Aujourd’hui, le volume de données des entreprises ne cesse de se développer. Elles s’ouvrent aussi de plus en plus vers une multitude de services et outils. Dès lors, comment exploiter ses données de façon sécurisée et comment intégrer la sécurité dans les projets Data?
Des réponses apportées par l’entreprise TVH Consulting, éditeur et intégrateur de logiciels ERP, BI, CRM et de cybersécurité. William Marcy (Directeur des opérations BU Data du groupe TVH) et Mathieu Charbois (Directeur des opérations BU Cybersécurité du groupe TVH) reviennent sur les éléments essentiels à prendre en compte pour sécuriser ses projets Data.
Qu’est-ce que l’exploitation des données en entreprise aujourd’hui ?
William Marcy : Jusqu’il y a finalement peu de temps, toutes les solutions logicielles émanaient de la DSI. Les métiers ont évolué progressivement et ont eu nécessité à travailler avec de nouveaux outils. Ces outils produisent de nouvelles données, qui n’ont pas forcément la même structure. La data représente aujourd’hui un patrimoine stratégique de l’entreprise. Elle est dorénavant l’actif le plus précieux pour améliorer le pilotage de son entreprise. Le futur d’une société repose et s’évalue sur les données qu’elle stocke, qu’elle analyse, qu’elle traite et qu’elle partage. La data permet de prendre les décisions les plus fiables, de prédire et de gagner des parts de marché.
Or aujourd’hui, le volume de données des entreprises est exponentiel, en termes de qualité, de volume et de sources. Nos clients ont donc besoin de choisir les solutions les plus efficaces pour rassembler exploiter mais aussi sécuriser leurs données. En effet, si elles sont de plus en plus ouvertes et accessibles de tous, elles doivent surtout l’être de façon contrôlée et sécurisée.
Mathieu Charbois : Et c’est LA question que les entreprises doivent se poser aujourd’hui ! Elles doivent se question de savoir comment réussir à exploiter toute la richesse et le potentiel de leurs données, sans pour autant avoir peur de subir une cyberattaque. Malheureusement nous le savons, ce risque les entreprises ne pourront y échapper : elles se feront pirater, c’est une certitude. Les chiffres parlent d’eux même, l’an dernier, plus d’une entreprise sur deux a subi une cyberattaque.
Pour le prévoir au mieux, inutile de se demande si elle aura lieu. Il faut se projeter dans le « quand » et le « comment ». Cette prévision est la plus utile pour mettre en œuvre une organisation cybersécurité, un pilotage des risques et des solutions techniques, capables de réduire l’impact d’une cyberattaque. C’est d’ailleurs l’objet de notre dernier guide.
Comment aider vous les entreprises afin de face à la menace, tout en exploitant la richesse de leur data ?
W.M. : Tout d’abord, nous les aidons à se servir de leur data, à en saisir les enjeux et les différents types de données. L’objectif ici est de stocker, de visualiser, ou de partager des données, de manière efficace et sécurisée. Pour maîtriser toute cette data, des processus de gouvernance sont obligatoires. Nous les implémentons chez nos clients pour :
- Traiter de manière industrialisée les données ;
- Contrôler leur qualité et leur intégrité ;
- Avoir une vision sur leur pertinence, leur chemin et leur traçabilité.
Les plateformes de Business Intelligence sont mises en place pour leur permettent d’exploiter ces données par l’accès à des KPI ou encore indicateurs de performance (visuels, tableaux de bord, etc.). Ainsi, les entreprises vérifient qu’elles utilisent la bonne data, au bon moment, tout en déroulant les bonnes règles de gestion et les bonnes règles métier.
Les projets sont stratégiques, nombreux et structurants pour une société : mise en place d’un CRM, implémentation/migration d’un ERP et le déploiement de solutions analytics. De ce fait, les entreprises doivent faire face à un volume de data important. D’immenses quantités de données sont partagées chaque seconde entre les différents serveurs, et sont donc majoritairement exposées. L’aspect sécurité fait partie de chaque projet et doit être anticipé. Pour cela, il doit être évalué constamment, avant, pendant et après le déploiement des différents projets.
M.C. : En effet, les entreprises dont plus facilement passer cet aspect au second plan. Pourtant, c’est à ce moment que la situation peut apparaitre critique. Dès que le projet est livré, le système et ses interconnexions doivent être auditées afin de s’assurer en permanence qu’il n’offre pas de nouvelles failles ou menaces. Les entreprises nous interrogent avec ces deux enjeux forts d’exploitation et de sécurisation de leur data. Elles nous questionnent sur l’ordre dans lequel elles doivent avancer. En réalité, tout dépend de leur maturité, de la majorité de leur projet et des mesures de sécurité déployée pour leur SI.
https://www.youtube.com/watch?v=RglGFvaqaSU
Prenons en exemple une entreprise en pleine réflexion Data. Quelles étapes doit-elle suivre ?
M.C. : Il est impératif d’intégrer une démarche ISP (Intégration de la Sécurité dans les Projets) dès le début du projet. En veillant d’abord aux besoins et aux impératifs de sécurité, l’entreprise gagne en efficacité en gagnant du temps et anticipant les audits, via des solutions offrant des réponses aussi bien aux besoins du business et aux problématiques de sécurité. Cette mesure évite toute intervention en aval du projet, pour essayer de sécuriser une solution déjà mise en place. Si l’on souhaite intégrer efficacement la sécurité, il faut penser un projet dans sa globalité et de façon optimisé.
Et si nous prenons le cas d’une entreprise ayant déjà mis en place des projets Data ?
M.C. : Une entreprise peut aller plus loin en identifiant d’abord les failles de son système informatique. Elle pourra mettre en place des mesures de protection avec réactivité. À ce moment, l’entreprise sera capable de prendre des mesures préventives ou correctives sur ses actifs, comme sur les chaînes d’approvisionnement, de production ou de services. Alors, elle pourra assurer leur intégrité.
La déploiement d’opérations constantes du Maintien en Condition Opérationnelle (MCO) du système d’information doit être combinées par des opérations de Maintien en Condition de Sécurité (MCS), qui passent généralement au second plan. Les actions mises en place seront les suivantes :
- Veille technologique, permettant d’identifier et de recenser les failles de sécurité ;
- Une analyse d’impact de la faille sur les actifs de la société ;
- Une évaluation de la criticité de ces failles ;
- La mise en place d’actions préventives ;
- Des tests récurrents assurés par la mise en place de pentest ;
- Des audits organisationnels pour valider l’efficacité de ces actions.
Quelles sont les contraintes et les enjeux liés à l’exploitation des données ?
W.M. : Je dirais : la gouvernance et l’intégrité des données. Comme expliqué plus tôt, le volume de données ne cesse de se développer, car la data se produit à tous les étages d’une entreprise. La conséquence la plus perceptible est la perte de son contrôle. Quelquefois, un collaborateur n’a même pas la visibilité sur les données reçues et mises à la disposition et contenant des informations inappropriées ou inexactes, et donc peu fiables. Cette « prolifération des données » est rencontrée dans bon nombre d’entreprises, alors incapables de gérer le rythme et le volume de données entrant dans leurs systèmes.
Pour assurer la qualité et la sécurité des données, la mise en place de la gouvernance (contrôle et protection des données, les processus, les rôles, les politiques, les normes et les mesures…) est inévitable. Tous ces aspects permettent un usage efficace des informations, pour aider les entreprises à établir des processus et des responsabilités afin d’atteindre leurs objectifs.
Ce sujet doit être au cœur de la stratégie d’une entreprise. Une entreprise peut détenir les données uniques du marché. Si elles ne sont pas fiables, non conformes ou inexploitables par leur forme, elles seront inexploitables, pouvant même lui être néfastes dans sa capacité à prendre les bonnes décisions.
M.C. : Pour déployer une bonne gouvernance des données, la mise en œuvre d’un Système de Management de la Sécurité de l’Information (SMSI) est la solution la plus appropriée. C’est un véritable support de la gouvernance de la sécurité. Il permet d’engager, de façon cadrée, les différentes mesures de sécurité pour driver efficacement une action de sécurisation du SI. Des outils comme APOS existent pour piloter son SMSI et la gouvernance de sa cybersécurité.
Revenons-en aux contraintes que les entreprises peuvent rencontrées quand elles gèrent des données. Nous pourrions donner pour exemple les conformités réglementaires : des lois et réglementations demandent que les entreprises protègent les données de leurs clients et employés. L’entreprise doit donc être en conformité avec ces règles. Tour comme les entreprises qui gèrent des données de santé, et qui doivent obtenir la certification Hébergeur de Données de Santé (HDS), construite sur la norme ISO 27001 ou encore celle sur la RGDP, pour toute entreprise exploitant des données à caractère personnel.
Le mot de la fin pour conclure ?
M.C. : La cybersécurité n’est plus un sujet à négliger sur tout type de projet IT, et particulièrement sur les projets Data. Les attaquants externes cherchent en priorité les données sensibles, stratégiques d’une entreprise, pour exiger des rançons par exemple. Par ailleurs, la cybersécurité, si elle est prise en compte en début de projet, ne représente ni un coût ni un frein à l’innovation mais un véritable avantage concurrentiel.
W.M. : En travaillant simultanément, sécurité et projet Data permettent d’apporter beaucoup de plus-value et d’avantages concurrentiels à une entreprise. Ainsi, elle peut envisager son futur avec confiance et ambition. Il est indispensable de travailler dans la durée avec un partenaire de confiance. Nous le remarquons depuis maintenant 20 ans, en tant que spécialistes dans le conseil, la mise en œuvre, l’intégration et l’hébergement de nos solutions (N.D.L.R. : Microsoft, SAP, Talend et Salesforce).
Nos approches se différencient par notre connaissance des différents secteurs d’activité, des ETI et des grandes entreprises. Un savoir acquis avec nos expériences et notre centre de R&D. Nous gardons aussi la totalité de la maîtrise d’œuvre de nos projets et le support de tous nos projets.
TVH Consulting détient aussi une expertise en cybersécurité pour accompagner ses clients dans leur stratégie 360 ° de sécurité, du système d’information en les aidant de leur mise en conformité réglementaire (ISO27001, HDS, LPM, RGPD…), mais également en réalisant des audits techniques et des tests d’intrusion. Le groupe se développe fortement depuis maintenant plus d’un an, et nous permet de compléter notre expertise autour du SI des entreprises.
