1. Blog
  2.   RPA

Améliorer la protection des données grâce au Process Mining

 

Auteur

 

Daliya Khussainova Janvier 14, 2021

Améliorer la protection des données grâce au Process Mining

Tentez de répondre à cette question de façon instinctive : combien de fois par semaine, voire par jour, partagez-vous des informations vous concernant ? Si vous vous mettez à réfléchir au nombre de fois où vous renseignez votre adresse email sur différents sites web ou que vous entrez d’autres informations personnelles via d’autres canaux, vous vous apercevrez vite que ce nombre est en réalité plus élevé que ce que vous pensiez.

 

Aujourd’hui, votre sécurité numérique en ligne revêt autant d’importance que le verrouillage de votre porte d’entrée le soir : en d’autres termes, toutes les entreprises doivent faire leur maximum pour intensifier leurs efforts en matière de sécurité.

 

Nouvelles réglementations, nouvelle priorité à la cybersécurité

 

À l’heure qu’il est, nombre de gouvernements et d’industries se consacrent à l’élaboration de nouvelles législations et réglementations destinées à protéger les données des citoyens et des consommateurs. À titre d’illustration, l’Union européenne a récemment adopté le Règlement général sur la protection des données (RGPD) en vue d’instaurer un meilleur contrôle sur la protection des données des citoyens de l’UE. Menacées d’amendes potentiellement colossales, les entreprises ont dû, quels que soient le pays et la taille, inventer de nouvelles stratégies pour observer les exigences de protection des données du RGPD.

 

Une telle attention à la cybersécurité nous a conduits au scénario actuel, où presque chaque nouvelle mise en œuvre logicielle impose désormais une évaluation poussée sur le plan de la sécurité. La priorité est très claire : il est question de prévenir les violations de données et la perte de données confidentielles sur les clients, les employés et l’entreprise. Dans un milieu où les solutions de cybersécurité spécialisées et les applications de niche sont innombrables, il est important de s’assurer que les systèmes d’entreprise et les solutions de gestion des processus métiers (BPM), dont fait partie le process mining, soient sécurisés.

 

Cet article de blog s’attache à présenter le concept de processus mining (ou « fouille des processus ») et à examiner plus précisément les aspects de sécurité à considérer lors du lancement d’une initiative de processus mining.

 

Le Process Mining, qu’est-ce que c’est ?

 

Technologie innovante, le Process Mining permet de bâtir un processus visuel fiable à partir des activités numériques d’une entreprise. Prenons un exemple : les employés et les robots logiciels interagissant avec les systèmes IT d’entreprise, ces derniers enregistrent les activités correspondantes. Le processus mining rassemble alors ces données dans un journal d’événements, avant de créer de nouvelles visualisations de l’ensemble du processus.

 

En examinant un processus donné grâce à un outil de processus mining, l’utilisateur acquiert une perspective totalement inédite et de nouveaux éclairages précieux. Résultat ? Il en retire les enseignements nécessaires au perfectionnement des processus existants et de la prise de décision. Plus précisément, les entreprises peuvent dorénavant employer le processus mining pour renforcer leurs efficiences internes et réduire leur complexité. Ces étapes sont toutes deux critiques pour donner les moyens à l’organisation d’améliorer son approche de la cybersécurité.

 

Il convient par ailleurs d’ajouter que, le processus mining pouvant être confié à un tiers, ayant généralement accès aux informations de la société pendant le déroulement du processus, il est recommandé de privilégier les prestataires proposant des produits et des processus sécurisés.

 

Les équipes doivent également prendre soin de protéger les informations sensibles à chaque étape du parcours, même là où cette exigence ne va pas de soi. Les outils de processus mining sont en effet capables de révéler le contenu de la mission d’un employé dans ses moindres détails : si un travailleur n’intervient pas à haut niveau, ces données doivent donc être chiffrées. Ce faisant, le supérieur de l’employé demeure le seul à visualiser ces informations et peut travailler avec son subordonné pour en faire progresser les résultats.

 

Process Mining_UiPath

 

Protection par conception (« Security by design")

 

Avant de chercher à se servir du process mining pour consolider la cybersécurité (ou un autre processus), les utilisateurs doivent réfléchir au besoin de transparence et à la manière d’optimiser au mieux les flux de travail et d’autres résultats. Plus particulièrement, ils doivent s’interroger sur :

  • Les données dont ils auront besoin
  • Le mode d’extraction de ces données
  • Les moyens de s’assurer que ces données sont protégées et satisfont aux obligations de conformité à chaque étape du processus

Le process mining allant de pair avec la manipulation des informations de l’entreprise, il est parfois problématique de protéger la vie privée de toutes les parties prenantes sous contrôle. Le défi n’apparaît que plus grand lorsqu’on sait que les données d’entreprise renferment des informations personnellement identifiables (IPI) sur des employés et des consommateurs (noms, adresses, services, ID d’utilisateur, parmi tant d’autres).

 

Le principe de protection par conception repose sur la recherche d’un équilibre entre la mise à disposition de données transparentes et la protection de la vie privée des parties prenantes. Cette approche d’ingénierie encourage les prestataires technologiques à faire passer la protection de la vie privée avant toute chose. Il s’ensuit qu’une démarche de protection par conception digne de ce nom doit traiter la protection de la vie privée de manière proactive et préventive avant de se porter sur des considérations relatives à un autre flux de travail, processus ou capacité.

 

 

Protection de la vie privée : les décisions qu’il faut prendre avec le process mining

 

Pour qu’un nouveau processus n’entre pas en conflit avec les politiques de protection des données personnelles et respecte les obligations voulues, plusieurs points méritent d’être soulignés :
  • Accès aux données brutes: en premier lieu, penchez-vous attentivement sur le processus d’extraction de données tout entier, que l’opération porte sur le système IT ou sur l’entrepôt de données de l’entreprise. L’équipe de mise en œuvre de la fouille de processus doit avoir accès à ces données d’entreprise, afin de pouvoir d’abord extraire ce qui compte le plus pour l’analyse. Il est donc important que l’entreprise sélectionne les renseignements auxquels elle donnera accès en vue d’une analyse ultérieure, sachant que cette sélection permettra aussi d’accélérer et de simplifier la mise en œuvre globale.
  • Choisir la bonne stratégie: filtrer, pseudonymiser ou anonymiser les données. Après quoi, l’équipe chargée de la fouille de processus doit s’atteler à la traduction des données brutes. Elle peut convertir ces informations en termes complets et développer un format adapté à la fouille de processus. Les données sont alors regroupées pour dresser des tableaux de bord, qui seront exploités par l’équipe afin de savoir sur quelles fonctions se focaliser.
  • À ce stade, on distingue trois choix de gestion des informations personnelles : filtrage, anonymisation, et pseudonymisation.
  • Filtrage: l’entreprise a parfois besoin de suivre des informations qui ne sont pas nécessaires à l’analyse de processus particuliers. Dans ce cas, l’équipe recommandera simplement de les supprimer. Si les données sont sensibles et n’influencent pas l’issue de l’analyse opérationnelle, les utilisateurs peuvent les effacer, sachant que seules importent les données valables et pertinentes.
  • Pseudonymisation: c’est le procédé le plus couramment employé pour traiter les données sensibles. Pour faire simple, il s’agit d’un moyen de chiffrement des informations permettant d’éviter que les utilisateurs ne les corrèlent à des noms, des adresses ou d’autres IPI réelles.
  • Dans ce cas, l’équipe peut choisir de remplacer toute IPI par un pseudonyme chaque fois que cela est possible. Par exemple, si l’entreprise ne souhaite pas que les analystes consultent les noms des employés exécutant des tâches liées au processus, l’équipe a la possibilité d’en remplacer les noms par des chiffres. Seuls les utilisateurs sélectionnés seront à même d’accéder au tableau des « traductions » permettant d’identifier les noms véritables.
  • Anonymisation: c’est une procédure presque identique à celle de pseudonymisation, par laquelle l’équipe remplaçait des IPI par un pseudonyme unique. Mais cette fois, l’opération se fait sans tableau de traduction. Les données d’origine sont ainsi sécurisées puisqu’une ré-anonymisation est impossible. De cette façon, les utilisateurs non autorisés ne peuvent pas identifier les informations confidentielles des individus à l’aide des données disponibles.

Une remarque à ce sujet : l’anonymisation des données peut compliquer l’analyse des processus, surtout si l’entreprise sur-sécurise les données au point de faire perdre toute utilité aux éclairages finaux.

 

Accès aux données finalisées

 

Lorsque les données sont prêtes et considérées comme définitives, le moment est venu de s’intéresser aux moyens permettant d’y accéder dans le nouveau contexte. Il appartient pour cela à l’équipe de fouille de processus de déterminer les utilisateurs métiers autorisés à avoir accès aux tableaux de bord, graphiques de processus, rapports et autres informations.

 

Les outils de fouille de processus les mieux adaptés, tels que UiPath Process Mining, constituent de précieux outils en libre-service qui donnent accès aux équipes IT tout en laissant la responsabilité et le contrôle aux utilisateurs professionnels. Les deux groupes peuvent travailler indépendamment vers un objectif commun : obtenir de nouveaux éclairages sur les processus existants.

 

Envie d’en savoir plus sur le process mining? Regardez notre vidéo sur UiPath Process Mining ou téléchargez dès maintenant notre livre blanc, Accélérer la RPA avec compréhension et suivi des processus de bout en bout (en anglais).

 

 

image RWF The fun continues

 

 

Les sujets:

process mining uipath process mining

Autres articles