Data et SI, valoriser pour mieux protéger

protection-data-dossier-article

© Fotolia

Avec la montée du big data dans la transformation numérique des modèles, la compréhension de la valeur de la donnée devient une nécessité à tous les niveaux de l’entreprise. Ne serait-ce que pour préserver ce patrimoine.

Propos recueillis par Dorian Marcellin

C’est un marché estimé à 1,72 milliard d’euros (2 milliards de dollars) en 2014, avec une croissance annuelle approchant les 30 %, qui s’est structuré à toute vitesse… Assurer le patrimoine informationnel de l’entreprise devient une réalité pour bon nombre de sociétés. Et les professionnels du secteur sont au rendez-vous. « En 2013, le sujet était encore en discussion. En 2015, la question est plutôt : qui n’est pas encore positionné sur ce segment chez les assureurs ? », relève Laurent Heslault, directeur des stratégies de sécurité chez l’éditeur américain Symantec.

Fin 2014, c’est, par exemple, Allianz Global Corporate & Specialty (AGCS) qui a doublé la capacité de sa police d’assurance cyber data protect, avec une couverture pouvant atteindre 100 millions d’euros. Lancée durant l’été 2013, cette offre avait à l’origine été prévue avec une capacité de 25 millions, doublée une première fois la même année. « Les assureurs ont évidemment poussé le sujet cyber, mais cette progression vient aussi de très fortes attentes. Le marché français est assez mature, notamment grâce au travail de l’Anssi* ou à la récente LPM** », souligne Iouri Goloubtzoff, responsable produit Cyber chez AGCS.

Se poser les bonnes questions

De fait, le travail de valorisation et de protection de leur système d’information (SI) par le biais d’un contrat d’assurance est le corollaire naturel de la prise de conscience grandissante des professionnels en matière de cybersécurité. Le tout tient à la gestion du risque : mettre en place des solutions de sécurité est un moyen de réduire ces risques, là où « assurer son SI » revient à les transférer. Dans un cas comme dans l’autre, les entreprises doivent, dès le départ, pouvoir se poser les bonnes questions : à quelles menaces suis-je confronté ? Quels investissements consacrer pour rendre le problème moins épineux ? Concrètement, comment faire ? Or, aucune réponse juste tant que l’entreprise ne peut définir avec précision la valeur du patrimoine informationnel qu’elle veut défendre. Valeur qui sous-tendra le moindre investissement. « En matière d’assurance, les entreprises avaient l’habitude de protéger le SI matériel, c’est-à-dire le bris de machine et autres problématiques de hardware. Aujourd’hui, le SI est partout, dans toutes les business units, et n’est plus la préoccupation exclusive du département IT. Ce n’est pas un sujet unique, mais une affaire de valeur transversale pour toute l’entreprise », explique Iouri Goloubtzoff. Surtout, cette valeur réside de plus en plus dans les données et de moins en moins dans le matériel luimême. Big data et cloud sont passés par là… ScreenHunter_99 Feb. 09 14.53

Pour calculer la valeur des données, « il faut rapprocher la réflexion de celle sur l’ensemble du patrimoine immatériel de l’entreprise », conseille Vanessa Bouchara, avocate spécialisée en droit de la propriété intellectuelle. « Au même titre que la marque, le droit de création, d’auteur ou les secrets de fabrication, ce patrimoine inclut, aujourd’hui, les données de plus en plus riches et nombreuses, du client jusqu’à la R&D. » Si d’un point de vue légal, rares sont les règles à avoir changé en profondeur sur la dernière décennie, les entreprises deviennent-elles de plus en plus conscientes des enjeux. Quand bien même les projets complètement aboutis de big data restent l’apanage de seulement quelques entreprises en France, le discours est, lui, intégré depuis plusieurs années. La richesse des données, de leur analyse et leur exploitation, est une clé non seulement pour l’activité quotidienne – de la relation client à la logistique –, mais aussi un levier d’innovation formidable. L’exemple des Gafa est sur toutes les lèvres (voir l’étude de Fabernovel : « GAFAnomics, new economy, new rules »). 

Reste à traduire cette conception en actes. « La première problématique est d’avoir une connaissance saine et complète de son patrimoine », poursuit Vanessa Bouchara. La démarche est essentielle pour orchestrer sa cybersécurité, mais également dans une logique assurantielle. « L’assureur doit avoir une idée très précise du fonctionnement du SI, de son niveau de protection et de l’impact sur le business. C’est un sujet qui devient vite très technique et complexe. Chaque SI est unique », précise Iouri Goloubtzoff. 

Savoir chiffrer l’usage 

Si la connaissance et la description technique de son SI est rendu facilement possible grâce à de l’IT Services Management (ITSM) ou, encore, aux nombreuses solutions qui permettent de surveiller son réseau par exemple, la valeur à accorder à la donnée reste souvent confuse. « Le problème est qu’une donnée seule n’a pas de réelle valeur en soi, c’est l’exploitation qu’on en fait, ce que l’on construit avec, dans une optique business qui importe. Et  chiffrer une valeur d’usage est complexe », reconnaît Xavier Cangardel, associé au sein du cabinet Colombus Consulting.

Pour y arriver, l’entreprise doit déjà répondre à un enjeu culturel et organisationnel : puisque le SI est maintenant partout et que l’usage de la donnée impacte tout le monde, les réponses ne se trouveront pas (seulement) à la DSI. « Toute une génération de managers voit le SI comme la dernière roue du carrosse, cela doit absolument évoluer »,  épingle Sabine Bohnké, fondatrice du cabinet de conseil Sapientis et spécialiste de la modernisation des SI (lire ci-contre). « Les métiers ont trop souvent perdu la main sur le sens de la donnée. Or, les SI sont aussi des flux d’information dont chacun doit avoir une utilité précise et connue, qui permette  d’en déterminer la valeur ».

Cette connaissance transversale, vitale, a bien sûr une dimension technique, mais elle est surtout le fruit d’un parti pris : « Les entreprises, qui ont une vraie vision de la valeur de leur SI et de leur patrimoine informationnel, sont celles capables d’entremêler le sujet avec leur stratégie métier », explique la directrice de Sapientis. Des secteurs, comme celui de la banque, ont abordé ces approches depuis des années puisque leur activité a très tôt été entièrement liée à leur système d’information. Un destin que connaissent, aujourd’hui, toutes les entreprises, toutes activités confondues. Reste à savoir si l’évolution des mentalités pourra se faire assez rapidement pour que ce patrimoine aux contours souvent mal défini ne soit pas pillé. 

* Anssi : Agence nationale de la sécurité des systèmes d’information.

** LPM : La loi de Programmation militaire du 18 décembre 2013 inclut plusieurs articles relatifs à la cybersécurité et à la responsabilité des entreprises vis-à-vis des problèmes de leur SI.

Sabine-BOHNKE-article

Sabine Bohnké – Fondatrice du cabinet de conseil Sapientis, dédié aux systèmes d’information (SI)

L’avis de … Sabine Bohnké

Les entreprises, petites et grandes, ne sont majoritairement pas capables en 2015 d’évaluer précisément la valeur de leur SI. Les PME souffrent d’un manque de temps à consacrer au sujet, trop prises par leurs processus métiers. Le point de départ pour y parvenir serait d’éviter l’entreprise à deux vitesses, avec des décisions stratégiques prises en haut, et l’espoir que le SI s’alignera ensuite de lui-même… La PME doit adhérer à une démarche itérative. Comprendre ce que fait son SI sur un petit périmètre d’abord, puis élargir. Quelles sont les activités impactées ? Avec quelles parties prenantes ? Quels liens avec  la stratégie globale ? Refuser de rapprocher systématiquement  les aspects techniques du SI et des flux de données, de son quotidien business, c’est admettre que l’entreprise est une boîte noire. Un dirigeant ne doit pas attendre de solutions clé en main pour reprendre le contrôle. L’analyse de l’usage et de la valeur  du SI pour les métiers doit être permanente. Etre autonome  sur le sujet est le seul moyen pérenne pour éviter que le problème ne grandisse avec la croissance de l’entreprise.

 

Cet article est extrait de notre dossier Big data. Retrouvez l’intégralité du dossier ici