Pour une définition de l’IT Compliance de la Donnée à travers l’explosion des flux

Compliance IT de la donnée

Depuis quelques années, l’explosion des données se caractérise par les dimensions hors normes en jeu, les  natures diverses et atypiques des sources (ERP, CRM, SMAC : Social, Mobile, Analytic, Cloud)  et les contraintes de conservation qui en résultent. Ceci crée des opportunités d’innovation pour les  métiers mais aussi une implication de la fonction IT Risk qui devient le garant d’un cadre de conformité IT de la donnée.

Un cadre de conformité IT de la donnée, pour quoi faire ?

La valorisation de la Donnée doit s’accompagner d’un cadre IT Compliance Risk qui s’assure que la Donnée est conforme à la fois :

  • aux attentes métier (capture, traitement, disponibilité, sauvegarde, intégrité de la donnée) ;
  • aux attentes de gouvernance (respect des procédures des opérations (documentation), sécurité (droits d’accès), respect des standards IT (architecture, obsolescence), respect des contrats envers les fournisseurs, continuité d’activité, réponse aux auditeurs internes, certification de type ISAE 3402…) ;
  • et aux attentes réglementaires ou légales (données personnelles, durée d’archivage,…).

<p »>La combinaison de ces 3 attentes crée de facto une définition élargie de la notion d’IT Compliance.

Un cas d’application

Exemple de l’une de nos missions dans le cadre des marchés financiers et du Dodd Frank Act autour du traitement d’un ordre SWAP. L’un des objectifs était de pouvoir reconstituer au travers d’un identifiant unique (personne, numéro d’opération) :

  1. tous les flux opérationnels (opérations effectuées à travers les départements Front Office/Middle Office/Back Office) ;
  2. tous les flux informationnels en termes de Data Processing (revue des accès applicatifs, logiciels utilisés, flux middleware, serveurs applicatifs, serveurs de base de donnes, stockage, backups) ;
  3. toutes les opérations et flux de données de type voix, messagerie email, messagerie instantanée se rattachant à cet identifiant ;
  4. tous les échanges publics sur des réseaux sociaux (Facebook, Twitter, Instagram, LinkedIn, Viadeo…) qui ont pu être faits.

Une méthodologie globale, la DATA Processing Approach

Cette IT Compliance demande une approche ERM – Enterprise Risk Management

  • pluridisciplinaire : regroupant les Directions Fonctionnelles Risques et Conformité, les auditeurs (internes et externes), les Architectes IT, les Services Managers et l’ensemble des acteurs en charge de la gestion des assets IT (SAM, obsolescence,…) ;
  • globale et systématique : s’inscrivant dans une démarche holistique complète, questionnant chaque activité IT, chaque famille de composants.

CONIX a développé une méthodologie globale de gestion des risques adaptée à la Gestion de la Donnée (Data Processing Approach). Elle permet de garantir :

  • la bonne délivrance du service attendu selon les besoins Métier (disponibilité, traitement, sauvegarde) ;
  • la protection de la donnée : intégrité de la donnée, droits d’accès aux informations ;
  • la conformité aux standards de l’architecture qui soutient la donnée ;
  • la conformité réglementaire : données personnelles, conservation des données.

Cette méthodologie, déclinable aussi bien dans un environnement IT propriétaire que dans un environnement Cloud (Iaas, Paas, Saas), se traduit par :

  • Une gouvernance avec des rôles et responsabilités clairement identifiées et des règles d’escalade adaptées ;
  • Un IT Compliance Risk framework qui répertorie l’ensemble des risques opérationnels sur l’intégralité du scope des activités IT et de leurs composants. L’intégration de ce framework IT Risk dès l’amont, est la condition d’une « Compliance by Design » qui accompagne les projets Data dès leur conception, de façon à identifier toutes les composantes qui serviront de base à la fourniture d’information. Nous l’adaptons à chaque exigence réglementaire (Dodd Frank Act, EMIR/MiFID regulations, EU Data Protection) ;
  • La définition de politiques et de procédures ;
  • Un plan de contrôles élaboré à partir d’objectifs, garant de la valeur ajoutée de la Donnée. Ce plan de contrôles adresse l’ensemble des activités IT (stockage, gestion de capacité, respect des règles d’archivage, gestion des accès, continuité d’activité, gestion des incidents,…) ;
  • Un monitoring et reporting qui permettent à travers des indicateurs (KRI – Key Risk Indicators-, niveau de maturité,…) de s’assurer que le niveau de Risque est maitrisé.

L’IT Compliance Manager, un métier clé du « data world »

L’approche IT Compliance de la donnée révèle l’IT Compliance Manager comme un métier clé du « data world ».

C’est lui qui va accompagner l’élaboration de la Cartographie des Risques basée sur le Data Processing Flow, la création d’un cadre de gouvernance de la donnée orienté Risques, la détermination du niveau de maturité/acceptation du Risque, la définition des Politiques – Principes – Processus, la création d’un Modèle de conservation des données et la définition de Reporting (métriques KRI – précision, intégrité, cohérence, complétude, validité).

Moins en vue au plan Marketing que le Chief Data Officer ou le Data Scientist, l’IT Compliance Manager est un métier essentiel dans l’environnement des données. C’est lui qui orchestre la Conformité IT de la Donnée et contribue à doter les acteurs en charge de l’innovation, de données conformes et de qualité. Il est important de bien l’intégrer dans le panorama des métiers qui comptent dans la transformation numérique autour de la donnée !

IT Compliance - Observatoire CONIX de la Donnée

Auteur : Faha RAMOELINTSALAMA

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *