Introduction : rappel sur l’intégrité des données
Assurer l’intégrité des données correspond à la capacité de garantir l’exhaustivité, la précision, l’exactitude et la validité des données durant tout leur cycle de vie. Cette démarche rend compte du cycle de vie de la donnée et des altérations fortuites ou intentionnelles que la donnée a pu subir.
De nombreux documents officiels font référence à la notion d’intégrité des données. Voici quelques-unes des définitions proposées :
- Selon la norme ISO/CEI 27000:2016, qui a ensuite été révisée par ISO/IEC 27000:2018 « l’intégrité est la propriété d’exactitude et de complétude ».
- Le Référentiel Général de Gestion des Archives définit l’intégrité comme la « qualité d’un document ou d’une donnée qui n’a pas été altéré. Dans le monde numérique, un document ou une donnée est réputé intègre si son empreinte à un temps t+1 est identique à l’empreinte prise à un temps t. »
- Selon l’Instruction Générale Interministérielle n°1300, c’est la « propriété assurant qu’une information ou un traitement n’a pas été modifié ou détruit de façon non autorisée »
Préserver l’intégrité des données signifie donc que les informations transmises ou stockées resteront fiables, cohérentes, exactes, vérifiables quels que soient leur durée de conservation et leur usage. C’est l’une des dimensions de la Gouvernance des Données.
De manière pratique, derrière la notion d’intégrité des données, il y a de nombreuses questions : « Savez-vous qui effectue des modifications sur vos données ? Etes-vous capable d’identifier tous les changements qui ont impacté vos données ? Comment pouvez-vous prouver à des tiers que vos données n’ont pas été altérées ? Comment garantissez-vous à chaque instant que vos données soient fiables et valides ? »
L’intégrité des données est fondamentale pour maintenir la précision, l’exhaustivité, la validité et la confiance vis-à-vis des données au cours de leur cycle de vie. Chez Blueway, nous considérons que c’est un pilier essentiel de la gouvernance des données.
Edouard Cante – DGA Produit chez Blueway
Cet article traitera de l’intégrité des données stockées sur des supports numériques. En effet l’intégrité des données peut aussi concerner des supports papier par exemple. De même on se concentrera sur l’intégrité logique plutôt que sur l’intégrité physique.
Il y a plusieurs types d’intégrité logique : intégrité de l’entité, intégrité référentielle ou de relation, intégrité de domaine et l’intégrité définie par l’utilisateur (c’est-à-dire selon des règles spécifiques que les trois autres types d’intégrité ne couvrent pas).
Comment améliorer la qualité et la traçabilité de vos données au cœur de votre SI ?
Quels types de données numériques sont concernés ?
L’intégrité concerne tous les types de données numériques. De manière générale, on retrouve en particulier deux grandes catégories :
- Les fichiers : documents bureautiques, vidéos, images… mais aussi les fichiers liés à l’exploitation des logiciels et du SI comme les journaux d’événements ou les fichiers de configurations ainsi que les programmes informatiques.
- Les données au sein des bases de données, aussi bien métier que technique
Le concept d’intégrité des données au sein des normes sectorielles
De nombreuses normes sectorielles font référence, directement ou non, à la notion d’intégrité des données. En voici quelques exemples :
- 21 CFR Part 11 est une réglementation de la FDA (Food and Drug Administration) qui définit les critères sous lesquels les enregistrements électroniques et les signatures électroniques sont considérés comme fiables, authentiques et équivalents aux documents papier et aux signatures manuscrites dans le contexte réglementaire.
- HIPAA (Health Insurance Portability and Accountability Act), une loi américaine, inclut des dispositions pour protéger la sécurité et la confidentialité des informations de santé. Elle définit des standards pour assurer que les données de santé restent intactes et non altérées pendant leur stockage ou transfert.
- PCI DSS (Payment Card Industry Data Security Standard) est un ensemble de normes de sécurité pour les entreprises qui acceptent, traitent, stockent ou transmettent des informations de carte de crédit. Cette norme aide à garantir l’intégrité et la protection des données de paiement.
- EBA Guidelines on ICT and Security Risk Management visent les institutions financières, en exigeant d’elles qu’elles mettent en place des mesures robustes pour gérer les risques liés aux TIC et garantir la sécurité des données.
- Et bien sûr, le secteur pharmaceutique fait parti des premiers concernés et mérite un focus spécifique !
Focus sur l’intégrité des données dans le système qualité pharmaceutique
L’intégrité des données concerne tous les secteurs d’activité. Bien sûr, les exigences seront d’autant plus fortes que le secteur gérera des données critiques avec des impacts financiers, humains ou stratégiques : l’industrie pharmaceutique est donc parmi les premiers secteurs concernés ! L’intégrité des données y est une contrainte légale forte.dv
- En France : l’annexe 11 du Guide des Bonnes Pratiques de Fabrication de l’ANSM (Agence Nationale de Sécurité du Médicament et des produits de santé) sur les systèmes informatisés fait référence à l’intégrité des données : contrôles intégrés pour garantir l’exactitude et la sécurité des entrées et des traitements de données, contrôle d’exactitude sur les données, intégrité des données sauvegardées et archivées, traçabilité des modifications… Il est clairement indiqué que le management du risque doit prendre en compte l’intégrité des données.
- Aux Etats-Unis : la FDA (Food and Drug Administration) accorde aussi une place critique à l’intégrité des données. C’est une exigence primordiale du système qualité pharmaceutique défini dans les GMP (Good Manufacturing Practices). L’acronyme ALCOA pour Attributable, Legible, Contemporaneous, Original et Accurate est utilisé pour définir les cinq qualités nécessaires pour maintenir l’intégrité des données. Les principes initiaux d’ALCOA ont été complétés par ALCOA+ avec « Complete », « Consistent », « Enduring » et « Available ». Les données doivent ainsi être attribuables, lisibles, contemporaines, originales, pertinentes, complètes, cohérentes, durables et disponibles.
MDM versus PIM : frères ennemis ou dream team ?
Qu’est-ce qu’un défaut d’intégrité sur les données ? Quelles sont ses causes et ses conséquences ?
Un défaut d’intégrité correspond à une altération ou une destruction des données. L’impact peut être immédiat ou non et va au-delà de la perte de qualité des données. Si dans certaines situations le défaut peut n’avoir aucun impact comme par exemple dans le cas un document conservé à titre d’archivage légal, dans d’autres les conséquences peuvent être très graves !
Les causes courantes d’altération des données
- Les tentatives de fraudes internes, les nuisances externes (ex : cybercrime), les virus informatiques
- Les défaillances techniques du Système d’Information (ex : un bug dans une application qui supprime la mauvaise donnée, une validation inadéquate…)
- Les erreurs lors des transferts d’informations ou des réplications
- Les erreurs humaines de saisie, d’exploitation ou de manipulation
- Les risques matériels (incendie, panne…)
Les conséquences des défauts d’intégrité des données
Ces causes peuvent entrainer la création d’enregistrements inexacts ou incomplets, l’antidatation d’informations, la fabrication de données incohérentes, l’élimination de données, la détérioration des informations… Et débouchent sur des risques pour l’entreprise :
- Prise de décisions stratégiques sur des données non fiables et erronées
- Perte de productivité et perte de temps et d’argent pour corriger les erreurs, identifier leurs causes, répondre au manque de confiance, etc.
- Sanctions légales
- Déficit d’image de marque
Quels sont les principes et bonnes pratiques à suivre pour assurer l’intégrité des données ?
Protéger l’intégrité des données implique de pouvoir identifier les modifications anormales de données et, si nécessaire, de retrouver une version des données antérieure. Il s’agit aussi de pouvoir prouver que les données n’ont pas été modifiées.
Si la sécurité des données est l’une des facettes permettant d’assurer leur intégrité (la « protection »), ce n’est que l’une d’elles ! Il ne faut pas confondre les deux. La gestion des systèmes d’information, le pilotage des flux entre les outils informatiques ou les mécanismes de détection de fraudes sont tout aussi importants.
Ainsi, garantir l’intégrité des données requiert de :
- Fiabiliser la collecte des données. Toute entrée doit être vérifiée et validée et être cohérente avec le dictionnaire de données.
- Contrôler les permissions et les droits d’accès et de modification
- Centraliser et garantir l’unicité de vos bases de données. L’intégrité repose aussi sur le fait que l’information qui est utilisée est la bonne !
- Surveiller toutes les modifications effectuées sur les données (ajout, suppression, modification…) et disposer d’un historique complet et non-falsifiable.
- Assurer la sauvegarde les données et la capacité à restaurer des informations
- Réaliser de manière périodique des audit trails : écrasement de données, traitements interrompus, tests de conformité, suppression de données, antidatage, modifications…
- Former, préparer et impliquer le personnel ! Le maillon humain est souvent le plus critique. Il faut documenter les procédures, définir les règles et les obligations, faire comprendre les enjeux… Les fournisseurs et les partenaires ont aussi leur rôle à jouer dans la chaine d’intégrité des données. Il faut définir avec eux les responsabilités, les contrôles à mener et préciser les processus de communication et leur matérialisation informatique.
Prévenir les risques liés à l’intégrité des données commence bien avant la détection d’une altération. Cela nécessite une approche proactive de pilotage et de supervision des données, en intégrant une approche Security by Design de son architecture IT. »
Edouard Cante – DGA Produit chez Blueway
Retours d’expérience sur la mise en place de solutions MDM (Master Data Management)
Gouverner les données pour garantir leur intégrité
L’intégrité des données désigne aussi bien un état qu’un processus. Nous sommes convaincus chez Blueway qu’elle repose sur la complémentarité entre les différentes dimensions de l’échange de données afin d’assurer leur gouvernance : les référentiels, les processus ainsi que la circulation des informations entre les applications internes et externes du SI. L’adhérence des processus au Système d’Information n’est pas une option pour contrôler l’exactitude, la traçabilité ou l’évolution des données pendant tout leur cycle de vie !
Nous accordons aussi une place importante à la dimension humaine. La rupture entre les besoins des utilisateurs et les solutions informatiques sont une des sources de défaut d’intégrité (solution palliative, problème de sécurité…).
De plus, la traçabilité et la non-répudiation des modifications ne suffisent pas toujours à préserver l’intégrité des informations au sein de la base de données. Il est toujours possible à quelqu’un disposant des droits d’aller directement dans la base de données pour supprimer ou modifier des éléments. La non-falsifiabilité est aussi essentielle, et c’est pour cela que Blueway innove avec l’association entre blockchain, Master Data Management et bus applicatif au sein de sa Data Platform Phoenix !
Notre plateforme d’échange de données et d’automatisation des processus participe ainsi directement, chez de nombreux clients et organisations faisant face à de forts risques et contraintes réglementaires (secteurs pharmaceutique, bancaire, industriel, retail…), à garantir l’intégrité de leurs données.
Envie d’en savoir plus et de partager des retours d’expérience sur l’utilisation de Phoenix au sein d’entreprises de votre secteur d’activité ? Discutons-en !
Echangez sur vos problématiques de qualité de données avec un expert Blueway !
