de la gouvernance de l’information – disponibles. Lorsque l’entreprise sera amenée à démontrer les efforts déployés en matière de gouvernance de l’information (en cas d’audit, de litige ou de demande d’accès d’une personne concernée, par exemple), une approche dénuée de conviction ne sera pas d’une grande aide.

À l’horizon

La protection de la vie privée, la transparence et l’intégrité grâce à une gouvernance de l’information améliorée ne sont pas une utopie. Ce sont des objectifs accessibles qui peuvent être atteints en associant des technologies, des processus et un changement de culture. Des produits comme everteam.discover, everteam.policy et everteam.archive peuvent jouer un rôle essentiel de catalyseurs technologiques et aider les organisations à se lancer dans ce parcours important. Les produits d’Everteam permettent aux organisations d’analyser les fichiers, de se connecter aux applications hébergeant des données structurées et non structurées, de découvrir et d’assainir les dark data, de mettre en place des politiques de conservation cohérentes et harmonisées, de désactiver les applications obsolètes et de migrer les informations, pour un niveau accru de conformité et de protection de la vie privée. Engagé dans la gouvernance de l’information depuis 30 ans, Everteam a aidé certaines des plus grandes entreprises au monde à adopter une approche robuste et durable pour protéger la vie privée, assurer la conformité, gagner la confiance des clients, les fidéliser et soutenir une croissance continue.

Les clients sont de plus en plus exigeants vis-à-vis des organisations avec lesquelles ils interagissent. Ils veulent faire à nouveau confiance aux banques qui détiennent leurs actifs financiers, aux entreprises de la santé qui les aident à préserver leur bien-être physique et aux géants des réseaux sociaux qui leur permettent de rester en contact avec leurs proches partout dans le monde. La vie privée, la transparence et l’intégrité ont été les victimes de l’ère de l’information, mais elles peuvent être préservées grâce à une approche concertée de gouvernance de l’information – avec des récompenses inestimables pour ceux qui acceptent de relever ce défi. Everteam peut aider votre organisation à réaliser cette vision – contactez-nous pour discuter de l’“art du possible” dès à présent.

Au fur et à mesure que la loi RGPD s’accélère, le mandat de conformité devient réel

Reading Time: 2 minutes

Depuis sa mise en œuvre en mai 2018, le RGPD a fait l’objet de nombreuses discussions mais peu d’actions concrètes de la part de nombreuses entreprises des deux côtés de l’Atlantique.  Le RGPD décrit les exigences strictes en matière de protection des données et de la vie privée pour les citoyens de l’UE et de l’EEE. De nombreuses organisations se sont efforcées de comprendre son sens ; beaucoup moins ont mis en œuvre des programmes de conformité pour répondre à ces exigences.  La menace que représentent les amendes imposées par le RGPD ont paru vagues jusqu’alors pour de nombreuses entreprises – appliquées uniquement aux géants de l’IT comme Facebook, Google et Microsoft.  

Cette semaine, le coût de la non-conformité au RGPD est devenu plus concret avec les amendes massives que le Bureau du Commissaire à l’Information (ICO) du Royaume-Uni a infligé à Marriott International et British Airways, basés respectivement aux Etats-Unis, et au Royaume-Uni.  Les amendes de 110 M€ de Marriott découlent de multiples atteintes à la protection des données en 2014 et 2016 qui ont compromis la vie privée de plus de 500 millions de clients. British Airways (BA) a été condamnée à une amende encore plus élevée de 204 M€ à la suite d’une atteinte à la protection des données en 2018 qui a mis à jour des informations relatives aux cartes de crédit de centaines de milliers de clients.

Deux points sont à noter pour les entreprises qui cherchent à éviter un sort similaire : 1.) Les deux sociétés ont toujours été considérées comme de bons garants de la confiance des clients et sont des marques très respectées et 2.) le montant de ces amendes, tout en restant énorme, reste inférieur aux plafonds autorisés (1,5% des revenus de BA et 2,4% des revenus du Marriott contre 4% permis par les directives du RGPD).  En d’autres termes, si des amendes massives comme celles-ci peuvent être infligées à des entreprises bien gérées comme BA et Marriott, elles peuvent l’être à quiconque n’a pas tenu compte des nouvelles réalités de la protection des données.

Les enseignements pour les entreprises qui cherchent à éviter les amendes et à conserver la confiance de leurs clients sont claires. Sachez où résident les données de vos clients, assurez-vous qu’elles soient protégées de façon appropriée et travaillez activement à les gérer afin de minimiser les risques. Comme les applications d’entreprise et les sources de données sont souvent éloignées et diversifiées, il est essentiel de disposer d’outils souples pour découvrir les informations existantes et mieux le gouverner au moyen de politiques cohérentes afin d’évaluer et de corriger toute vulnérabilité.

Everteam travaille avec des organisations, partout dans le monde, et leur permet de rendre visible les données structurées et non structurées, où qu’elles soient. Nos solutions identifient les informations sensibles et fournissent des outils pour mieux les gérer pour améliorer la conformité, pour réduire les coûts de risque et les coûts informatiques et pour améliorer l’efficacité opérationnelle. Pour ceux qui cherchent à éviter les amendes, à améliorer le service et à accroître la confiance des clients, Everteam est là pour les aider.  Nous aidons certaines des plus grandes entreprises mondiales à surmonter les obstacles réglementaires posés par le RGPD, le CCPA (en Californie), le NYDFS (à New York), et nombre d’autres mesures de protection de la confidentialité des données mises en place par les organismes de réglementation du monde entier.

Le CCPA s’applique-t-il à votre entreprise ?

Reading Time: 4 minutes

« Le California Consumer Privacy Act (CCPA) est un projet de loi qui renforce la garantie du droit au respect de la vie privée et la protection des consommateurs pour les résidents de la Californie aux États-Unis. Le projet de loi a été adopté par la législature de l’État de Californie et promulgué par Jerry Brown, gouverneur de Californie, le 28 juin 2018, en tant qu’amendement à la Partie 4 de la Division 3 du Code civil de Californie… Les amendements au CCPA, sous la forme du projet de loi 1121 du Sénat, ont été adoptés le 23 septembre 2018. Le CCPA entrera en vigueur le 1er janvier 2020. » (source)

Le CCPA s’applique à votre entreprise s’il s’agit d’une société à but lucratif qui traite les données personnelles de résidents de la Californie et remplit l’un des critères suivants :

●       Afficher un chiffre d’affaires annuel supérieur à 24 millions de dollars ;

●       Détenir les données personnelles de plus de 50 000 personnes, foyers ou appareils ;

●       Réaliser au moins la moitié du chiffre d’affaires en commercialisant des données personnelles.

Les droits accordés aux consommateurs par le CCPA sont similaires mais non identiques à ceux du RGPD. Ainsi, même si vous êtes en conformité avec le RGPD, vous ne l’êtes pas automatiquement avec le CCPA. Il est essentiel de comprendre les différences entre les deux et en quoi cela affecte votre activité.

L’un des principaux droits des consommateurs prévus par la loi de protection des données CCPA est le droit de connaître les informations dont vous disposez, leurs sources et la finalité pour laquelle elles sont utilisées. C’est sur ce sujet que Ken Lownie, vice-président Amérique du Nord, a mis l’accent dans ce webinaire.

La voie de la conformité

Le premier point que Ken a soulevé est qu’il ne s’agit pas de se concentrer uniquement sur le CCPA. Le CCPA et le RGPD ne sont que le début d’une longue série de réglementations de protection des données. Il est important de ne pas s’intéresser exclusivement au CCPA, mais à la protection de la vie privée en général. En intégrant la mise en conformité de la protection des données à votre stratégie globale, vous n’aurez aucun mal à respecter toutes les futures lois en la matière.

Mais comment intégrer la conformité à votre stratégie globale ? Vous devez mettre en place les capacités fondamentales nécessaires pour assurer votre conformité. Vous serez ainsi prêt à 90 % pour toutes les réglementations de protection des données à venir. De quelles capacités s’agit-il ?

●       Localiser les informations personnelles dans votre entreprise ;

●       Savoir à qui ces informations appartiennent ;

●       Identifier et supprimer ces informations.

Jeter les bases de la protection de la vie privée

La protection de la vie privée repose sur l’identification et le suivi des informations en votre possession. Un suivi régulier des nouvelles informations vous offre une visibilité complète sur les données que vous collectez et leurs sources.

Building Foundation for CCPA Compliance
Jeter les bases de la protection de la vie privée

Ken a présenté une approche technologique en deux étapes qui peut vous aider à jeter ces bases.

Identifier les informations personnelles

Selon Bernard Marr, contributeur de Forbes, 90 % des données du monde ont été créées au cours des deux dernières années.

La gestion traditionnelle des données suit la même approche que la gestion des documents papier : tout collecter. Mais il n’est plus possible de procéder ainsi. Les informations à organiser et à gérer sont trop nombreuses et éparpillées dans les différents référentiels de l’entreprise, tels que SharePoint, DropBox, Google Drive, OneDrive, les dossiers partagés, etc.

La bonne nouvelle est que les technologies comme l’apprentissage automatique, le traitement du langage naturel et l’intelligence artificielle peuvent être d’une grande aide. Les solutions d’analyse de fichiers utilisent ces technologies et d’autres encore pour se connecter à vos systèmes sources et créer un index (un catalogue) de toutes les informations. Cet index contient non seulement les propriétés et les métadonnées des fichiers, mais aussi le texte intégral de chaque document. Grâce à une fonctionnalité de recherche, vous pouvez parcourir les référentiels pour mieux connaître les données dont vous disposez ou trouver les informations dont vous avez besoin.

Gérer les politiques d’information

Une fois ce catalogue créé, vous pouvez gérer vos données à l’aide de politiques d’information. Parmi ces dernières figurent notamment les règles de conservation, d’élimination et de sécurité. Selon un sondage réalisé durant le webinaire, 33 % des participants ne gèrent pas de règles de conservation ni de politiques d’information, 33 % utilisent une feuille de calcul et 33 % possèdent un outil dédié.

Les feuilles de calcul peuvent être utiles pour commencer, mais ne constituent pas la meilleure stratégie à long terme. En effet, elles ne permettent pas de garantir une version unique de la situation (car il existe souvent plusieurs versions de la même feuille de calcul), ni de conserver les modifications précédemment apportées aux politiques. Les feuilles de calcul ne favorisent pas non plus la collaboration, alors que la plupart des tâches en matière de gestion des politiques sont réalisées par un groupe de personnes et non par un seul individu.

Vous avez besoin d’un outil spécifique pour vous aider à gérer non seulement des règles de conservation, mais aussi des cycles de vie de données, des références juridiques, des règles de sécurité, le service et la personne responsables, l’emplacement des informations, etc.

Building data catalog
Un catalogue de données pour la gestion des politiques d’information.

Pour montrer le fonctionnement de l’analyse de fichiers et des catalogues de données, Ken Crum, architecte de solutions chez Everteam, a réalisé une démonstration de deux produits d’Everteam : everteam.discover pour l’analyse de fichiers et de contenu, et everteam.policy pour la gestion des politiques d’information et de conservation des données. Vous pouvez visionner le webinaire dans son intégralité ci-dessous, ou demander une démonstration personnalisée de nos produits pour découvrir s’ils peuvent vous aider à répondre à vos exigences de conformité.

Résumé du webinaire : Du calendrier de conservation des informations au catalogue informationnel

Reading Time: 4 minutesAvec notre webinaire intitulé « Au-delà des règles de conservation : gérer les cycles de vie et politiques d’information », nous avons voulu vous montrer que la gestion des règles de conservation ne constitue que la première étape de la gouvernance de l’information. Grâce à des politiques couvrant l’intégralité du cycle de vie de l’information, toutes vos données – qu’il s’agisse de « documents » ou non – sont gérées de manière sécurisée et efficace, de leur création à leur élimination. Voici un résumé de la présentation de Ken Lownie, vice-président d’Everteam Amérique du Nord.

Aller au-delà des règles de conservation

Everteam a récemment mené une enquête sur les approches adoptées par les organisations en matière de gestion des politiques d’information. Les organisations devaient notamment indiquer si elles disposent de règles de conservation complètes. Seuls 25 % des organisations interrogées ont répondu par l’affirmative. Les autres ont mis en place des règles partielles ou n’en disposent pas du tout.

Les règles de conservation sont souvent considérées comme la première étape de la création d’un catalogue informationnel. Les organisations ont donc encore un long chemin à parcourir. Cependant, même si vous n’en êtes qu’aux règles de conservation, cela ne vous empêche pas d’avoir une vue d’ensemble du parcours.

3 générations de gestion des documents

Faisons un saut dans le passé avec Ken et voyons comment la gestion des documents a évolué au fil du temps.

  • Première génération – les boîtes d’archives : Tout le monde se souvient des documents papier. Les dossiers sont étiquetés en fonction de leur type, collectés, acheminés, déplacés et gérés manuellement. Point à retenir : la première génération est caractérisée par la centralisation des dossiers papier.
  • Deuxième génération – l’ingestion des données : Les dossiers papier sont numérisés, identifiés, étiquetés en fonction de leur type, collectés par voie électronique et envoyés, déplacés et gérés à l’aide de workflows. Point à retenir : la deuxième génération est également caractérisée par la centralisation des fichiers, électroniques cette fois-ci.
  • Troisième génération: C’est là que nous en sommes aujourd’hui, passant de la capture et de l’archivage à la fédération et à la gestion des informations sur place. Les données sont classées et laissées là où elles se trouvent. Lors de l’ajout de nouvelles données, celles-ci sont automatiquement classées. La troisième génération ne se limite pas à l’établissement de règles de conservation, mais consiste à gérer l’ensemble de vos informations, où qu’elles soient.

Fonctionnement d’une solution fédérée

C’est difficile à expliquer sans le schéma interactif de Ken (n’oubliez pas de regarder la vidéo ci-dessous), mais essayons quand même.

Connexion aux sources d’informations et assainissement des données

Vous disposez de nombreux systèmes contenant des quantités importantes d’informations, souvent en plusieurs versions. Une solution fédérée se connecte à tous ces référentiels distincts et crée un index centralisé de toutes les informations. Le texte intégral, les métadonnées, l’emplacement, les propriétés du fichier, etc. sont recueillis et gérés à l’aide de cet index. Vous pouvez ainsi effectuer des recherches avec le nombre de paramètres de requête que vous souhaitez, analyser les informations et identifier les données redondantes ou obsolètes.

Classement et gouvernance de l’information

Vous pouvez ensuite classer vos données et associer des règles de conservation à chaque classe d’informations. Mais où stocker les règles de conservation et autres politiques d’information ? C’est là que le catalogue informationnel entre en jeu.

Le catalogue informationnel vous permet de définir une taxonomie / des classes d’informations, des règles de conservation, des cycles de vie de données et des politiques d’information. Vous pouvez également configurer des entités liées. Vous pouvez vous limiter à l’établissement de règles de conservation, mais vous perdez ainsi l’occasion de mieux gérer l’ensemble de vos informations.

Vous avez besoin pour cela d’un système de workflows automatisant la plupart des tâches à effectuer. Celui-ci peut transférer les données vers des archives à long terme (cela constitue la troisième partie facultative de la solution). Le workflow exécutera automatiquement le processus d’élimination, en lançant l’examen et l’approbation de l’élimination. Les utilisateurs et les administrateurs seront informés des événements ou des modifications apportées aux politiques, et plus encore.

Gérer des règles de conservation… mais pas seulement

Il est possible d’utiliser une feuille de calcul pour gérer les règles de conservation, et cela convient parfaitement à certains. Dans l’étude sur la gestion des politiques mentionnée précédemment, 20 % des organisations interrogées utilisent une feuille de calcul. Cependant, elles sont encore plus nombreuses à combiner plusieurs méthodes pour stocker les politiques, ce qui rend leur gestion très difficile.

Pour les organisations qui ne se limitent pas aux règles de conservation, les feuilles de calcul sont encore plus fastidieuses à gérer :

–        Il est difficile de coordonner le processus de recueil et de révision entre différents contributeurs ;

–        Les feuilles de calcul ne permettent pas de gérer plusieurs juridictions ;

–        Les informations sont peu accessibles aux utilisateurs et aux systèmes.

Retention Rules

Catalogue informationnel

Avec un catalogue informationnel, vous pouvez gérer non seulement les règles de conservation, mais aussi toutes vos politiques de gouvernance de l’information – y compris la raison pour laquelle une règle a été mise en place, la réglementation associée, le nom de la personne responsable du type de données en question, la durée de validité, etc.

Le catalogue informationnel permet également de gérer des politiques dynamiques, avec le contexte et les références juridiques. Il est par exemple possible de définir une certaine action pendant les deux premières années du cycle de vie d’une information, puis de déplacer cette dernière vers un autre emplacement. Les processus du workflow peuvent être déclenchés à des dates prédéfinies ou par des événements ayant lieu en dehors du système.

Voici la liste complète des fonctionnalités d’un catalogue informationnel :

–        Taxonomie

–        Règles de conservation

–        Emplacements

–        Définition du cycle de vie complet

–        Événements déclencheurs

–        Références juridiques (réglementations)

–        Services concernés / personnes responsables

–        Classement selon la sécurité/confidentialité

–        Autres références croisées et regroupements

Et voici la liste complète des caractéristiques requises pour un catalogue informationnel de « troisième génération » :

12 Requirements Information Catalog

Il est essentiel pour une organisation de gérer ses informations de manière efficace. Or, les processus manuels et les feuilles de calcul ne sont pas suffisants, étant donné la quantité de données à stocker et le nombre de lois et règlements à respecter.

Vous pouvez stocker toutes vos politiques d’information dans un catalogue informationnel, mais vous devez le relier à vos systèmes et outils pour permettre l’application des politiques.

Pour plus d’informations, regardez la vidéo du webinaire :

Tech Tuesday : Premiers pas avec la classification

Reading Time: 7 minutesL’un des éléments les plus importants d’un programme de gouvernance des informations est la bonne classification de vos données. Il est essentiel de disposer d’un plan de classification central et formel, en particulier lorsque la majeure partie des informations (structurées et non structurées) est utilisée par différents services et équipes dans toute l’organisation. Si les données sont l’essence de votre organisation, un bon plan de classification vous garantit que chacun pourra trouver et utiliser les données dont il a besoin pour travailler au quotidien. Cela signifie aussi que vous devez disposer d’une stratégie éprouvée afin de gérer correctement ces données.

Les avantages de la classification

Imaginez devoir trouver un document parmi des milliers de documents répartis sur plusieurs partages de fichiers ou applications de partage de fichiers. Vous connaissez peut-être le nom du document, ou seulement ce qu’il contient. Il existe peut-être plusieurs versions du document ou plusieurs copies stockées par d’autres services. Vous trouvez ça frustrant ? C’est normal.

Non seulement vous devez passer d’un référentiel à l’autre pour tenter de trouver votre document, mais lorsque vous le cherchez dans des référentiels qui disposent d’une fonction de recherche, vous obtenez une multitude de résultats dont le tri vous prendra une éternité.

Pour vous aider, vous avez deux possibilités, et l’une d’entre elles consiste à disposer d’un plan de classification à l’échelle de l’entreprise. (Dans cet article, je m’intéresserai avant tout à la classification de vos documents et autres contenus non structurés.)

Avant d’aller plus loin, n’imaginez pas que j’attends de vous que vous laissiez toutes vos activités en plan pour vous lancer dans un projet d’un an pour documenter l’ensemble de la taxonomie de votre entreprise. Ça ne serait pas raisonnable, et cela pourrait aussi mettre un frein à vos efforts en matière de gouvernance de l’information.

Au lieu de cela, nous aimerions que vous suiviez en termes de planification de votre classification et de votre taxonomie les mêmes recommandations que pour la gouvernance de l’information : à savoir que vous les pensiez par phases ou par projets. Développez votre plan de classification comme vous développez votre programme de gouvernance : une étape après l’autre. En créant votre taxonomie de cette façon, vous pouvez ajouter de nouveaux types de contenu, ou développer les types de contenu déjà présents dans la taxonomie, et ainsi développer lentement et soigneusement un plan de classification qui conviendra à tous.

Revenons à notre sujet.

Une classification efficace de vos contenus offre de nombreux avantages, dont l’un des plus importants est une meilleure visibilité sur vos informations :

–       Identifiez les informations sensibles, telles que les données à caractère personnel et de paiement, et autres informations personnelles ;

–       Séparez les bonnes informations des contenus redondants, obsolètes ou inutiles ;

–       Répondez plus rapidement aux demandes d’informations ;

–       Attribuez des niveaux de stockage économiques ;

–       Appliquez des contrôles de sécurité adaptés pour empêcher la divulgation accidentelle ou le cyber-piratage des données.

Les avantages de la classification sont nombreux. En voici deux exemples :

  1. Le premier est le fait de répondre aux demandes de personnes fichées de la part de réglementations de confidentialité telles que le CCPA et le RGPD. Ces deux réglementations exigent que vous fournissiez à un individu toutes les informations que vous stockez sur lui, dans un certain délai (30 jours pour le RGPD, 45 pour le CCPA). Si vous stockez les informations des clients sur de nombreux référentiels différents, et que chaque référentiel utilise son propre plan de classification, il sera très difficile de trouver toutes les informations en peu de temps (à moins bien sûr d’affecter à cette tâche de nombreux employés, ce qui représente alors d’énormes dépenses en ressources pour chaque demande de personne fichée).
  2. Le second est le risque de cyber-piratage, et tout le monde s’accorde à dire que la question n’est pas « si » cela se produira, mais « quand ». Selon un sondage Harris réalisé pour Symantec en janvier 2018, 60 millions d’Américains ont été touchés par l’usurpation d’identité. La majeure partie des données nécessaires pour usurper une identité sont volées à des entreprises qui stockent ou protègent mal les informations client. Le même article explique que « On estime que les cybercriminels voleront 33 milliards d’archives en 2023, selon une étude réalisée en 2018 par Juniper Research. Et comparé aux 12 milliards d’archives dont le vol est attendu en 2018. » Si vous ne classez pas vos informations et que vous ne les protégez pas à l’aide de politiques de sécurité adaptées, vous pourriez bien être l’une des entreprises touchées par ces vols d’informations.

Premiers pas avec la classification

Certains pensent que la première étape de la classification est l’acquisition d’un outil. Mais c’est faux. La première étape consiste à rassembler les principales parties prenantes qui créent, stockent et travaillent avec les informations de votre organisation, afin d’avoir une vue d’ensemble exhaustive de la façon dont ces informations sont utilisées, non seulement dans un service ou une division, mais aussi dans d’autres services ou divisions. Gardez à l’esprit que vous pouvez le faire de manière itérative pendant que vous travaillez sur des projets de gouvernance.

En prenant le temps de parler avec toutes les personnes concernées, vous pourrez créer un plan de classification adapté aux besoins de chacun. Et c’est essentiel, car il n’est pas souhaitable que les différents services classent les contenus de façons différentes. Cela rendrait impossible le respect de réglementations telles que le CCPA. Cela ne plaira peut-être pas à tout le monde, mais ce n’est pas exactement le but d’une stratégie de classification centrale.

Une fois que vous aurez recueilli les opinions des principales parties prenantes vous pourrez commencer à définir des catégories de contenus (ou types de contenus) et les métadonnées correspondantes. Diffusez le plan de classification dans toute l’entreprise, et assurez-vous qu’il est respecté par tous.

Je ne dis pas que vous n’avez pas besoin d’outils pour commencer, mais il peut être avantageux d’investir dans des outils adaptés. Tout d’abord, lorsque vous définirez votre taxonomie, vous aurez besoin d’un emplacement où stocker cette taxonomie, qui indique où et comment elle est appliquée. Une solution telle qu’everteam.policy peut vous y aider.

Notre produit, everteam.discover, connecte la totalité de vos référentiels non structurés, indexe vos contenus et applique automatiquement votre plan de classification. Il s’intègre de façon transparente à everteam.policy pour extraire le plan de classification à appliquer.

everteam.discover vous permet de classer le contenu selon trois méthodes : manuellement, en utilisant des règles (correspondances de requêtes) ou au moyen de l’apprentissage automatique (en analysant le contenu d’un élément de contenu). Une classification automatique utilisant des règles ou l’apprentissage automatique est nécessaire lorsque la quantité de contenu à classer est très importante. Cela vous permettra de respecter les exigences réglementaires plus rapidement (et avec plus de précision) qu’avec une classification manuelle. Mais dans certains cas, une classification manuelle est nécessaire.

L’apprentissage automatique permet d’analyser des données non structurées de façon sémantique, afin de suggérer des classifications basées sur le texte trouvé. Vous pouvez ensuite ajouter ces classifications recommandées à everteam.policy.

Classification de contenu avec everteam.discover

Vous savez comment vous souhaitez classer vos informations, mais elles sont trop nombreuses pour les classer manuellement (un document après l’autre). C’est là qu’everteam.discover entre en jeu. everteam.discover connecte tous vos référentiels et en indexe le contenu. Vous pouvez ensuite consulter ce contenu depuis différents aspects ou vues, ou rechercher du contenu avec une gamme de paramètres. Pour classer manuellement un groupe de documents, vous les sélectionnez et appliquez une catégorie de classification ou un type de contenu à l’aide de la taxonomie que vous avez au préalable ajoutée à l’outil.

Une fois que vous avez identifié les règles de classification des documents, vous pouvez facilement définir des étapes et commencer leur automatisation. Ajoutez ces règles à un classifieur basé sur des règles everteam. Le classifieur s’exécute automatiquement chaque fois qu’un nouveau document est ajouté, et applique une catégorie à tous les documents qui correspondent aux règles. Tout nouveau document ajouté est automatiquement classé, éliminant le processus manuel.

L’apprentissage automatique est la troisième méthode de classification du contenu dans everteam.discover. Il vous permet d’analyser votre contenu, et vous suggère des classifications. Pour que l’apprentissage automatique fonctionne, vous devez fournir à everteam.discover des ensembles de documents d’apprentissage pour chaque classification, qui lui permettront d’apprendre. Plus il indexe et classe de contenus, mieux il parvient à attribuer la bonne classification à chaque document.

Voici un aperçu de la fonctionnalité de classifieur d’everteam.discover :

Il n’est pas toujours possible de laisser la machine appliquer vos classifications ; vous devez permettre à certains employés d’appliquer la classification manuellement. C’est important, par exemple, lors de l’identification et du traitement des contenus redondants, obsolètes ou inutiles. Vous pourrez peut-être commencer avec la classification automatique, mais vous devez prévoir une intervention humaine afin de vous assurer que vous ne vous débarrassez que d’informations dont vous n’avez plus besoin.

J’ai fait ici uniquement d’une présentation rapide de la façon dont everteam.discover peut vous aider à appliquer votre taxonomie à votre contenu. L’utilisation des classifieurs et la formation d’un classifieur à apprentissage automatique sont des sujets complexes, qui seront traités dans les prochains articles de blog. Alors inscrivez-vous à notre newsletter pour savoir quand nous publions de nouveaux articles de blog.

La classification n’est pas une tâche unique

Que vous la réalisiez en une seule fois (ce qui n’est pas conseillé si vous voulez continuer à travailler) ou en plusieurs phases, par des initiatives, la classification n’est pas une tâche unique. Vous ne pouvez pas la définir une fois, et supposer qu’elle fonctionnera indéfiniment. La gestion des classifications (la taxonomie) est un processus continu : vous ajoutez de nouveaux types de contenus à vos informations, d’autres contenus changent, et les règles de gestion de vos informations changent (nouvelles réglementations, modification des réglementations existantes). La façon dont vous souhaitez utiliser vos informations pour soutenir la prise de décision affectera également la façon dont vous classez vos informations.

everteam.policy peut vous aider à gérer votre taxonomie en continu. Il vous permet non seulement de définir et de gérer votre taxonomie actuelle, mais aussi de définir des règles de gestion de la conservation et du cycle de vie, d’identifier les autorisations d’accès et de partager toutes ces informations avec les collaborateurs et systèmes au sein de l’entreprise qui doivent connaître et respecter ces règles de classification.

Pour terminer, je souhaite faire une dernière remarque au sujet de la classification de vos informations. Un type de contenu de classification (ou une catégorie, selon le terme que vous utilisez) doit offrir les informations suivantes :

–     La description du type de contenu et de toutes les métadonnées et tous les attributs associés ;

–     Les règles de traitement de ces informations ;

–     Comment/où les stocker ;

–     Comment les supprimer lorsqu’elles ne sont plus utiles ;

–     Les autorisations/la sécurité à appliquer aux informations pour s’assurer que seules les personnes autorisées peuvent y accéder.

Si vous souhaitez en apprendre davantage sur comment everteam.discover peut vous aider à classer vos informations (y compris les 80 % de dark data cachés dans vos référentiels), contactez-vous pour demander une démonstration, ou téléchargez notre fiche produit everteam.discover.