La protection de vos données en ligne est tout aussi importante que le verrouillage de votre porte d’entrée la nuit.
Essayez de répondre instinctivement à cette question :
À quelle fréquence partagez-vous des informations vous concernant au cours d’une semaine ou d’une journée ? Vous constaterez bientôt que ce nombre est en fait plus élevé que vous ne le pensez, compte tenu de la fréquence à laquelle vous saisissez des informations personnelles, etc.
Protection de vos données : la réglementation doit vous aider
De nombreux gouvernements et industries s’affairent aujourd’hui à élaborer de nouvelles lois et réglementations pour la protection de vos données de citoyens et consommateurs. Par exemple, l’Union européenne a récemment adopté le règlement général sur la protection des données (RGPD), donnant aux citoyens de l’UE un meilleur contrôle sur leur vie privée. Avec des amendes potentiellement lourdes, les entreprises de toutes tailles et de tous pays ont dû concevoir de nouvelles stratégies pour se conformer aux exigences de protection des données du RGPD.
Cet intérêt pour la cybersécurité a créé le scénario actuel où presque chaque nouvelle implémentation de logiciel nécessite une évaluation de sécurité complète. Les priorités sont claires. Il est primordial d’empêcher les violations de données et la perte de données sensibles sur les clients, les employés et l’entreprise. Dans un environnement avec une myriade de solutions de cybersécurité spécialisées et d’applications de niche, il est essentiel de s’assurer que les systèmes d’entreprise et les solutions de gestion des processus métier (BPM) impliquant l’exploration de processus sont protégés.
Cet article est destiné à introduire le concept de « process mining » et à approfondir les problèmes de sécurité à prendre en compte lors du démarrage d’une initiative de process mining.
Définition du process mining
Le Process Mining est une technologie révolutionnaire qui vous permet de construire des processus visuels fiables à partir des activités numériques de votre entreprise. Prenons un exemple.
employés et robots logiciels interagissent avec les systèmes informatiques de l’entreprise, ces derniers enregistrant les activités correspondantes. Le processus d’exploration collecte ensuite ces données dans un journal des événements avant de créer une nouvelle visualisation de l’ensemble du processus.
L’utilisation d’un outil d’exploration de processus pour examiner un processus particulier peut donner aux utilisateurs une toute nouvelle perspective et des informations précieuses. Résultat ? Apprenez les leçons dont vous avez besoin pour améliorer vos processus existants et vos processus décisionnels. En particulier, les entreprises peuvent désormais utiliser le process mining pour augmenter l’efficacité interne et réduire la complexité. Ces deux étapes sont importantes pour permettre aux organisations d’améliorer leur approche de la cybersécurité.
Étant donné que le processus de minage peut généralement être sous-traité à des tiers qui ont accès aux informations de l’entreprise pendant le processus, il est conseillé de privilégier les prestataires de services qui proposent des produits et des processus sécurisés.
Les équipes doivent veiller à protéger les informations sensibles à toutes les étapes du voyage, mais cette exigence n’est pas anodine. En fait, les outils d’exploration de processus peuvent révéler les détails de l’engagement des employés.
Ces données doivent être cryptées à moins qu’un employé n’intervienne à un niveau supérieur. Seul le responsable de l’employé a accès à ces informations, ce qui lui permet de travailler avec ses subordonnés pour générer des résultats.
Protection de vos données : le concept de « security by design »
Avant de chercher à se servir du process mining pour consolider la cybersécurité (ou un autre processus), les utilisateurs doivent réfléchir au besoin de transparence et à la manière d’optimiser au mieux les flux de travail et d’autres résultats. Plus particulièrement, ils doivent s’interroger sur :
- Les données dont ils auront besoin
- Le mode d’extraction de ces données
- Les moyens de s’assurer que ces données sont protégées et satisfont aux obligations de conformité à chaque étape du processus
Le process mining allant de pair avec la manipulation des informations de l’entreprise, il est parfois problématique de la protection de vos données. Le défi n’apparaît que plus grand lorsqu’on sait que les données d’entreprise renferment des informations personnellement identifiables (IPI) sur des employés et des consommateurs (noms, adresses, services, ID d’utilisateur, parmi tant d’autres).
Le principe de « security by design » repose sur la recherche d’un équilibre entre la mise à disposition de données transparentes et la protection de vos données. Cette approche d’ingénierie encourage les prestataires technologiques à faire passer la protection de la vie privée avant toute chose. Par conséquent, une approche significative de la protection de la conception doit aborder la protection des données de manière proactive et préventive avant de passer à d’autres considérations de flux de travail, de processus ou fonctionnelles.
Protection de vos données : les décisions qu’il faut prendre avec le process mining
Quelques points doivent être soulignés pour s’assurer que le nouveau processus n’entre pas en conflit avec les politiques de protection de vos données personnelles et respecte les obligations nécessaires.
- Systèmes informatiques ou entrepôts de données d’entreprise. L’équipe de mise en œuvre de l’exploration de processus doit avoir accès à ces données commerciales afin de pouvoir extraire initialement les données les plus pertinentes pour l’analyse. Par conséquent, il est important que les entreprises soient sélectives quant aux informations auxquelles elles souhaitent accéder pour une analyse ultérieure. Nous savons également que ce choix rend la mise en œuvre globale plus rapide et plus simple.
- Choisissez la stratégie appropriée : Filtrez, pseudonymisez ou anonymisez les données. Après cela, l’équipe de Process Mining devrait commencer à traduire les données brutes. Nous pouvons traduire ces informations en termes génériques et développer des formats adaptés au process mining. Ensuite, regroupez les données dans des tableaux de bord pour aider votre équipe à comprendre sur quelles fonctionnalités se concentrer.
- A ce stade, vous disposez de trois options pour gérer vos données personnelles : filtrage, anonymisation et pseudonymisation.
- Filtrage : Les entreprises peuvent avoir besoin de suivre des informations qui ne sont pas nécessaires à l’analyse d’un processus particulier. Dans ce cas, l’équipe recommande simplement de les supprimer. Si les données sont sensibles et n’affectent pas les résultats de l’analyse opérationnelle, seules les données valides et pertinentes sont considérées comme importantes et les utilisateurs peuvent les supprimer.
- Pseudonymisation : C’est la méthode la plus couramment utilisée pour traiter les données sensibles. En termes simples, il s’agit d’une méthode de brouillage des informations afin qu’elles ne soient pas associées au nom, à l’adresse ou à d’autres informations personnelles authentiques d’un utilisateur.
- Dans ce cas, l’équipe peut choisir de remplacer le IPI par un pseudonyme si possible. Par exemple, si une entreprise ne souhaite pas que les analystes voient les noms des employés effectuant des tâches liées aux processus, l’équipe a la possibilité de remplacer les noms par des chiffres. Seuls les utilisateurs sélectionnés peuvent accéder à la table ‘Traductions’ pour déterminer les vrais noms.
- Anonymisation : C’est à peu près le même processus que la pseudonymisation où les équipes remplacent les données personnelles par un pseudonyme unique. Cependant, cette fois, l’opération est effectuée sans table de traduction. Les données d’origine sont protégées car la ré-anonymisation n’est pas possible. Cela empêche les utilisateurs non autorisés d’identifier des informations personnelles sensibles sur la base des données disponibles.
Une note à ce sujet :
L’anonymisation des données peut compliquer l’analyse des processus. Surtout lorsque l’organisation garde les données si étroitement sécurisées que les conclusions finales ne sont pas pertinentes.
