My IBM Se connecter
Créer une approche holistique de la protection des données

Créer une approche holistique de la protection des données

Une illustration graphique représentant la protection des données
Qu’est-ce qu’une approche holistique de la protection des données ?

Qu’est-ce qu’une approche holistique de la protection des données ?

D’après les recherches de Gartner, il est estimé que les données personnelles de 75 % de la population mondiale seront couvertes par des réglementations de confidentialité d’ici 2024¹. En tant que responsable des données, votre tâche consiste à gérer des politiques et des technologies de plus en plus complexes, ceci afin de garantir que les données sensibles sont à la fois accessibles et protégées. La protection des données est le terme générique qui englobe la confidentialité, la conformité, la sécurité et l’éthique des données. L’adoption d’une approche holistique de la protection des données et de la cybersécurité permet de se prémunir contre les cyberattaques (par exemple les ransomwares) et de maintenir la conformité réglementaire, le but étant d’éviter des amendes coûteuses, d’avoir une IA responsable et de créer une expérience utilisateur exceptionnelle.


En 2022, le coût moyen d’une violation de données a atteint 4,35 millions de dollars, un chiffre record². Sans compter les coûts cachés pour maintenir la réputation de la marque et la fidélité des clients. Les consommateurs veulent que leurs données personnelles soient protégées, et les décideurs ont réagi en adoptant de nouvelles réglementations sur la confidentialité des données. Les organisations qui ne sont pas préparées à répondre à ces nouveaux besoins de conformité des données pourraient en payer le prix fort. Avec l’apparition de nouvelles réglementations comme le RGPD, la CCPA et la LGPD, il est de plus en plus attendu des organisations qu’elles intègrent la protection holistique des données dans leur stratégie globale de gestion des données.


Cette approche ne consiste pas seulement à examiner la manière dont les données sont collectées et à en assurer la conformité et la confidentialité, il s’agit également de comprendre comment les données sensibles sont utilisées dans le monde d’aujourd’hui. Cela pousse les organisations à se poser certaines questions : est-il éthique de collecter ces données ? Que faisons-nous de ces informations ? Avons-nous fait part de nos intentions aux personnes auprès desquelles nous avons recueilli ces données ? Combien de temps et à quel endroit ces données seront-elles conservées ? Sommes-nous au fait de la gestion des risques et des progrès des logiciels malveillants ? Toute personne chargée de collecter des données, en particulier les dirigeants d’une organisation, ont tout intérêt à maîtriser le sujet.


Lire les autres chapitres
Voici watsonx Découvrez les actualités, les événements et les informations du secteur de l’IA en moins de 5 minutes
75 %

D’après les recherches de Gartner, il est estimé que les données personnelles de 75 % de la population mondiale seront couvertes par des réglementations de confidentialité d’ici 2024¹.

 

4,35 millions

En 2022, le coût moyen d’une violation de données a atteint 4,35 millions de dollars, un chiffre record².

La responsabilité commence au sommet de la hiérarchie et se répercute dans toutes nos entreprises. Lorsqu’un individu fournit ses données à IBM et que nous les gérons correctement, c’est-à-dire que nous les protégeons de manière adéquate et éthique, nous renforçons la confiance de la personne qui travaille avec nous. Neera Mathur, ingénieure émérite, directrice de la stratégie et des solutions d’ingénierie des données et de confidentialité IBM
Les piliers de la protection des données

Les piliers de la protection des données

Trois piliers clés, à savoir l’éthique, la confidentialité et la sécurité, fonctionnent de concert sous l’égide du concept de protection des données. Le but est de maintenir un cadre qui a été conçu pour s’adapter à l’évolution des réglementations et des attentes métier tout en développant l’IA de manière responsable et en préservant la confiance des utilisateurs.

 

Pilier n° 1

Éthique des données Propriété Transparence Confidentialité Intention Prévention

Les orientations culturelles de votre organisation sur la protection des données influencent la manière dont les politiques de confidentialité et de sécurité des données sont promulguées et mises en œuvre. La Harvard Business School définit « l’éthique des données » comme les obligations morales liées à la collecte, à la protection et à l’utilisation de données personnelles, ainsi que l’impact de ces actions³. Pour que vos décisions concernant les données soient judicieuses et qu’elles promeuvent une IA responsable, prenez en compte les principes d’éthique des données suivants.

Pilier n° 2

Confidentialité des données Avantages de la confidentialité des données Caractéristiques de la confidentialité des données

L’éthique des données consiste à instaurer une culture d’entreprise fondée sur des comportements et des pratiques qui respectent les principes définis dans le cadre de la gestion des données. Idéalement, cette culture de l’éthique et de la compétence en matière de données est adoptée par l’ensemble de votre organisation et se reflète dans vos produits et vos opérations. La confidentialité des données consiste à définir des politiques et des pratiques qui incarnent ces principes par le biais de personnes, de processus métier et de la technologie, et à les rendre opérationnelles tout au long du cycle de vie des données, de la collecte au stockage. Cette méthode est à la base de la création et de l’automatisation d’un cadre solide de gouvernance des données, avec une approche de type data fabric.

La gouvernance des données permet de trouver un équilibre entre la restriction de l’accès aux données (pour en garantir la confidentialité) et l’élargissement de l’accès aux données (pour en améliorer l’analyse). Pour faciliter l’utilisation des données par votre organisation tout en les protégeant contre les accès non autorisés, vous devez mettre en œuvre des outils appropriés de confidentialité des données, par exemple le contrôle de l’accès. Vous pouvez ensuite combiner ces outils à l’IA, par exemple en rendant les données sensibles anonymes (pour qu’elles puissent être utilisées sans possibilité d’identification), ou en étiquetant les données pour permettre l’application des politiques.

La mise en place de l’architecture des données adéquate (comme une data fabric) combinée à une gestion rigoureuse des données contribue à maintenir la confidentialité et la sécurité des données privées tout en permettant aux utilisateurs d’en obtenir les informations exploitables dont ils ont besoin.

« Votre cadre de protection des données doit être extrêmement élastique et très réactif afin de faire face à tout ce que les changements réglementaires, les données de tiers, les réglementations d’IA et les 25 nouveaux développements dans ce domaine quels qu’ils soient peuvent apporter de nouveau », déclare Lee Cox, vice-président des services, de la conformité et de la recherche et responsable du bureau de la confidentialité chez IBM. « Il y a beaucoup plus de synergie entre la confidentialité, l’éthique et la gouvernance des données que nous ne l’avions anticipé. Mais la technologie dont nous disposons aujourd’hui nous permet d’exploiter en toute confiance des données à grande échelle, avec beaucoup plus d’efficacité qu’auparavant. »

Pilier n° 3

Sécurité des données Rationaliser l’accès aux données Sécuriser les données pour éviter les violations Simplifier la mise en conformité

« La technologie évolue, mais les menaces aussi : elles se multiplient de manière exponentielle », explique Mehdi Charafeddine, ingénieur émérite et directeur technique mondial des services de plateforme de données chez IBM. « Heureusement, il existe des moyens de plus en plus sophistiqués d’appliquer la protection des données et d’en soutenir la confidentialité. »

Selon Gartner, la sécurité des données comprend les processus et les méthodologies associées qui protègent les actifs d’information sensibles, en transit ou au repos. C’est pourquoi elle doit surtout s’articuler autour des outils et des logiciels utilisés pour protéger la confidentialité des données : chiffrement, authentification multi-facteur, masquage, effacement ou résilience des données. Mais la mise en place de politiques et de contrôles appropriés est autant une question de culture organisationnelle que de déploiement d’applications et d’algorithmes adéquats.

D’un point de vue technologique, vous pouvez sécuriser les données grâce à une architecture de type data fabric, qui protège les données à la fois au niveau de la « porte d’entrée » (c’est-à-dire là où les utilisateurs interagissent avec les données), au niveau de l’application, au niveau la source ou « porte arrière » (où les données sont générées et stockées) et peut-être entre chacune de ces entités. Cette approche est essentielle dans la mise en place de politiques et de contrôles capables d’assurer la sécurité des données.

Un autre élément à prendre en compte est la localisation des opérations dans plusieurs zones géographiques. En raison des silos de données et de l’absence de gouvernance centralisée, il est peu probable que les data scientists puissent effectuer des analyses dans toutes les zones. Avec une data fabric, il n’est pas nécessaire d’imaginer des scénarios, de faire des simulations et de créer des modèles ». Avec ce type d’architecture, les données peuvent être fournies aux data scientists dans le respect des règles de gouvernance et de confidentialité, ce qui donne le sentiment de prendre part à une initiative inter-organisationnelle.

Afin de garantir la confidentialité et la sécurité des données (en particulier pour les données sensibles), il est essentiel d’intégrer des mesures de sécurité dans la gestion des données de bout en bout. Prenons l’exemple de la recherche médicale dans un hôpital. Il existe des cas où l’hôpital collabore avec des experts ou des data scientists tiers. Ces derniers peuvent avoir besoin de travailler sur certaines données ou applications, mais ils ne doivent pas pouvoir consulter de données réglementées ou de données personnelles. Les politiques de données automatisées basées sur les rôles peuvent permettre à différentes parties de collaborer tout en protégeant la confidentialité et la conformité des données au niveau des applications. Parallèlement, dans le cadre d’une IA responsable, ces données doivent être protégées à la source, là où elles sont stockées, par exemple dans la base de données sur site où elles ont été collectées à l’origine. En l’absence de cette configuration, les informations des patients sont vulnérables à tout cybercriminel qui parviendrait à s’infiltrer dans ces systèmes.

Lorsque la sécurité des données est assurée correctement, elle englobe les personnes, les processus et la technologie et renforce la confiance dans l’IA. Découvrez les bonnes pratiques suivantes pour faire de la sécurité de l’information une priorité dans tous les domaines de votre entreprise.

Où commence la protection des données ?

Où commence la protection des données ?

Commencez à développer votre stratégie de protection des données en suivant ces 6 étapes : 1 Mobiliser l’équipe dirigeante

La mise en place d’une bonne stratégie de protection des données nécessite l’adhésion de l’ensemble de l’organisation, et cette adhésion commence par le soutien de la direction.

2 Rassembler les décideurs

Mettez en place des comités stratégiques dédiés à la protection des données. Cette étape est une occasion donnée à vos cadres supérieurs de montrer leur engagement. Par exemple, chez IBM, au niveau des vice-présidents seniors, le comité consultatif sur la confidentialité et le comité d’éthique orientent la politique et créent un sentiment de mission autour de la protection des données. « Cela nous permet de valider notre stratégie et constitue un accélérateur très puissant pour la prise de décision et l’influence dans l’ensemble de l’entreprise », explique M. Cox.

3 Encourager la collaboration

Les comités stratégiques doivent se réunir régulièrement pour élaborer et valider leur stratégie en matière de protection des données. Avec ce processus, les initiatives qui promeuvent les compétences en matière de données restent au cœur de la protection des données et des objectifs métier. Christopher Giardina, architecte de data fabric chez IBM, spécialisé dans la gouvernance et la confidentialité des données, explique que l’un des meilleurs modèles de collaboration est celui qui fait interagir le bureau central des données, le bureau du PDG et le bureau central de la confidentialité.

4 Donner les moyens d’agir aux différentes unités de services

Encouragez les dirigeants de votre organisation à devenir un relais du modèle opérationnel de protection des données. Avec des comités stratégiques appropriés, une politique centralisée de protection des données et les services de formation et technologiques adéquats, les unités de services et les départements commerciaux peuvent travailler ensemble pour atteindre les objectifs de la stratégie de protection des données.

5 Unifier la stratégie

Un cadre mature de protection des données aligne l’organisation par le biais du changement de culture, et il rassemble les divisions et les unités disparates dans une stratégie de données unifiée. Si le directeur des données, le directeur des achats et le DSI peuvent attester des avantages concurrentiels de la protection des données, vous serez en mesure d’élaborer une étude de rentabilité qui explique comment la confiance et la transparence ont la capacité d’augmenter le chiffre d’affaires. « Au niveau de l’entreprise, cela signifie simplement qu’il faut briser les silos traditionnels », explique M. Cox.

6 Automatiser la gouvernance

Pour assurer la protection et la confidentialité des données à grande échelle, les organisations doivent mettre en place un cadre de gouvernance dans lequel les données sont à la fois accessibles et protégées. Une architecture de type data fabric fournit les méthodes dont votre organisation a besoin pour automatiser la gouvernance et la confidentialité des données et en maintenir la résilience, quoi qu’il arrive.

Une question de confiance

Une question de confiance

Lorsque les utilisateurs comprennent le fonctionnement de la technologie et ont le sentiment qu’elle est sûre et fiable, ils sont beaucoup plus susceptibles de lui faire confiance. Prenons l’exemple du workflow mis au point par IBM qui permet de prédire avec précision la réaction (positive ou négative) des patients à un médicament contre le syndrome du côlon irritable dans 95 % des cas. En combinant les données des patients atteints de ce syndrome et des techniques d’IA explicables pour étudier les réactions aux médicaments, l’ensemble d’algorithmes ainsi créé a montré qu’il était possible d’exploiter concrètement les données sur le syndrome et de comprendre, prédire et expliquer comment les personnes qui en souffrent peuvent réagir aux différents médicaments disponibles sur le marché, ainsi qu’aux médicaments en cours de développement.

Lire le blog IBM Research
Un parcours continu pour la protection des données et des initiatives d’IA

Un parcours continu pour la protection des données et des initiatives d’IA

Une approche holistique de la protection des données ne peut pas être mise en place puis immédiatement oubliée. Il s’agit d’un parcours continu et itératif qui évolue en fonction des lois et des réglementations, des besoins des entreprises et des attentes des clients. Sachez que vos efforts en valent la peine. Vous faites de votre stratégie de données un facteur de différenciation concurrentielle inscrit au cœur d’une organisation axée sur les données.

En fin de compte, la protection des données est une composante essentielle de la confiance que vous devez susciter. En mettant en place une stratégie de données éthique, durable et adaptative, qui garantit la conformité et la sécurité dans un environnement de données qui évolue sans cesse, votre organisation est en bonne voie pour devenir un leader du marché.

 

Par où commencer ?

Par où commencer ?

Apprenez à construire une base de données solide pour mettre à l’échelle et gouverner l’IA d’entreprise.

Lire le nouveau chapitre
 
Étapes suivantes
Lire les autres chapitres Sécuriser vos données

En savoir plus sur les capacités d’IBM tout au long du cycle de vie de la sécurité des données.​

 

Découvrir la solution
Parlons-en

Demander une session de stratégie en matière d'IA.

Prendre rendez-vous
Télécharger le rapport

Coût d'une violation de données en 2023

S’inscrire pour recevoir les dernières informations
Notes de bas de page

¹ Gartner Identifies Top Five Trends in Privacy Through 2024 (lien externe à ibm.com), communiqué de presse, Gartner, 31 mai 2022.
² Cost of a Data Breach Report 2022 un rapport Ponemon Institute sponsorisé par IBM Security, juillet 2022.
³ 5 Principles of Data Ethics for Business, blog Business Insights (lien externe à ibm.com), Harvard Business School Online, 16 mars 2021.
⁴ Americans and Privacy: Concerned, Confused and Feeling Lack of Control Over Their Personal Information (lien externe à ibm.com), Pew Research Center, 15 novembre 2019.