Qu’est-ce que le CDMC ? Guide pratique du framework de gestion des données dans le cloud
Le CDMC offre aux entreprises un framework spécifiquement conçu pour le cloud, qui permet de contrôler les données sensibles, d’en évaluer la maturité et de traduire les exigences de gouvernance en contrôles techniques mesurables. Ce guide présente le framework, ses 14 contrôles et la manière dont vos équipes peuvent le mettre en pratique.
- Qu’est-ce que le framework CDMC ?
- Les 6 domaines de compétences du framework de gouvernance des données CDMC
- Implémenter le CDMC avec Snowflake
- Le CDMC rend les contrôles cloud mesurables
- Ressources
Les environnements cloud ont transformé la gestion des données. Les données traversent désormais les frontières géographiques, les identités sont fédérées, les capacités de stockage et de calcul évoluent indépendamment, et les décisions d'accès s'appuient de plus en plus sur des API, des règles de gouvernance et des métadonnées qui nécessitent une évaluation continue plutôt qu'une simple vérification après coup.
Le framework de gestion des données dans le cloud (CDMC, pour Cloud Data Management Capabilities) aide les organisations à évaluer et améliorer la façon dont elles gèrent et contrôlent les données dans les environnements cloud, multi-cloud et cloud hybride.
Qu’est-ce que le framework CDMC ?
Le CDMC est un framework d’évaluation et de certification fondé sur de bonnes pratiques. Il a été développé par le CDMC Working Group, avec la participation de plus de 300 personnes issues de plus de 100 organisations. Les premiers contrôles CDMC ont été publiés en 2021. Il est mis à disposition par l'EDM Council sous licence gratuite pour un usage interne.
Le CDMC se distingue des frameworks tels que DAMA-DMBOK ou DCAM. DAMA-DMBOK constitue un corpus de connaissances sur la gestion des données en tant que discipline, tandis que DCAM évalue les capacités de gestion des données à l’échelle de l’entreprise. Le CDMC reconnaît l’importance de ces fondements, mais recentre l’analyse sur les contrôles nécessaires pour gouverner les données sensibles dans les environnements cloud, où l’automatisation, l’application des politiques et la collecte continue de preuves font partie intégrante de la conception, et non d’une couche optionnelle ajoutée a posteriori.
Dans sa structure fondamentale, le CDMC s’articule autour de 14 contrôles et automatisations clés, répartis en 6 domaines :
- Gouvernance et responsabilité
- Catalogage et classification
- Accessibilité et usage
- Protection et confidentialité
- Cycle de vie des données
- Architecture des données et architecture technique
Ce framework est conçu de sorte que chaque contrôle puisse être documenté et évalué. C’est pourquoi il est utile non seulement comme référence de gouvernance, mais aussi comme modèle d’évaluation pratique pour les programmes cloud qui doivent démontrer où la couverture des contrôles existe et où elle fait défaut.
Le framework est également délibérément neutre vis-à-vis des prestataires, ce qui le rend pertinent dans tous les secteurs et dans les environnements cloud, multi-cloud et hybrides. Les principaux fournisseurs et prestataires de l’écosystème ont publié leurs propres guides d’implémentation ou supports d’évaluation en regard des contrôles.
Les 6 domaines de compétences du framework de gouvernance des données CDMC
Les 14 contrôles sont plus faciles à appréhender lorsqu’on les examine à travers les 6 domaines opérationnels qu’ils soutiennent collectivement :
- Gouvernance et responsabilité couvre le plan de contrôle fondamental : conformité du contrôle des données, propriété, sources de données faisant autorité et points de provisionnement, ainsi que la souveraineté des données et les mouvements transfrontaliers. Une équipe doit être en mesure d’indiquer qui est propriétaire d’un actif sensible, quelle en est l’origine, comment la conformité est surveillée et si les mouvements juridictionnels sont gouvernés et auditables.
- Catalogage et classification couvre la question de savoir si les données sensibles sont cataloguées et classifiées automatiquement lors de leur création ou ingestion, et si ce processus reste homogène d’un environnement à l’autre. C’est l’un des exemples les plus parlants de l’orientation cloud du CDMC : le framework considère que le catalogue est une surface de contrôle vivante plutôt qu’un inventaire statique.
- Accessibilité et usage couvre les droits d’accès, les paramètres d’accès par défaut et la finalité de la consommation des données. L’accès aux données sensibles doit être attribué par défaut au créateur et au propriétaire, les accès doivent être tracés, et la finalité de la consommation des données doit être précisée dans les accords de partage de données impliquant des données sensibles.
- Protection et confidentialité couvre les contrôles de sécurité appropriés pour les données sensibles et le déclenchement automatique des analyses d’impact sur la protection des données personnelles selon la juridiction applicable. C’est là que le CDMC établit le lien le plus explicite entre les exigences de gouvernance, les opérations de protection de la vie privée et la production de preuves.
- Cycle de vie des données couvre la rétention, l’archivage, la purge et la mesure de la qualité des données. Le schéma de l’EDM Council positionne la mesure de la qualité des données au sein de ce domaine plutôt que dans un domaine autonome dédié à la qualité. Ce choix traduit une vision selon laquelle la qualité doit être gérée comme un contrôle permanent tout au long du cycle, et pas uniquement comme un enjeu d'analyse ou de reporting.
- Architecture des données et technique couvre les métriques de coûts et la traçabilité des données. Le CDMC attend des organisations qu’elles inscrivent au catalogue les métriques de coûts associées à l’utilisation, au stockage et au mouvement des données, ainsi que les informations de traçabilité pour les données sensibles.
Les documents de référence CDMC de l’EDM Council s’appuient sur un modèle de notation fondé sur les preuves et décrivent la maturité à travers des résultats d’évaluation liés aux processus, à l’engagement et aux éléments probants. En pratique, les organisations utilisent ces résultats pour produire une vue de maturité contrôle par contrôle et une carte de remédiation qui indique où l’automatisation, les métadonnées, la couverture des politiques ou le monitoring nécessitent encore des améliorations.
Voici une façon concrète d’appréhender ce que représente une maturité mesurée dans chacun des six domaines :
| Domaine de capacité | Ce que représente une maturité mesurée |
|---|---|
| Catalogage et classification | Les nouveaux assets data sont catalogués automatiquement, la propriété est renseignée, les colonnes sensibles sont classifiées à l’ingestion et les tags sont interrogeables pour une utilisation en aval dans les politiques. |
| Protection des données et confidentialité | Les contrôles de masquage, de chiffrement et de confidentialité sont appliqués via des politiques, et les preuves de leur application peuvent être produites sans reconstruction manuelle. |
| Qualité des données | Les contrôles qualité s’exécutent selon un calendrier défini, les exceptions sont visibles de manière centralisée et les responsables peuvent identifier les contrôles ayant échoué et leur localisation. |
| Cycle de vie des données | Les calendriers de rétention sont appliqués de manière cohérente, les fenêtres de récupération sont définies et les actions de restauration ou de purge peuvent faire l’objet d’un audit. |
| Accès aux données et utilisation | L’accès suit des règles basées sur les rôles ou les politiques, la propriété par défaut est clairement définie et l’utilisation peut être retracée jusqu’aux utilisateurs, aux rôles et aux finalités approuvées. |
| Souveraineté des données | Les contraintes de région et de mouvement sont documentées, le traitement transfrontalier peut faire l’objet d’un audit et les exceptions peuvent être examinées au regard des politiques en vigueur. |
Implémenter le CDMC avec Snowflake
Bien que le CDMC soit indépendant de tout prestataire et que l’implémentation varie selon les organisations, Snowflake propose des capacités susceptibles de prendre en charge de nombreux aspects de ces contrôles.
Catalogage et classification
Snowflake Horizon Catalog centralise les métadonnées, la traçabilité des données et le contexte des politiques, tandis que la Data Classification de Snowflake pour les données sensibles applique des tags définis par le système aux colonnes identifiées comme sensibles. Horizon peut contribuer à l’application des politiques de rétention et d’accès dans tous les environnements, en répondant aux exigences du CDMC selon lesquelles le catalogage et la classification doivent fonctionner comme une couche de contrôle active.
Protection et confidentialité
Snowflake prend en charge le Dynamic Data Masking et les Row Access Policies. La feature Dynamic Data Masking utilise des politiques de masquage pour masquer sélectivement les données en clair dans les colonnes de tables et de vues au moment de la requête, tandis que les Row Access Policies contrôlent les lignes visibles dans une table ou une vue. Ensemble, ces contrôles peuvent être utilisés pour répondre aux exigences du CDMC relatives aux contrôles de sécurité et à la gestion des accès aux données sensibles.
Cycle de vie des données
Snowflake propose Time Travel jusqu’à 90 jours et Fail-Safe sur une période de sept jours après la fin de la fenêtre de rétention Time Travel. Ces fonctionnalités offrent des capacités natives pouvant répondre aux exigences de contrôle de rétention et de récupération au sein de la plateforme.
Gestion et mesure de la qualité des données
Pour le contrôle de mesure de la qualité des données au sein du cycle de vie des données, Sonwflake propose, grâce à ses fonctionnalités de monitoring de la qualité et de métriques de données, des mécanismes intégrés et personnalisables permettant d'évaluer les principaux attributs données. Les fonctions de métriques de données système peuvent être assignées à des tables ou des vues et utilisées à des fins de gouvernance et de conformité, ce qui en fait une solution parfaitement adaptée au contrôle 11 du CDMC.
Accessibilité et utilisation
Le modèle d’accès de Snowflake repose sur le contrôle d’accès basé sur les rôles (RBAC), la propriété et les privilèges, avec des contrôles de politiques associés en couche supplémentaire. Cela prend en charge le volet habilitations et accès du framework, tandis que les tags et les métadonnées permettent de relier les décisions d’accès au contexte de sensibilité et d’utilisation.
Architecture des données et architecture technique
Le modèle de métadonnées et de traçabilité des données de Horizon Catalog permet de transformer le CDMC d’un ensemble d’énoncés de contrôle en quelque chose qu’une organisation peut réellement évaluer. Le framework part du principe que les équipes peuvent identifier un asset sensible, lui associer un contexte de gouvernance et suivre ses déplacements d’un système à l’autre, ses transformations et les objets en aval qui dépendent de lui. Les métadonnées exposent le contexte (propriété, classification, tags et contrôles associés), tandis que la traçabilité des données montre comment les données circulent et où ces contrôles doivent éventuellement persister.
Gouvernance et responsabilité
Snowflake contribue à établir le contexte de contrôle dont dépend le CDMC. Le framework ne cherche pas seulement à savoir si les données sensibles sont classifiées et protégées. Il vise aussi à garantir que l'organisation peut démontrer la propriété des données, identifier les sources de référence, expliquer les mécanismes de contrôle de la conformité et vérifier que les transferts de données entre environnements ou juridictions respectent les politiques établies.
Snowflake propose des capacités qui peuvent aider les organisations à implémenter, opérationnaliser et surveiller les processus liés à la conformité grâce à des métadonnées partagées, des champs de propriété, des tags, l’application de politiques et la visibilité sur les activités. Cela fait de la gouvernance quelque chose que les data stewards et les responsables de contrôle peuvent réellement inspecter.
Voici un tableau simplifié des capacités et des features :
| Capacité CDMC | Features Snowflake correspondantes |
|---|---|
| Gouvernance et responsabilité | Snowflake Horizon Catalog, métadonnées de propriété, tags, Access History, contrôles de politique |
| Catalogage et classification | Snowflake Horizon Catalog, Data Classification pour les données sensibles, Object Tagging |
| Accessibilité et usage | RBAC, Row Access Policies, modèle de propriété et de privilèges |
| Protection et confidentialité | Dynamic Data Masking, Row Access Policies, tags de classification et application des politiques |
| Cycle de vie des données | Time Travel, Fail-Safe, contexte de politique de rétention dans Horizon Catalog |
| Architecture des données et architecture technique | Traçabilité des données et métadonnées dans Snowflake Horizon Catalog, données d’utilisation et de coûts combinées aux rapports de gouvernance |
Le CDMC permet d’effectuer une évaluation des contrôles cloud
Ce qui distingue le CDMC, ce n’est pas qu’il suppose que la gestion des données cloud nécessite des contrôles automatisables, documentables et réévaluables en continu — c’est précisément ainsi que fonctionnent les plateformes modernes. L’intérêt du framework ne se limite pas à définir les contrôles. Il incite les équipes à examiner concrètement leur mise en œuvre : comment les métadonnées sont-elles alimentées dans le catalogue, comment les accès sont-ils gouvernés, les contrôles de qualité sont-ils automatisés, et quelles preuves peuvent être fournies en cas d’audit ou de contrôle réglementaire ?
