Articles

Assainissement des File Systems : que devons-nous faire des archives métier ?

Dans mon article précédentje traitais du contenu ROT (contenu Redondant, Obsolète et Trivial) et j’expliquais de quoi il s’agit et pourquoi il est important d’y remédier (suppression, déplacement hors ligne, mise en quarantaine, etc.). Outre le contenu ROT, l’autre catégorie de contenu majeure à traiter concerne les archives métier. Il s’agit de contenu définis et spécifiés dans ISO 15489, ARMA, DoD 5015.2, NARA, etc. C’est ainsi que la norme ISO 15489 définit les archives métier, ou archives pour faire court, comme des « informations créées, reçues et conservées en tant que preuves et informations par une entreprise ou par une personne dans le cadre des obligations légales ou d’une transaction commerciale ».

business records / archives métier

Les archives métier doivent tout d’abord être identifiées en tant que telles, par exemple, un actif informationnel peut devenir une archive suite à sa publication comme version majeure, cet actif peut devenir une archive lorsque le processus métier impliqué atteint un certain statut, par exemple la signature d’un contrat ou la réalisation d’une mission, …

L’archive métier doit alors être classifiée :

  • Elle doit être associée à une série d’archives (ou classe d’archives) telle que définie dans le référentiel de conservation des archives de l’entreprise
  • Cette association identifie la nature métier de l’archive (exemple : un contrat)
  • Cette association permet aussi de déterminer le cycle de vie et le sort final à appliquer à l’archive
  • Les technologies d’auto classification peuvent faciliter l’automatisation de cette association. Cependant, la précision et, par conséquent, le taux de réussite de l’auto classification dépendra beaucoup du niveau de granularité du référentiel de conservation
  • Les stratégies « Big Bucket » planifiées (moins de 100 entrées par exemple) donnent de meilleurs résultats car le moteur d’auto classification ne doit faire la différence qu’entre un faible nombre de « buckets » (strates) bien distincts.

L’archive métier doit ensuite être soumise à un système d’archivage :

  • L’archive est rendue immuable
  • Son cycle de vie est géré (événement, durée, gel, etc.)
  • À l’issue de son cycle de vie, un sort final sera appliqué à l’archive selon les besoins, cette opération peut par exemple entraîner sa destruction  ou son transfert vers un autre système ou une autre entité

Sans le recours aux outils de File Analysis, les premières tâches d’identification et de classification seront réalisées manuellement, c’est-à-dire en mettant les utilisateurs finaux à contribution. Cependant, l’expérience a prouvé au cours de ces deux dernières décennies que les utilisateurs finaux détestent, et c’est peu dire, ces tâches. Il faut dire que ces derniers ne bénéficient pas de suffisamment de temps et de formation pour les réaliser.

Ceci a d’ailleurs été une source de tensions et l’une des principales raisons pour lesquelles de nombreuses initiatives de Records Management échouent.

Renforcer les compétences des responsables chargés des archives, améliorer leur capacité à communiquer avec l’équipe IT et consolider la formation des utilisateurs finaux peut contribuer à améliorer la situation. Cependant, ces mesures ne permettent pas de résoudre les problèmes de fond :

  • Souvent, les utilisateurs finaux n’aiment pas classifier les archives
  • Le volume d’archives croît de plus en plus et exige au de la de plus d’expertise en records management d’être accompagné par des technologies à forte valeur ajoutée des ressources de RM supplémentaires. Cependant, les ressources de RM sont réduites en raison d’un manque d’appréciation de leur valeur ajoutée

Les responsables chargés des archives doivent commencer à réfléchir autrement. Ils DOIVENT se mettre en quête de solutions qui soustraient davantage les utilisateurs finaux des contraintes liées à l’identification et à la classification des archives. Ces solutions devront intégrer des composants de File Analysis qui contribueront à automatiser et à simplifier le travail des records managers et des utilisateurs finaux.

Si ce sujet vous intéresse, nous vous proposons un webinar le 14 décembre, qui abordera les enjeux liés à la gouvernance de l’information, au RGPD, et les solutions pour y répondre. Cliquez ici pour plus d’information et pour accéder au formulaire d’inscription 

Qu’est-ce-que le contenu ROT et que devons-nous en faire ?

Tout le monde a déjà entendu parler du contenu « ROT » (ROT contents), c’est-à-dire le contenu redondant, obsolète ou inutile (en anglais « ROT », Redundant, Obsolete, Trivial) soit du contenu sans réel intérêt stratégique. Vous avez peut-être déjà entendu dire que ce dernier devait être identifié et assaini. Mais qu’est-ce au juste que le contenu ROT et pourquoi faut-il s’en soucier ? Comment le débusquer et qu’en faire ensuite ? 

Le ROT est du contenu superflu associé à l’infrastructure (partages de fichiers, SharePoint, etc.). Il s’agit de contenu inutile et qui peut être supprimé, mais de manière justifiée légalement. Voir aussi la définition de l’AIIM (Association for Information and Image Management) ici (http://community.aiim.org/blogs/kevin-parker/2016/05/05/defining-information-rot).

Qu’est-ce qui est ROT et qu’est-ce qui ne l’est pas ?

La définition de ce qui est et n’est pas du contenu ROT peut varier selon l’entreprise, mais pour faire court, ce contenu peut être défini comme suit :

  • Tout contenu réactif à un litige ou un processus d’e-discovery « Legal eDiscovery » (ESI) n’est pas du contenu ROT (par définition)
  • Parmi ce qu’il reste, le ROT est le contenu inutile pour l’activité de l’entreprise et pour le respect de la conformité, le contenu qui n’a pas été consulté depuis longtemps ou encore qui est un doublon exact ou presque, etc.

Souvent, l’entreprise sous-estime le volume de ROT qu’elle stocke. Certaines entreprises figurant dans le classement Fortune des 500 premières entreprises mondiales rapportent que plus de 30% de leur contenu (en volume) est du contenu ROT.

Qui se soucie réellement du contenu ROT ?

On peut aussi se demander pourquoi se soucier du contenu ROT. Le stockage n’est-il pas bon marché ?

Mais trop de contenu ROT, c’est un peu comme avoir un indice de masse corporelle (IMC) important avec les risques et problèmes que cela entraîne pour la santé :

  • Ce contenu ROT augmente les coûts de stockage… le coût total du stockage peut représenter plusieurs milliers d’euros /To par an dont les coûts de gestion, de sauvegarde, d’infrastructure, de DR, etc.
  • Le contenu ROT stocké sur des systèmes devenus obsolètes peut entraîner des dépenses d’exploitation et de maintenance élevées (ressources, renouvellement de licences, maintenance, etc.), et peut aussi interférer avec les stratégies de mise hors service d’applications planifiées par l’équipe IT
  • Le contenu ROT peut entraîner des risques au niveau juridique ainsi que des coûts d’e-discovery (« Legal e-Discovery ») indésirables et potentiellement élevés
  • Le contenu ROT peut aussi comporter des risques pour la conformité à la réglementation, dont les informations protégées par le règlement général sur la protection des données (RGPD) de l’Union Européenne, règlement que nous évoquons déjà sur notre blog

L’équivalent pour le contenu ROT d’un régime associé à de l’exercice physique est le déploiement d’une stratégie de nettoyage ou d’assainissement du contenu ROT :

  • Définir une stratégie de remédiation du contenu ROT
  • Spécifier des politiques qui définissent les caractéristiques du ROT et les actions à mener pour y remédier après l’avoir découvert
  • Déployer des outils de « File Analysis » ou « File Analytics »  pour trouver le contenu ROT et appliquer ou aider à appliquer les actions spécifiées par les politiques 
  • Mettre le contenu ROT hors ligne
  • Le mettre en quarantaine pendant un certain temps
  • Le supprimer directement
  • Etc.

La nécessité d’un outil de File Analytics adapté pour gérer votre contenu ROT

Le composant technologique File Analysis doit être en mesure de fournir les fonctionnalités suivantes :

  • Connexion à des sources de contenu variées au sein de l’infrastructure [partages de fichiers, SharePoint, systèmes de gestion de contenus d’entreprise (ECM), etc.]
  • Indexation des métadonnées et du contenu
  • Application d’une analyse sur cet index : caractéristiques des métadonnées, entités nommées, classifications, champs sémantiques, etc.
  • Identification du futur contenu ROT d’après les paramètres de configuration des politiques
  • Exécution par les utilisateurs autorisés des actions recommandées par les politiques pour ce contenu
  • Génération d’un journal d’audit à valeur légale concernant ces activités

Le nettoyage du contenu ROT n’est pas une opération ponctuelle. L’analyse des fichiers (File Analysis) doit être configurée pour nettoyer l’infrastructure régulièrement et traiter le delta ROT récurrent.

N’oubliez pas …

Pour conclure, j’aimerais souligner deux points importants :

Lors de la découverte de nombreux doublons d’un même document, l’un d’entre eux peut être d’une importance toute particulière pour l’activité de l’entreprise et valoir son pesant d’or en raison de son emplacement, de la nature de son dépositaire ou encore de son statut d’archive gelée pour des raisons légales, etc. Cette copie précieuse (Copie d’or ou Golden copy en anglais) n’est donc bien entendu pas du contenu ROT, même s’il s’agit d’un doublon. L’outil File Analysis doit participer à l’identification et au traitement de ces copies de grande valeur.

Ce même outil doit également contribuer à l’identification du contenu IPI, PCI et PHI au sein des documents, un élément indispensable pour se conformer aux réglementations sur la confidentialité, par exemple le règlement RGPD qui fera l’objet d’un prochain article sur mon blog.

Nettoyage des systèmes de partage de fichiers | Définir le processus d’exécution de nettoyage (Phase 2)

Dans de précédents articles, j’ai décrit une procédure que les entreprises peuvent suivre pour leurs projets d’assainissement ou de nettoyage de leurs systèmes de partage de fichiers (ou EFSS). Dans le présent article, je vais approfondir la phase 2 de ce processus, à savoir la définition du processus d’exécution de ce nettoyage.

File Remediation Process

Une fois les politiques de nettoyage définies (règles définissant les différentes classes d’actifs informationnels et les actions associées à chacune d’entre elles), l’étape suivante consiste à définir en détails le processus de nettoyage au niveau de son exécution :

Activité

Description

Remarques

Interroger et inventorier  les partages de fichiers Identifier et générer un inventaire des partages de fichiers au sein de l’entreprise Les fondements de la carte
Estimer les volumes de données Évaluer le volume de contenu stocké dans les différents partages de fichiers Estimation approximative ?
Identifier la nature métier du contenu Identifier la nature métier du contenu dans chaque partage de fichiers
Définir l’état final de chaque partage de fichiers Déterminer l’état final souhaité de chaque partage de fichiers (ou groupe de partages) :

  • Passer en mode hors ligne
  • Mettre hors service
  • Continuer d’utiliser pour le contenu propriétaire
  • Limiter l’utilisation au seul nouveau contenu
Tenir compte de la stratégie globale de l’entreprise en matière de transformation numérique et d’informatique
Définir un processus de nettoyage en mode batch Définir un processus d’exécution du nettoyage en mode batch :

  • Définir des batches distincts
  • Définir des groupes de batches
  • Définir une procédure de traitement des exceptions
Dimensionner la solution File Analytics pour le travail de nettoyage requis Dimensionner la solution File Analytics selon le travail de nettoyage des partages de fichiers

Évaluer les besoins d’infrastructure pour la solution et dimensionner cette infrastructure :

  • Serveurs
  • Base de données
  • Journal d’audit
  • Tableau de bord
Hiérarchiser le traitement des batches Hiérarchiser le traitement des batches et groupes de batches :

  • Considérations budgétaires
  • Considérations en matière de risques (matrice des risques)
  • Considérations légales
  • Considérations de valeur
  • Considérations chronologiques et de délais
  • Considérations liées à des événements contraignants
Exemple : partages de fichiers abandonnés pour des projets terminés ou partages de fichiers d’employés ayant quitté l’entreprise.
Définir le traitement des exceptions Définir ce qui constitue une exception aux règles de traitement ainsi que le mode de traitement de ces exceptions :

  • Appliquer une politique/règle fiable
  • Déplacer vers une autre piste pour traitement manuel
Exemple : élément de métadonnées manquant mais indispensable pour classifier une archive
Définir la supervision et le reporting Définir l’infrastructure de supervision et de reporting :

  • Identifier le destinataire du rapport Tableau de bord ?
  • Quelles informations inclure dans le rapport ?
  • À qui envoyer des notifications et quels sont les seuils ?
Définir un modèle RACI Définir un modèle RACI pour les tâches de nettoyage à exécuter. RACI = Responsable, ComptAble, Consulté, Informé
Obtenir les approbations internes Obtenir les approbations internes nécessaires pour les politiques et le lancement des tâches de nettoyage :

  • BOD (selon les cas)
  • Juridique
  • Métier
  • IT
  • Risques

Comme indiqué dans l’article précédent, gérer des informations ESI (Electronically Stored Information du Legal eDiscovery) ne fait pas forcément partie du processus d’assainissement ou de nettoyage des systèmes de partage de fichiers. CEPENDANT, il s’agit d’une étape qui DOIT précéder toute tâche effective d’exécution du nettoyage.

Dans mon prochain article, j’explorerai la définition du contenu ROT et les problèmes associés.

Suivez tous nos articles autour du thème File Analytics, incluant notamment N’attendez plus, votre Capital Informationnel doit être maîtrisé ! , 4 étapes pour le nettoyage de vos systèmes de partage de fichiers ,

 

Nettoyage des systèmes de partage de fichiers | Définir les politiques et règles de nettoyage (Phase 1)

Dans mon article précédent, je proposais une méthodologie que les entreprises peuvent suivre pour leurs projets de nettoyage / assainissement de leurs systèmes de partages de fichiers (EFSS – Entreprise file sync-and-share). Cette méthodologie n’a rien de révolutionnaire et je proposais simplement une procédure logique faisant appel au bon sens. Et pourtant, trop nombreux sont les clients qui ne savent pas comment faire, par où s’y prendre et quels outils utiliser.

Dans le présent article, j’approfondis donc la phase 1 de ce processus, à savoir la définition des politiques et des règles de nettoyage.

Pour commencer, l’entreprise toute entière doit avoir conscience que son capital informationnel est réparti dans au moins quatre classes générales, à savoir les archives métier, le contenu métier, le contenu ROT et les informations ESI (voir les définitions ci-dessous).

Ensuite, il est important de définir les politiques et règles pour les caractéristiques des actifs informationnels relevant de chacune de ces classes ainsi que les actions à réaliser sur ces mêmes actifs :

Classe d’actifs
informationnels
Définition Actions
Archives métier Ce sont les « Business Records ». À quel moment un actif informationnel devient-il une archive métier ?

  • D’après son emplacement
  • D’après un processus métier
  • D’après un numéro de version
  • D’après une identification manuelle par un utilisateur
  • Identifier les exigences en matière de pré-approbation
  • La déclarer en tant qu’archive dans un système de Records Management (RM) et la classer selon le référentiel de gestion des archives de l’entreprise
  • La faire migrer vers un référentiel système de RM pour y gérer le cycle de vie (avec immutabilité)
  • Idem, mais copier vers un système de RM pour y gérer le cycle de vie des copies
  • La maintenir à sa place et gérer son cycle de vie au sein du système de RM (pas d’immutabilité)
Contenu métier Généralement défini par ce qui reste APRÈS identification des archives métier, du contenu redondant, obsolète et trivial (ROT) et des informations stockées sur des supports électroniques (ESI)

Certaines entreprises définissent parfois des sous-classes de contenu métier

  • Identifier les exigences en matière de pré-approbation
  • Laisser en place
  • Le faire migrer vers un nouveau référentiel : SharePoint, système EFSS dans le Cloud, etc.
  • Surveiller son statut  car pourra se transformer en archive métier ou en contenu ROT
Contenu ROT Redondant : informations dupliquées stockées dans plusieurs endroits

Obsolète : informations « qui ne sont plus largement utilisées » ou bien « supprimées », « remplacées » ou « désuètes »

Trivial : informations n’offrant que très peu de valeur, le contenu ne correspondant pas à la définition d’une archive, d’une connaissance de l’entreprise, d’une information métier utile  ou de tout autre catégorie ayant de la valeur

D’après les définitions de l’AIIM (Association for Information and Image Management).

  • Identifier les exigences en matière de pré-approbation
  • Le supprimer
  • Le déplacer dans l’espace de quarantaine pour suppression ultérieure
ESI (Electronically Stored Information) Capital informationnel appartenant à l’une des classes ci-dessus mais réactif à un litige actif ou à venir (processus d’e-découverte ou « Legal eDiscovery » typique)
  • Identifier les exigences en matière de pré-approbation
  • Identifier, Collecter, Préserver (EDRM.net)
  • Mettre en attente

 

Remarque importante : gérer des informations ESI ne fait pas forcément partie du processus de nettoyage des partages de fichiers. CEPENDANT, gérer les informations ESI est une étape qui DOIT précéder toute tâche effective d’exécution du nettoyage.

Dans mon prochain article, j’explorerai la phase 2 de la méthodologie de nettoyage des systèmes de partage de fichiers, à savoir la définition du processus d’exécution du nettoyage. Pour conclure, j’aimerais rappeler que l’outil de nettoyage des partages de fichiers et d’analyse des fichiers (File Analytics) utilisé s’inscrira très certainement dans les efforts que fera l’entreprise pour se conformer au nouveau règlement européen sur la protection des données ou RGPD, qui entrera en vigueur en mai 2018.

Suivez tous nos articles autour du thème File Analytics, incluant notamment N’attendez plus, votre Capital Informationnel doit être maîtrisé ! et 4 étapes pour le nettoyage de vos systèmes de partage de fichiers.

 

Peut-on sérieusement faire de la gouvernance de l’information avec les drives ?

La réponse est (presque) dans la question : non, il n’est pas possible de faire SÉRIEUSEMENT de la gouvernance de l’information avec les drives grand public. Et ce pour 7 raisons, qui sont autant de fonctionnalités que Google Drive, Microsoft OneDrive ou encore Dropbox ne sont pas en mesure d’offrir.

 

Non, parce que la gouvernance de l’information impose un tri dynamique dans les données

Dans toute entreprise, des données sont créées en continu. En se contentant de passer par un Drive, on stocke toute cette data sans aucune différenciation. Or, faire de la gouvernance de l’information, c’est appréhender ces flux de manière intelligente, selon la nature des données (factures, plans stratégiques, rapports…), le support (papier ou électronique) de celles-ci, ou encore leur valeur (confidentialité, engagement, patrimoine…). C’est également avoir conscience que toutes les informations ne sont pas utiles, que certaines peuvent être supprimées alors que d’autres doivent être protégées.

 

Non, parce que les drives sont limités en interopérabilité

Les drives présentent un défaut majeur : ils « enferment » les entreprises dans un outil, et limitent les possibilités de réversibilité et les migrations massives. Or, la gouvernance de l’information implique une réelle souplesse dans l’archivage des données. Que les drives ne peuvent par conséquent pas offrir.

 

Non, parce que la gouvernance de l’information repose sur une prise en compte de toutes les sources d’information

La gouvernance de l’information implique de prendre en compte diverses sources de données : les différentes solutions de l’entreprise, les anciens systèmes de fichiers, les différents espaces disques… Il faut donc pouvoir chercher les fichiers là où ils sont stockés, de manière transversale. Or, les drives ne peuvent prendre en compte l’information dans tous les espaces où elle se trouve. Limitant, de fait, leur efficacité.

 

Non, parce que les drives ne permettent pas de maîtriser les coûts

Les données s’ajoutant aux données, sans tri intelligent et sans suppression, les besoins en stockage grandissent chaque jour. Entraînant une réelle augmentation des coûts pour les entreprises. Or, faire de la gouvernance de l’information, ce n’est pas empiler les données : c’est en maîtriser le volume pour réduire le budget à consacrer à l’archivage !

 

Non, parce que la gouvernance de l’information impose une véritable sécurisation de l’information

La valeur des données peut changer avec le temps : une information insignifiante hier peut aujourd’hui être incontournable, alors qu’un document référence aujourd’hui peut devenir obsolète. Faire de la gouvernance de l’information efficacement, c’est donc prendre en compte la valeur des données en temps réel et les sécuriser complètement, via un cryptage et un contrôle d’accès réellement efficacement. Autant d’impératifs que les drives ne peuvent véritablement assurer.

 

Non, parce que les drives ne font « que » du stockage de données

Les solutions de gouvernance de l’information dépassent le simple stockage des données. Elles permettent :

– D’analyser et de nettoyer les file sharing ;

– De repérer les documents les plus engageants et de donner du sens aux informations, via le Machine Learning ;

– De réduire les délais et coûts de migration ;

– De respecter les obligations de conservation et/ou de destruction ;

– De maîtriser le capital informationnel…

Bref, faire de la gouvernance de l’information, c’est aller plus loin que l’archivage. C’est apporter une valeur ajoutée aux données exploitées !

 

Non, parce que la gouvernance de l’information repose sur la proactivité

Le capital informationnel de l’entreprise peut constituer un avantage compétitif… à condition que les données soient actualisées et pondérées en fonction de leur valeur et de leurs usages. Ainsi, une gouvernance de l’information s’appuyant sur des outils plus avancés que les drives permettra d’être plus réactif face aux évolutions du marché !

 

Les drives classiques constituent une bonne option pour stocker des fichiers et les partager. Or, ils ne permettent pas d’aller plus loin et de faire de la gouvernance de l’information !

 

4 étapes pour le nettoyage des systèmes de partage de fichiers

Le caractère pratique et peu coûteux des systèmes de partage et de synchronisation de fichiers (EFSS – Entreprise file sync-and-share) a entraîné une utilisation croissante et incontrôlable de ces derniers. Le résultat n’est pourtant pas probant, ils sont souvent mal organisés. La plupart des organisations manquent de visibilité et de contrôle sur le capital informationnel présent dans leurs systèmes de partage de fichiers. A ce problème s’ajoute le fait que l’on y retrouve souvent de nombreux doublons, et des espaces contenant des fichiers abandonnés (vieux projets, des fichiers d’employés ne travaillant plus dans l’entreprise, etc.)

La plupart des entreprises reconnaissent que la nature désordonnée de leur systèmes de partage de fichiers entraîne des coûts informatiques élevés, des risques juridiques et de non-conformité accrus, ainsi qu’une perte de valeur et de connaissance sur leur capital informationnel; d’où la nécessité d’avoir une visibilité sur les contenus de ces disques partagés et de les assainir.

Comment les entreprises gèrent leur contenu numérique

Il est vrai que les entreprises ont adopté une vision pragmatique lorsqu’il est question de leur contenu numérique (Capital Informationnel… voir article précédent) :

  • Les documents engageants et axés sur des processus sont gérés dans des solutions de gestion de contenu d’entreprise (ECM)
  • La majeure partie du contenu est dispersé dans les serveur de partage de fichiers (disques partagés) “low cost” sous le contrôle des utilisateurs finaux.
  • Plus récemment, les entreprises ont commencé à utiliser des outils de partage et de synchronisation de fichiers dans le Cloud ou EFSS (Enterprise File Sync-and-Share) tels que Dropbox, OneDrive, Google Drive, etc. 

Avec l’émergence de systèmes EFSS, procéder au travail d’assainissement ou de nettoyage AVANT la migration du contenu vers les systèmes EFSS est devenu une problématique qui concerne de plus en plus d’entreprises.

La plupart des organisations considèrent que le travail impliqué relatif au nettoyage de ces environnements de partage de fichiers leur est unique. Il est vrai que chaque organisation est différente. Cependant, le cadre, les méthodologies et les outils à utiliser sont relativement uniformes partout.

Classifier l’information

Avant de définir ce cadre, il est important de noter que le capital informationnel a tendance à se diviser en quatre (ou plus) grandes classes et que les organisations doivent définir les caractéristiques de chacune de ces classes ainsi que les actions devant être menées sur le capital informationnel qui leur appartient :

  • Les archives métier : doivent être soumis à des processus de contrôles formels de RM
  • Le contenu d’entreprise : a une valeur commerciale mais ne correspond pas (encore) à la définition des archives métier (il peut y avoir plusieurs sous-classes en fonction des degrés variables de pertinence commerciale)
  • Les données redondantes, obsolètes et inutiles (en anglais « ROT », Redundant, Obsolete, Trivial) : contenu sans valeur juridique / commerciale pour l’organisation et pouvant donc être supprimé
  • ESI (informations stockées électroniquement par définition FRCP) : contenu qui répond aux litiges actifs et doit être mis en attente et finalement produit

Information Asset Categories

Le processus de nettoyage des systèmes de partage de fichiers

L’intérêt d’utiliser des outils technologiques (File Analytics, eDiscovery, etc.) pour «alimenter» le processus de nettoyage est d’aider à automatiser la découverte, l’inventaire, l’identification de la classe du capital informationnel et le traitement concret des actions définies par l’organisation pour chacune de ces classes.

File Share Remediation Process

Étape 1: Définir les politiques et les règles de nettoyage

  • Définir les classes de capital informationnel et les caractéristiques de chacunes d’entre elles
  • Définir les politiques  et les règles de nettoyage relatives au contenu appartenant à chaque classe (les actions)
  • Définir ce qui constitue une copie “d’or” contre une simple copie en double
  • Définir les exigences de la piste d’audit pour établir un processus défendable sur le plan juridique

Étape 2 : Définir le processus d’exécution du nettoyage

  • Identifier et inventorier les environnements de partage de fichiers au sein de l’organisation
  • Évaluer le volume de contenu dans chaque système
  • Identifier la nature métier du contenu dans chaque système de partage de fichiers
  • Déterminer l’état final de chaque système de partage de fichiers (décommissionner ou continuer l’utilisation)
  • Définir un processus basé sur un lot (définir les lots et les groupes de lots)
  • Hiérarchiser le traitement des lots en fonction du budget, du risque et de la valeur

Étape 3 : Exécuter le processus de nettoyage

  • Traitez les lots provenant des systèmes de partage de fichiers en fonction des priorités établies à l’étape 2
  • Les documents engageants doivent être identifiées selon les politiques, classées et soumises aux systèmes de Records Management
  • Le contenu ROT (moins les golden copies) peut être supprimé ou mis en quarantaine, selon les politiques
  • Les autres documents métiers peuvent rester en place ou être migrés vers des systèmes EFSS basés dans cloud ou SharePoint
  • Une fois qu’un lecteur fichiers partagés a été traité, il est soit décommissionné ou bien pourra continuer à être utilisé (selon la règle)
  • Gérer, surveiller et faire un rapport sur le traitement du lot

Étape 4 : Maintenir

  • Les systèmes de partage de fichiers qui ont été traités et qui sont restés en usage doivent être traités de nouveau sur une base régulière
  • La fréquence du retraitement doit être déterminée par l’organisation, par exemple hebdomadaire, mensuelle ou trimestrielle.

Dans le prochain article, nous parlerons de la façon dont le nettoyage des systèmes de partage de fichiers fait partie intégrante des efforts de l’organisation pour atteindre la conformité RGPD (prévue pour mai 2018). Le même outil d’analyse de fichiers (File Analytics) utilisé pour identifier la classe du capital informationnel peut être configuré (définitions de la reconnaissance de formes) pour (i) identifier les données personnelles situées dans le contenu, (ii) déclencher des demandes de consentement, (iii) générer des notifications et (iv) effectuer d’autres types d’actions prescrites par ce règlement de l’UE.

File sharing : 7 raisons de ne pas se lancer dans la migration de vos fichiers tout seul

Le partage de fichier, ou « File sharing », a le vent en poupe dans les entreprises. Toutes s’y mettent, délaissant au passage les File Systems classiques et internes, attirées par la puissance des technologies Cloud et leurs promesses d’efficacité, de collaborativité et d’accessibilité. Pourtant, il est recommandé de se faire accompagner dans cette démarche. Voici 7 bonnes raisons d’en être convaincu !

1/ Parce que ça prend du temps. Migrer les fichiers d’un outil interne (les très classiques « disques partagés Windows ») vers un outil dans le Cloud, et vouloir le faire de manière structurée, optimisée et intelligente, c’est une démarche qui peut être chronophage. Cela peut parfois représenter plusieurs centaines de jours ! Se faire accompagner, c’est bénéficier d’une automatisation de cette tâche, source évidente de gain de temps pour l’entreprise.

2/ Parce qu’il faut éviter les doublons. Les doublons, ces fichiers présents en plusieurs exemplaires (dont certains sont obsolètes) dans le système de partage de fichiers, peuvent être toxiques pour les entreprises. Ils peuvent en effet être vecteur d’une information erronée et datée. En plus d’occuper de l’espace de stockage inutilement !

3/ Parce que veiller à l’homogénéité des plans de classement permet de garantir la valeur des documents. Lorsque l’on se lance seul, le plan d’archivage peut être chaotique. Les données s’ajoutent aux données. Les organisations hiérarchiques ne sont pas optimisées. Résultat ? Les fichiers à forte valeur ajoutée sont « perdus » dans un stockage certes exhaustif, mais pas du tout optimisé.

4/ Parce que la sécurité des fichiers est un enjeu primordial. Lorsque l’on met en place seul une démarche de partage des fichiers, on a souvent tendance à ne pas assez contrôler les droits et les points d’accès au système. Ils se multiplient au fur et à mesure du déploiement, sans possibilité réelle de revenir en arrière. Ce qui fait prendre de réels risques aux informations stockées, qui pourraient être récupérées par des personnes malintentionnées, à l’extérieur de l’entreprise.

5/ Parce que les coûts pourraient ne pas être maîtrisés. Stocker dans le Cloud, archiver efficacement, ce n’est pas tout stocker ad vitam aeternam. La clé d’une gouvernance de l’information efficace réside dans la qualification des fichiers, afin d’empêcher une trop grande croissance du volume de données, et de supprimer ceux qui n’ont pas vocation à être conservés. Une dimension difficile à mettre en place lorsque l’on est seul, induisant de fait des coûts croissants.

6/ Parce que le respect des normes est un critère essentiel de la valeur des données. Aujourd’hui, le stockage des données est strictement encadré, tout comme son exploitation — il n’y a qu’à voir les exigences du RGPD, qui entrera en vigueur en mai 2018. Or, seul, il est plus compliqué de s’assurer du bon respect des normes par la solution choisie. Ce qui fait courir le risque aux données de se déprécier dans le temps.

7/ Parce que se faire accompagner, c’est avoir la possibilité de passer du File sharing au File Analysis. Des outils existent pour « aller plus loin » que le simple archivage numérique. Il est en effet possible de retrouver les fichiers les plus engageants très rapidement et de donner du sens aux documents via le machine learning, d’épurer automatiquement le stockage des doublons et autres éléments obsolètes… Autant d’avantages et de fonctionnalités dont on ne pourra profiter en se lançant seul dans une migration de fichiers !

L’accompagnement dans une démarche de File Sharing permet donc de maîtriser les coûts, d’anticiper de futurs besoins, et de s’appuyer sur le machine learning pour une efficacité maximisée. Bref, de mettre en place une véritable gouvernance de l’information. Besoin d’en savoir plus ? Les équipes d’Everteam sont à votre disposition !

InfoGovCon 17 | Everteam remporte le trophée de la Gouvernance de l’Information

La semaine dernière nous avons participé à InfoGovCon 17 en tant que sponsor. Providence, situé dans l’état du Rhode Island aux Etats-Unis est un super endroit pour venir y passer quelques jours et notre équipe a pu discuter de tout ce qui peut toucher à la Gouvernance de l’Information avec les participants et exposants présents à cet événement.

Il y a encore beaucoup de chemin à parcourir pour améliorer la manière dont les entreprises gèrent leur capital informationnel. Pour commencer il faut la retrouver à travers les différentes applications métier de l’entreprise, où l’information est stockée. Il est clairement ressorti de nos discussions, que file analytics est une fonctionnalité clé nécessaire aux entreprises. Si vous ne savez pas quelle information vous avez à disposition et où elle se trouve, comment pouvez-vous décider de la meilleure manière de la gérer ?

Bien entendu, file analytics n’est que le point de départ. Une fois que vous avez cette vision d’ensemble, vous devez commencer à prendre quelques décisions. C’est là que se situe le cœur de la Gouvernance de l’Information.

Bassam Zarkout a fait une présentation sur l’assainissement des serveurs de partage de fichiers, un processus qui consiste à déterminer quelles informations vous avez à disposition dans l’entreprise et comment organiser et gérer cette information de manière adéquate. Selon Bassam, il y a tellement de contenu caché et éparpillé dans les serveurs de partage de fichiers et autres répertoires, dont ceux dans le cloud par exemple, qui doivent être pris en charge par les entreprises avant qu’il ne soit trop tard. (Pensez au RGPD et aux risques de cyber-sécurité). Jetez un coup d’œil à ses slides, ils sont remplis d’informations utiles !

La conférence s’est terminée avec la remise d’un trophée. Everteam a remporté le trophée de « la meilleure entreprise de Gouvernance de l’Information 2017 » et nous ne pouvions être plus fiers. Notre équipe travaille d’arrache-pied  pour concevoir et développer les meilleures solutions accompagnant les stratégies de gouvernance de l’information. Nous travaillons avec un groupe de partenaires pour offrir des solutions adaptées à votre entreprise, quel que soit son secteur ou sa taille.

InfoGovCon Award

 

Si vous souhaitez en savoir plus sur Everteam et notre point de vue sur la Gouvernance de l’Information, commencez par un aperçu de la Gouvernance de l’Information ou laissez-nous tout simplement vos coordonnées et nous vous recontacterons.

Les 5 questions à se poser lors du choix de votre outil de partage de fichiers (File Sharing)


Google Drive, Microsoft OneDrive, Apple iCloud, Dropbox, ou une solution de Cloud privée aux fonctionnalités plus avancées ? Choisir un outil de partage de fichiers, c’est un moment important dans la vie d’une entreprise. Il va en effet définir, pour les prochaines années, la politique de gouvernance de l’information au sein de la structure, la gestion des données et la valeur ajoutée que l’on peut en attendre ! C’est pourquoi il convient de se poser impérativement certaines questions. 5, plus exactement. Voici lesquelles !


De quel niveau d’interopérabilité ai-je besoin ?

C’est l’un des gros reproches « historiques » fait aux solutions Cloud grand public : l’absence de format de disque virtuel commun, compliquant grandement l’interopérabilité des Clouds. Reproduisant, de fait, les phénomènes de verrouillage, connus dans le passé dans des environnements physiques. Si aujourd’hui, des travaux sont en cours pour corriger ce défaut, le constat est clair : passer d’un Cloud à un autre n’est pas des plus faciles. Les possibilités de réversibilité sont volontairement faibles, afin de limiter les changements d’outils dans les cas de migrations massives. Sauf en confiant ses données à un logiciel de gestion de contenus d’entreprise.

Quel est le niveau de confidentialité de mes données ?

Les outils de File sharing grand public offrent un niveau de confidentialité des données satisfaisant… pour les particuliers. Les professionnels peuvent en effet manipuler des documents sensibles, nécessitant un niveau de protection plus avancé, passant à la fois par l’accès au fichier et par un cryptage avancé des données qu’il contient. Ce qui impose, de fait, de se rapprocher d’autres solutions que les Clouds de Google, Microsoft ou encore Apple.

Quelles sont mes exigences en termes de qualité de service ?

Le Service-Level Agreement (SLA) des solutions Cloud, c’est le document qui va définir la qualité de service que l’on peut attendre du prestataire. Il est capital de prendre le temps d’étudier ce qui est annoncé, et de comparer avec ce que l’on attend pour son entreprise. La capacité du Cloud à consommer et à utiliser les ressources va en effet constituer une donnée incontournable pour s’assurer que l’on n’aura jamais affaire à une interruption totale de service. Laquelle serait source de perte de temps et de chiffre d’affaires potentiel pour l’entreprise !

Comment m’assurer de maîtriser les coûts ?

Le coût de l’archivage numérique peut augmenter au fur et à mesure que les fichiers s’accumulent dans le Cloud… alors même que certains documents pourraient être supprimés, parce qu’ils existent en plusieurs exemplaires, parce qu’ils sont obsolètes, ou encore parce qu’ils concernent des produits, des clients ou des process qui n’ont plus de réalité dans l’entreprise. C’est pourquoi il est capital, au moment de choisir un outil de partage de fichiers, de s’assurer qu’une gestion intelligente et dynamique sera possible tout au long du cycle de vie des documents.

Ai-je besoin de services supplémentaires ?

Une gouvernance de l’information plus « poussée » que le simple stockage des fichiers dans un Cloud grand public offre d’autres services à forte valeur ajoutée :

  • Des recherches fédérées, sur de multiples espaces de File Sharing ;
  • L’identification immédiate des documents les plus engageants via le machine learning ;
  • L’optimisation des espaces en procédant à l’isolation des doublons et des fichiers obsolètes ;
  • L’indexation automatisée des métadonnées liées aux fichiers stockés ;
  • Le cryptage avancé des documents ;
  • Le respect en temps réel des dernières normes et règles de conformité…

Prenez le temps de bien étudier ce que proposent les services de partage de fichiers, en comparant les promesses avec vos attentes. N’oubliez pas que ce choix vous engage pour plusieurs années : autant faire le bon dès le départ !

Quelle solution face aux défis imposés par les outils de partage de fichiers ?

Quelle solution face aux défis imposés par les outils de partage de fichiers ?

Déposer, organiser et partager des documents électroniques est devenu une pratique généralisée au sein des entreprises aujourd’hui, du traditionnel “lecteur réseau” jusqu’aux services de partage de fichiers cloud du marché (Google Drive, Box, DropBox, …). Toutefois quelle que soit la solution retenue, se posent les questions de la maîtrise du cycle de vie de ces fichiers et de l’assainissement de leurs espaces de stockage devenant de plus en plus coûteux…

Lire la suite