Les 5 piliers de la gouvernance de l’information

Étiquettes

, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

crash-62281_1280

Le système d’information et ses « dérivés » (y compris les éléments accompagnant la mobilité), les messageries, le fax, le smartphone et assimilé, le papier, l’être humain sont des vecteurs des flux informationnels. La sécurité et le contrôle se focalisent sur ces éléments, tout comme la réglementation. A l’évidence, ils doivent être pris en compte, mais nous oublions souvent qu’il ne s’agit pas d’un risque premier. En effet, à ce stade nous parlons « d’outils » ou de « moyens ». Et ce, même lorsque nous intervenons en termes de cybersécurité.

La « matière première » de toute entité (privée et publique), outre les éléments participants à la conception de produits, est l’information au sens large, se décomposant en flux d’informations lors de sa transmission.

Si vous prenez le temps de consulter attentivement la figure représentative des cinq piliers de la gouvernance de l’information accompagnant le billet cité ci-après, vous constaterez qu’un de ces piliers est dénommé « Risque ». Ce dernier est défini comme suit: « Elle couvre les données comme les documents. Elle s’affranchit des formats en se concentrant sur l’information que les métiers utilisent ».

Ces constats démontrent la nécessité de la mise en place d’une gestion transversale des risques au sein de toute entitétout en tenant compte des spécificités informationnelles attachées à certains métiers et à certaines fonctions demandant des actions personnalisées, au lieu de se focaliser uniquement, ou de manière plus importante, sur les accès au sens large.

L’intérêt d’une démarche globale est de distinguer les interactions d’un risque à l’autre au sein d’une entité comme en-dehors de celle-ci.

La maîtrise de l’information se réalise grâce à cinq actions :

  1. L’identification des besoins.
  2. La veille informationnelle.
  3. La collecte des informations.
  4. La protection et la sauvegarde.
  5. La diffusion de l’information.

La maîtrise de l’information est le préalable incontournable de la gestion des risques.

Ce dernier commentaire s’applique de la même manière à l’intelligence économique (IE), bien que la vision de l’entreprise en soit différente. Il a d’ailleurs été constaté une redondance dans les travaux pratiqués par les fonctions dédiées à l’intelligence économique et au risk-management en termes de gestion de l’information.

Le contrôle interne intervient pour partie dans la réduction d’exposition aux risques retenus.  Une confusion peut provenir du fait que certains risk-managers se voient confier la responsabilité du contrôle interne, des assurances et, parfois, de l’audit interne. Ceci est un autre débat en termes d’indépendance et de délégation.

Nous venons de parler de la réduction du risque, mais quels sont les véritables connexions entre le management de l’information et le contrôle interne?

Les informations numériques et les documents (informatisés ou non) traitant :

  1. de la stratégie,
  2. de la propriété intellectuelle,
  3. des finances,
  4. des projets transversaux incluant des parties prenantes,

sont principalement concernés.

 

“Les connexions, ou plutôt les interactions, se situent principalement au niveau du trio permanent

Risques – Conformité – Contrôle Interne

auquel il faut joindre la touche périodique complémentaire, à  savoir

l’Audit Interne”

 

La 1ère connexion est à la fois réglementaire et organisationnelle : les principaux acteurs en sont la Conformité, le management et les opérationnels. Il s’agit de :

  • Confidentialité : respect des règles de protection de la clientèle (Loi informatique et libertés, CNIL…) : la collecte d’informations personnelles nécessite l’accord de la personne ou de la structure intéressée
  • Structuration des données et continuité d’activité (PCA/PRA) afin d’éviter :
  1.  Une forte augmentation du volume d’informations, mais une baisse de la qualité des données
  2. Un tri nécessaire et une  identification des données sensibles, impliquant des changements organisationnels.
  • Protection des données (les données sont les composantes des informations et, par delà, des flux d’informations) .

 

La 2ème connexion est le management des risques (selon le principe  ERM), interdépendant du contrôle interne. Les principaux acteurs en sont le gestionnaire des risques et le management. Nous devons nous interroger à ce sujet si nous avons intérêt à nous diriger vers une gestion intégrée de tous les risques dans un système unique ? Prenons-nous en compte et utilisons-nous suffisamment le  principe du « retour d’expérience » ? Une réalité est à retenir : un impact dommageable = un objectif compromis. 

 

 La 3ème connexion est l‘incorporation des éléments de contrôle interne (contrôle permanent) dans les processus et les procédures internes à l’entité, y compris ceux liés à l’information. A ce sujet, ne devrions-nous pas évoluer de l’individuel au collectif (cette notion ou ce concept sera l’objet d’un billet spécifique) ? Les principaux acteurs en sont le management et les opérationnels. Le contrôle interne n’est pas une simple contrainte ou « posture » réglementaire, voire une « modeste » assurance que « tout est sous contrôle », il doit être considéré comme un levier d’efficacité. En osant extrapoler, le contrôle interne peut se transformer en un des atouts stratégiques offert à la gouvernance au travers du pilotage de l’entité. Ce qui implique d’évoluer d’une démarche interne vers une approche systémique.

 

La 4ème connexion est le contrôle périodique, l’audit interne, qui ne doit pas seulement se focaliser sur la protection physique (cybersécurité…).

 

“Disponibilité – Intégrité – Confidentialité” 

 

En définitive, qu’apporte ce billet en dehors de ce qui est déjà énoncé précédemment ?

La combinaison et la coordination des trois axes suivants :

  1. Disponibilité.
  2. Intégrité.
  3. Confidentialité.

sont le fondement d’un système de protection de l’information.

Outre son utilité en termes de stratégie et de décisionnel, l’information n’a pas qu’une valeur immatérielle, mais également un « prix » intrinsèque.

 

Depuis quelques années la notion de flux Information est de plus en plus considérée comme étant un domaine à regarder attentivement.

Seulement voilà, l’information, ce n’est pas simple à appréhender, elle a un cycle de vie et porte des caractéristiques souvent très changeantes. Des fois sensible, des fois engageante, des fois futile, des fois personnelle, … .

Alors lorsque que l’on commence à parler de mieux maîtriser cette information, cela devient vite comme certaines frites, on en parle beaucoup, et on en mange beaucoup moins. Non pas que je veuille pousser à la consommation de pommes de terre, mais c’est important de plonger sérieusement dans ce qui donnera demain, à nos entreprises des moyens d’évoluer plus vite que d’autres.

http://www.3org.com/news/gouvernance_de_linformation/les-5-piliers-de-la-gouvernance-de-linformation/

 

A consulter également :

Trop de données « concurrentielles » en libre accès dans les entreprises

Pascal Lafourcade, docteur en informatique, dévoile les enjeux liés à la traçabilité, la sûreté physique et numérique des données

Big Data : nouvelle méthode marketing, nouvel or noir ou nouvelle approche des marchés et des projets ? (en  particulier, la partie « I – Maîtrise de l’information et Contrôle Interne)

Humain, trop humain ! (en particulier, les parties « II – De la prévention des dysfonctionnements pouvant porter atteinte au fonctionnement et à la survie d’une entité à l’analyse décisionnelle » et « III – La gestion des risques en « silos » vers la maîtrise intégrée des risques »)

Un ancien salarié sur trois pourrait toujours avoir accès au réseau de l’entreprise

Sécurité de l’entreprise : quelles sont les données les plus convoitées par les employés ?

Les tendances de la gouvernance de l’information

2 réflexions à propos de “ Les 5 piliers de la gouvernance de l’information ”

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.