au-delà des bonnes intentions - rapport de pwc produit en collaboration avec iron mountain - juin...
DESCRIPTION
Le besoin de passer des bonnes intentions à l'action concernant les risques liés à la gestion des informations sur le marché des entreprises de taille moyenne.TRANSCRIPT
www.pwc.co.uk
Au-delà des bonnes intentions Le besoin de passer des bonnes intentions à l'action concernant les risques liés à la gestion des informations sur le marché des entreprises de taille moyenne
Rapport de PwC produit en collaboration avec Iron Mountain
Juin 2014
PwC Sommaire
Sommaire
Avant-propos 1
Synthèse 2
De bonnes intentions, mais peu de progrès 4
Responsabilité des informations: est-elle du ressort de personnes appropriées ? 11
Exploiter les données au maximum de leur potentiel 17
Qu’est-ce que les meilleures organisations font différemment ? 22
Adoption des meilleures pratiques : Gouvernance des informations 25
Méthodologie de l'étude 28
Questions utilisées pour créer l'indice de maturité en matière de risques liés à la gestion des informations 29
Auteurs du rapport 31
PwC 1
Sue Trombley Christian Toon
Directeur général du leadership intellectuel
Responsable des risques liés à la gestion des informations
Iron Mountain - Amérique du Nord
Iron Mountain - Europe
Dans un monde dont le moteur est le savoir, les informations sont devenues un actif commercial de plus en plus précieux, et cette valeur croissante des informations entraîne un risque plus important.
Il s'agit de la troisième étude annuelle réalisée par PwC et Iron Mountain afin d'apprendre comment les entreprises européennes de taille moyenne (celles dont les effectifs vont de 250 à 2 500 employés) perçoivent et gèrent le risque lié à la gestion des informations. L'étude 2012 a révélé une large insouciance vis-à-vis des menaces et des vulnérabilités potentielles. L'étude 2013 indiquait que les entreprises de taille moyenne avaient réagi, mais que leurs initiatives préliminaires pour s'attaquer à la gestion des risques liés aux informations étaient noyées dans un océan de données massives.
Cette année, nous avons décidé de regarder si les tendances en matière de risques liés à la gestion des informations sont confinées aux entreprises européennes de taille moyenne ou s'il s'agit d'un phénomène plus général. Dans l'étude 2014, qui s'appuie elle aussi sur les moyens de recherche et d'analyse puissants de PwC combinés à la profondeur de l'expertise de Iron Mountain, porte sur les organisations de taille moyenne aux États-Unis et au Canada, ainsi que sur les grandes entreprises (celles de plus de 2 500 employés) sur les deux continents.
Où que nous regardions, nous avons observé un écart entre la situation actuelle des entreprises en termes de capacité de gestion des risques liés aux informations et l'objectif qu'elles se sont fixé ou qu'elles ont besoin d'atteindre.
Les tendances majeures sont mondiales.
Qu'il s'agisse des entreprises les plus grandes et les plus établies ou des entreprises de taille moyenne les plus jeunes, elles se révèlent toutes incapables de combler l'écart entre le fait d'avoir mis en place un plan ou règlement bien intentionné et le stade auquel elles pourraient affirmer qu'un tel plan ou règlement fonctionne effectivement.
La responsabilité en matière de risques liés à la gestion des informations est invariablement et presque exclusivement confiée au service des technologies de l'information, ce à un moment où des informations sont pourtant générées et utilisées par l'ensemble des fonctions des entreprises, et où l'impact potentiel d'une violation des données – impact sur la notoriété et/ou impact juridique, financier ou commercial – exige des dirigeants d'entreprise qu'ils prêtent attention aux problème et requiert que les autres services d'une entreprise s'impliquent davantage à cet égard.
Avant-propos
PwC 1
En dépit du fait qu'il existe partout des organisations comprenant parfaitement que les informations ont de la valeur, la majorité de ces organisations préfèrent les sécuriser en les verrouillant afin d'éviter toute violation de données ou toute action en justice, plutôt que de les utiliser à des fins d'avantages concurrentiels, d’innovation et de croissance.
Enfin et surtout, alors que les entreprises se concentrent sur des initiatives numériques, elles découvrent qu'il est difficile de gérer les risques associés à leurs documents papier. Environ deux tiers des participants à l'étude ont déclaré que ce risque est le plus important de tous, soit deux fois plus que concernant le risque de menaces externes, qui arrive au deuxième rang.
Tout ceci entraîne une situation où ces organisations sont exposées à un risque de perte de données ou de dommages causés à leurs données. Et pourtant, ceci peut parfaitement être évité. Nous avons découvert des entreprises ayant adopté un concept général clair et effectif en matière de gouvernance d'informations et de gestion des risques liés aux informations - des organisations qui comprennent les menaces pesant sur leurs informations et la façon d’en tirer parti. Plus loin dans ce livre blanc, nous présentons les caractéristiques clés de ces précurseurs et proposons des conseils pratiques pour aider les autres à suivre cette voie.
Énoncer de bonnes intentions constitue le point de départ, et non la ligne d'arrivée, du chemin à parcourir pour gérer vos risques liés aux informations.
PwC 2
Les informations constituent l'oxygène d'une entreprise. Elles lui sont essentielles et sont omniprésentes. Elles comprennent les savoirs et l'acquisition de savoirs, les données générées par des systèmes, les informations sur les produits et les clients, les communications au quotidien et les documents archivés sur papier, ainsi que les propriétés intellectuelles de l'entreprise.
Cependant, la croissance de leur volume, leur plus
grande diversité et les différents types
d'informations professionnelles utilisés aujourd'hui
entraînent des risques, lesquels sont extrêmement
variés. S’ils ne sont pas correctement gérés et/ou
atténués, ils peuvent avoir un impact critique et
préjudiciable sur une entreprise.
Ces risques, menaces et impacts potentiels sont
maintenant mieux identifiés et compris, par
rapport à ces dernières années. Le monde des
entreprises de taille moyenne, à la fois en Europe et
en Amérique du Nord, a réagi aux violations de
données, fuites et incidents d'espionnage divers
hautement médiatisés en adoptant davantage de
stratégies organisationnelles et en mettant en
œuvre des plans et procédures d'actions internes,
mais également en investissant dans des
technologies de sécurité et des programmes de
communication internes.
Néanmoins, notre recherche montre que, bien que
ceci constitue une évolution positive et très
bienvenue, l'écart se creuse entre eux : les « bonnes
intentions », énoncées dans des déclarations
d’engagement incluses aux règlements
organisationnels et aux programmes internes des
entreprises, d’une part, et la mise en œuvre de
mesures concrètes sous forme d’application
effective de tels règlements et programmes, d'autre
part.
Cet écart représente un problème essentiel, car il
contribue à exposer les entreprises de taille
moyenne à un très large éventail de risques
d'informations susceptibles d'avoir des
répercussions durables et potentiellement
irréparables sur leur viabilité générale et leurs
avantages concurrentiels.
En outre, bien que cet écart entre les engagements
déclarés et les mesures concrètes contribue à une
plus grande exposition aux risques d'informations,
il limite également la capacité des entreprises de
taille moyenne à utiliser efficacement leurs
informations en tant qu'actif précieux susceptible
de leur permettre de se démarquer sur leur marché.
De nombreuses entreprises de taille moyenne en
Amérique du Nord et en Europe reconnaissent que
leurs informations ont de la valeur, mais elles ne
s'en servent pas pour en tirer un avantage
concurrentiel. Notre étude montre que le secteur
des entreprises de taille moyenne reste indûment
passif et protectionniste, plutôt que proactif et
innovant, en ce qui concerne la façon d'utiliser ses
portefeuilles d'informations croissants.
Il est intéressant de noter que ce phénomène est
général, quel que soit le pays, le secteur d'activité,
le continent ou la forme ou taille des entreprises, et
qu'il est sans rapport avec leurs effectifs ou leurs
ressources. Par conséquent, il s'agit d'un défi
absolument général.
Selon nous, les entreprises de taille moyenne ont significativement besoin de traduire leurs politiques et objectifs organisationnels en mesures concrètes et applicables, et la majorité de ces entreprises ne sont ni suffisamment protégées ni en mesure de pleinement optimiser les données/informations qu'elles détiennent. Principales conclusions de l'étude :
Le score sur l'indice de maturité en matière de
risques, qui couvre un échantillon
d’entreprises de taille moyenne européennes
et nord-américaines, atteint 55,3 par rapport à
un idéal de 100,0.
Un tel score de 55,3 correspond, selon notre
définition, au segment « Conscientes du
risque » de cet indice. Ceci est symptomatique
des entreprises ayant graduellement pris
conscience du besoin de gérer ce risque, mais
qui ne savent toujours pas comment réagir et
qui restent mal équipées pour confronter cette
menace.
L'absence de mesures, de politiques et de
procédures proprement mises en œuvre et
contrôlées contribue partiellement à
empêcher les entreprises de taille moyenne à
parvenir à un niveau de « maturité » plus
élevé.
Seules 37 % de ces entreprises en Europe et 47
% en Amérique du Nord ont mis en place une
stratégie en matière de risques liés à la gestion
des informations pleinement contrôlée. Ceci
devrait constituer le socle sur lequel des
Synthèse
PwC 3
mesures de protection appropriées devraient
être élaborées, et pourtant plus de la moitié
des entreprises de taille moyenne ne le font
pas.
Seules 26 % des entreprises européennes et
20 % des entreprises nord-américaines
prennent les mesures nécessaires pour
déterminer dans quelle mesure leurs
programmes de formation en matière de
gestion des risques liés aux informations sont
efficaces.
En termes de responsabilité et d'affectation
appropriée des compétences, 46 % des
entreprises européennes et 32 % des
entreprises nord-américaines déclarent que
leur directeur de la sécurité des technologies
de l'information est le plus haut responsable
en charge des risques liés à la gestion des
informations. Lorsque nous leur avons
demandé à qui cette responsabilité globale
devrait incomber, ces pourcentages atteignent
respectivement 73 % et 74 %. Selon nous, ceci
limite la capacité d'une organisation à
anticiper et à réagir à l'ampleur des risques
vue sous un angle plus large, à savoir sous un
angle dépassant la simple responsabilité du
service des technologies de l'information de
l’entreprise.
Plus de la moitié des entreprises estiment qu'il
n'existe aucun écart de compétences en
matière de gestion des informations au sein de
leur personnel. Ceci semble indûment
optimiste, mais reflète également l'absence de
compréhension des compétences qui sont
requises pour à la fois protéger et optimiser
les informations des entreprises de manière
appropriée.
87 % des entreprises européennes et 80 % des
entreprises nord-américaines pensent
qu'aucun ancien employé n'a emporté avec lui
et fourni à son nouvel employeur des
informations détenues par leur organisation.
Dans le meilleur des cas, il s'agit d'une vision
optimiste, et dans le pire des cas, ceci
démontre plus amplement leur naïveté, selon
laquelle les informations de tous types et de
tous degrés de confidentialité ne sont pas
rendues vulnérables par des employés
existants ou futurs d’une manière susceptible
de procurer un avantage à des concurrents
et/ou de constituer une menace.
Afin d'atteindre adéquatement et de surpasser le
double objectif fondamental de la protection
adéquate et de l’optimisation de la valeur de leurs
informations, les entreprises de taille moyenne
doivent s'atteler à un certain nombre d'enjeux.
Combler l'écart entre les déclarations
d’intention et les mesures concrètes
(1) Afin d'avoir un impact, les stratégies
organisationnelles, les initiatives du
personnel, les programmes de communication
et les procédures de sécurité doivent être
examinés, testés, évalués, affinés et
pleinement compris.
Les hauts dirigeants d'entreprises de taille
moyenne doivent coordonner et affecter
adéquatement la responsabilité en matière
de risques liés à la gestion des
informations.
(2) Les informations sont visibles ou invisibles,
physiques ou électroniques, en ligne ou sur
papier, et, par conséquent, la haute direction
de chaque entreprise doit coordonner la façon
dont ceci est à la fois géré et/ou optimisé, de
façon à ce que chacun connaisse à la fois son
rôle et les conséquences potentielles de toute
absence de conformité.
Les informations peuvent uniquement
avoir de la valeur pour une entreprise si
elles sont proprement gérées et
efficacement utilisées. Ceci nécessite de
réaliser un audit en bonne et due forme des
écarts de compétences, afin de réduire de
tels écarts et de répartir les compétences de
manière appropriée.
(3) La gestion et l'optimisation des informations
ne devraient pas être principalement du
ressort des professionnels du service des
technologies de l'information. Les données
doivent être plus largement partagées avec les
analystes et les innovateurs à travers
l'ensemble de l'organisation.
La confiance accordée aux employés doit
être protégée et sous-tendue par des
procédures évaluées et contrôlées.
(4) Il est important d'investir dans du matériel de
sécurité et des technologies de protection
adaptés. Cependant, ceci doit être appuyé par
des procédures du personnel à la fois
surveillées et contrôlées, de façon à conjurer
toutes menaces susceptibles d'émerger au sein
même de l'organisation et qui sont souvent les
sources d’exposition les plus courantes et les
plus dommageables.
PwC 4
Dans la communauté des affaires et dans la classe
politique, l'optimisme est croissant : non seulement le
marché des entreprises de taille moyenne est en passe
de sortir de la récession la plus grave et la plus longue
que la présente génération ait connue, mais la
croissance du PIB devrait être nettement supérieure
aux prévisions les plus récentes. En dépit de cette
tendance positive, les entreprises de taille moyenne
restent exposées aux risques de mauvaise gestion du
volume croissant d'informations que les entreprises
doivent aujourd'hui gérer.
Les informations constituent l'oxygène d'une
entreprise. Elles lui sont essentielles et sont
omniprésentes. De telles informations comprennent les
connaissances et savoirs de leurs personnels, ainsi que
ce que ces derniers apprennent dans le cadre de leur
activité au service de leur entreprise, le volume
croissant des données générées par les systèmes et par
les procédures des entreprises, les vastes bases de
données constituées de fichiers sur les clients et sur les
employés, les informations sur les produits, les
communications internes et externes, les documents
archivés sur papier et les propriétés intellectuelles de
valeur des entreprises. Elles englobent les courriels, les
notes et commentaires rédigés sur les réseaux sociaux,
les messages instantanés, les vidéos, les données
numériques, les correspondances, les contrats, les
avant-projets, et les concepts et principes de
fonctionnement commercial de l'entreprise.
Les risques liés à la gestion des informations sont
extrêmement divers. Les bases de données numériques
sont susceptibles d'être victimes d'intrusions, les
communications en ligne peuvent faire l'objet de logiciels
malveillants, de fraudes ou d'attaques malicieuses, les
données de documents sur papier sont susceptibles
d'être divulguées lorsque de tels documents ne sont pas
proprement jetés ou éliminés ou s'ils sont volés ou
éparpillés en cas de catastrophe naturelle, et la propriété
intellectuelle de l'entreprise peut être perdue en cas de
vol ou d'espionnage.
Les employés d'une entreprise sont au cœur de la gestion
des informations. En fonction de leur rôle et de leur
domaine de responsabilité, les employés d'une entreprise
utilisent et produisent différents types d'informations, ce
qui explique pourquoi celles-ci sont gérées de différentes
manières. D'autre part, certaines informations sont
susceptibles de quitter l'entreprise, que ce soit par
inadvertance ou non, en cas de départ d'un employé.
Ces dernières années, les entreprises de taille moyenne
ont pris conscience de l'importance de gérer de manière
effective les risques liés à la gestion des informations, et
ont en conséquence mis en place un éventail de
politiques, de procédures et de plans d'action différents.
Cependant, notre récente enquête, commandée par Iron
Mountain, a révélé un écart croissant entre d'une part les
bonnes intentions, énoncées dans des déclarations
d'engagement sous forme de politiques et de procédures
d'entreprise, et d'autre part les mesures concrètes, qui
constituent la mise en application efficace et contrôlée de
ces politiques et procédures.
Cet écart est un enjeu clé et un réel problème pour les
entreprises de taille moyenne.
De bonnes intentions, mais peu de progrès
PwC 5
« Nous notons une détermination durable à élaborer des politiques, effectuer des analyses et mettre en œuvre des programmes internes au sein de ces entreprises. Cependant, notre expérience nous enseigne que, si les entreprises phares de l'industrie ne surveillent pas et n'évaluent pas l'impact de telles mesures, ces dernières ont fort peu de chances d'être proprement appliquées ».
Claire Reid
Partenaire de PwC en matière de sécurité des informations
« On ne peut pas lutter contre les menaces d'aujourd'hui avec les stratégies d'hier. Ce dont nous avons besoin, c'est à la fois d'une nouvelle méthode globale concernant les risques liés à la gestion des informations, c'est-à-dire d'une méthode dont le moteur est la connaissance réelle des menaces existantes et des actifs à protéger, et d'une réalisation que, même s'il n'est pas toujours possible de se protéger complètement contre les risques liés à la gestion des informations, de tels risques peuvent être ramenés à des niveaux acceptables ».
Gary Loveland
Partenaire de PwC en matière de sécurité des informations
PwC a réalisé sa troisième série annuelle
d’entretiens auprès de 600 entreprises de taille moyenne (celles de 250 à 2 500 employés, qui constituent le marché des entreprises de taille moyenne) dans six pays européens : la France, l’Allemagne, la Hongrie, les Pays-Bas, l’Espagne et le Royaume-Uni. Le présent article détaille les conclusions de notre article publié en 2012 intitulé « Au-delà des menaces informatiques », dans lequel figurait le tout premier indice de maturité concernant les risques liés à la gestion des informations provenant d'Europe, lequel article soulignait le besoin, pour les entreprises de taille moyenne, de mieux s'équiper pour gérer ces risques. Le présent article détaille également les conclusions de notre article publié en 2013 et intitulé « Au-delà de la prise de conscience », qui mettait en avant les problèmes posés par le volume croissant d'informations et par ce que nous avons appelé « l'inondation de données ».
L'article de 2012 reprend et développe les thèmes et tendances indiqués dans les deux enquêtes précédentes. Cette année, notre enquête comprend également une analyse de la situation en Amérique du Nord basée sur les résultats d'entretiens réalisés avec 600 participants au Canada et aux États-Unis dans les mêmes secteurs industriels qu'en Europe, afin que notre enquête soit cette fois-ci de nature transatlantique et actualise notre indice de maturité en matière de risques liés à la gestion des informations.
La répartition entre les deux continents, en termes de couverture et de profils des participants à l'enquête 2014, est illustrée sur la figure 1.1.
Le score du premier indice des risques du marché des entreprises de taille moyenne à couvrir l'Amérique du Nord est de 55,3 (par rapport à un score idéal de 100,0), ce qui montre que les entreprises de taille moyenne, en Europe comme en Amérique du Nord, sont bien souvent conscientes de ces risques mais sont dans le même temps mal équipées pour s'attaquer pleinement à cette menace et grippées par le doute concernant la meilleure façon de procéder.
Ceci est conforme à notre enquête de 2013, qui montrait que ces entreprises prennent graduellement mieux conscience de l'importance de gérer les risques liés à la gestion des informations, reconnaissent davantage les menaces posées par ces risques et sont de plus en plus nombreuses à adopter des stratégies initiales d'atténuation de ces risques.
PwC 6
Figure 1.2 : Indice de maturité en matière de risques liés à la gestion des informations 2012 – 2014
L'enquête de 2014 sur les entreprises de taille moyenne montre que cette prise de conscience prend graduellement de l'ampleur, et que leurs directions générales ont en conséquence commencé à élaborer des stratégies, des programmes de communication, ainsi que des orientations en matière de sécurité. Cependant, il devient de plus en plus urgent de valider ces mesures par des mécanismes de contrôle et d'application efficaces, particulièrement à l'échelon de la direction. Ce thème ressort encore plus nettement lorsque l'on analyse les résultats de l'enquête sous un angle européen. Tel qu'illustré sur la figure 1.2, ceci représente la troisième mise à jour annuelle de l'indice de maturité en matière de risques sur le marché des entreprises européennes de taille moyenne.
Le score de 56,1 est légèrement supérieur à celui des entreprises nord-américaines de taille moyenne, mais il est cependant en légère baisse par rapport à celui de 56,8 enregistré en 2013. Ceci illustre que le degré de maturité de ces entreprises s'est stabilisé, et que celles-ci éprouvent des difficultés à s'équiper pleinement contre ce risque. Cependant, et tel que
décrit de manière plus détaillée ultérieurement dans cet article, notre enquête semble indiquer que certaines entreprises de taille moyenne ont atteint un niveau de maturité supérieur, et démontrent par leurs actes qu'elles sont des précurseurs performants dans ce domaine. Grâce à une analyse plus approfondie, nous avons découvert qu'il existait clairement un lien entre le profil particulier d'une entreprise en matière de risques liés à la gestion des informations et la valeur qu'une telle entreprise accorde à ses informations, ce qui illustre l'avantage concurrentiel qui peut être tiré des informations détenues.
Compte tenu de son score de 54,5 à l'indice de maturité, rien ne permet d'être plus optimiste concernant l'Amérique du Nord, ce qui montre qu'il est globalement nécessaire de passer des bonnes intentions à l'action, quelle que soit la région géographique ou le secteur d'activité concerné.
Ceci constitue donc un défi général, puisqu'une analyse de ces scores sur ce marché et ce secteur permet de dresser un tableau relativement homogène et statique de la situation actuelle.
PwC 7
Figure 1.3 : Indice de maturité en matière de risques liés à la gestion des informations des entreprises de taille moyenne – Analyse par type de risque
Figure 1.4 : Indice de maturité en matière de risques liés à la gestion des informations, par pays
Figure 1.5 : Indice de maturité en matière de risques liés à la gestion des informations, par secteur
PwC 8
Pour atteindre un score de 100, les entreprises doivent mettre en place et contrôler l'efficacité des 34 mesures inclues à notre indice (décrites dans l'annexe).
Si l'on analyse les scores de maturité à la fois par pays et par secteur, on note une absence générale de compréhension des risques auxquels les informations sont exposées et de la façon de répondre à ce problème. En dépit d'écarts de maturité très modestes, il est clair que les entreprises européennes et nord-américaines sont confrontées à des problèmes identiques en matière de gestion de leurs informations. Si l'on regarde les chiffres par pays européen, par exemple, la Hongrie arrive en tête avec un score de 60,2, et l'Allemagne en dernier avec un score de 53,6. Les scores des États-Unis et du Canada sont très similaires, à savoir respectivement 54,1 et 55,0.
En termes de maturité par secteur, une telle homogénéité est encore plus flagrante puisqu'aucun secteur n'est proche, au contraire, du niveau auquel il serait adéquatement équipé pour gérer ces risques. De plus, nous avons effectué une enquête similaire concernant le marché de ces entreprises en Europe et en Amérique du Nord et découvert une tendance identique, ce qui démontre encore plus clairement l'ampleur du problème et indique que les ressources mises en œuvre sont inadéquates en termes de taille et d'échelle.
La menace posée par le volume et la variété croissants des informations, ainsi que l'absence de réponse adéquate sous forme de mesures d'atténuation efficaces, ne doivent pas être sous-estimées.
La récente « Enquête de 2014 sur les violations des systèmes d'informations », commandée par le
ministère britannique des Entreprises, de l'Innovation et des Compétences et réalisée par PwC, montre que, en dépit d'une légère baisse du nombre de violations dans ce domaine, le coût de chaque violation a augmenté de manière significative. Cette enquête révèle également que 10 % des entreprises britanniques affectées par des violations de leurs systèmes d'informations l'année dernière en ont été tellement négativement affectées qu'elles ont dû intégralement se réorganiser. Il est par ailleurs alarmant de noter que près d'un tiers (31 %) des pires violations dans ce domaine l'année dernière a été causé par des erreurs humaines, et 20 % par une utilisation délibérément fautive des systèmes d'information par des employés. En outre, suite à la violation de données majeure dont la chaîne de magasins Target a été victime aux États-Unis, John Kindervag (Forrester Research) a estimé que cette violation pourrait coûter à Target une somme à hauteur de 100 millions de dollars US. M. Kindervag a également lancé un avertissement à d'autres entreprises nord-américaines concernant l'importance d'instaurer de bonnes pratiques sécuritaires, sachant qu'il coûte toujours beaucoup moins cher de mettre en place de bonne heure des mécanismes de contrôle appropriés.
Sur quoi l'indice du marché des entreprises de taille moyenne mal équipées est-il fondé ?
L'indice de maturité assigne un score plus élevé aux organisations qui non seulement ont mis en place des procédures, stratégies, programmes de communication et mécanismes de contrôle sécuritaires clés, mais qui ont également intégré à leur activité des systèmes permettant de s'assurer que l'efficacité et l'impact de l'ensemble des mesures mises en place sont mesurés dans la durée.
Quelle que soit la région géographique concernée, les entreprises de taille moyenne semblent avoir des
difficultés pour passer des intentions à une action contrôlée. Ce thème de « l'écart en matière d'engagement à agir » avait été mis en exergue dans nos deux enquêtes précédentes, ainsi que dans l'enquête comparative sur « la gouvernance des informations de 2013/2014 » réalisée par Cohasset Associates et d'autres, qui révèle que l'écart entre les intentions et l'action demeure obstinément inchangé. C'est précisément cet écart qui empêche les entreprises de taille moyenne d'atteindre un niveau de maturité plus élevé concernant la façon de gérer efficacement leurs informations.
Seules 37 % de ces entreprises en Europe et 47 % en Amérique du Nord ont mis en place une stratégie en matière de risques liés à la gestion des informations pleinement contrôlée. Élaborer une telle stratégie est fondamental si l'on veut atteindre un niveau de protection permettant d'atténuer la menace des violations, des fuites et des vols de données. Et pourtant, plus de la moitié des entreprises ne s'y sont pas encore attelées.
« Définir des stratégies en matière de risques liés à la gestion des informations est évidemment important, et plutôt que de théoriser à ce sujet, les entreprises de taille moyenne devraient passer à l'action afin que les comportements appropriés dans ce domaine soient pleinement intégrés à leurs organisations, et contrôler, évaluer et réviser leur réponse au fur et à mesure que ces risques changent ».
Richard Petley
Directeur du service Assurances risque chez PwC
PwC 9
Proportion d'entreprises nord-américaines ayant mis en place ce qui suit et qui les contrôlent de manière efficace:
Stratégie en matière de risques liés à la gestion des informations
Registre des risques de l'entreprise
Stratégie d'élimination en toute sécurité du matériel informatique et des documents confidentiels
Séances de formation aux risques liés à la gestion des informations destinées au personnel
Politique d'utilisation des médias sociaux applicable à tous les employés
Politiques d'entreprise en matière de protection, de stockage et d'élimination des informations confidentielles en toute sécurité
Base de données confidentielles centralisée
Classifications claires, à jour et reconnues en matière de données
47%
38%
35%
20%
41%
18%
36%
39%
Seules 26 % des entreprises européennes et 20 % des entreprises nord-américaines assurent un suivi en rapport à leurs programmes de formation sur les risques liés à la gestion des informations dans le but d'évaluer l'impact de ces programmes. Il est vital que les entreprises reconnaissent l'importance d'intégrer à leur culture de bons comportements en matière de risques liés à la gestion des informations, et de vérifier dans la durée si ces comportements sont observés.
Notre enquête 2014 montre que les entreprises de taille moyenne n'ont pas encore intégré la sécurité des informations à leur culture. Ceci est illustré par le fait que moins des trois quarts d'entre elles contrôlent l'efficacité de leur formation de sensibilisation aux risques liés à la gestion des informations incluse aux activités d'orientation des nouveaux employés. En outre, les résultats de l'enquête montrent qu'au-delà de cette période d'orientation, seules quelques entreprises cherchent, dans le meilleur des cas, à peine à vérifier si cette sensibilisation a porté ses fruits, tandis que toutes les autres ne le font jamais.
PwC 10
Proportion d'entreprises nord-américaines ayant mis en place ce qui suit et qui les contrôlent de manière efficace:
Stratégie en matière de risques liés à la gestion des informations
Registre des risques de l'entreprise
Des vérifications régulières de la politique de confidentialité
Stratégie d'élimination en toute sécurité du matériel informatique et des documents confidentiels
Séances de formation aux risques liés à la gestion des informations destinées au personnel
Programmes réguliers de formation
Des programmes de formation efficaces sur les risques liés à la gestion des informations
Une politique claire pour les salariés sur les procédures internes en ce qui concerne le stockage sécurisé des documents physiques et leur destruction
Politique d’entreprise en matière de protection, de stockage et d’élimination des informations confidentielles en toute sécurité
37%
46%
46%
41%
26%
38%
36%
40%
27%
Selon nous, ces résultats sont symptomatiques du marché des entreprises de taille moyenne, qui n'est à la fois ni suffisamment mûr, ni équipé pour confronter la menace des risques liés à la gestion des informations. L'absence de contrôle efficace, à son tour, explique les faibles scores d'ensemble de l'indice de maturité en matière de risques liés à la gestion des informations.
C'est d'ailleurs un trait commun de ces résultats, qui montrent que les entreprises de taille moyenne fonctionnent, tant en termes de culture d'entreprise que sur le plan opérationnel, avec l'idée qu'elles ont mis en place des mesures de protection suffisantes, et il ne ressort nullement qu'elles agissent à cet égard sur la base d'un plan d'action contrôlé clairement structuré.
Ceci révèle, de la part de ces entreprises, un manque de compréhension de l'étendue de leur exposition aux risques et des mesures préventives appropriées qu'elles doivent adopter. Ce thème est commun à tous les marchés, secteurs et catégories de société. Tant qu'elles n'auront pas mieux pris conscience des menaces existantes et des mécanismes de contrôle à mettre en place, les entreprises de taille moyenne demeureront vulnérables à la menace des violations de données et incapables de déverrouiller le potentiel de valeur latente que leurs informations possèdent.
PwC 11
La quantité croissante d'informations, sous de
multiples formats différents, ainsi que la
complexité de gérer la question de savoir qui peut
accéder à quelles informations et quand, où et
comment, impliquent des risques considérables
pour ces entreprises. Assigner la responsabilité de
la protection des informations aux personnes
appropriées est un facteur clé de prévention contre
ces risques, et permet de garantir à la fois que les
personnes appropriées sont impliquées et que des
responsables performants ont été désignés pour
coordonner la réponse appropriée de l'entreprise.
Ce thème n'est pas nouveau et a déjà été largement
documenté.
Cet enjeu doit être porté à l'attention de la
hiérarchie, y compris les dirigeants de l'entreprise
et le conseil d'administration, afin qu'une stratégie
de contrôle des risques liés à la gestion des
informations et de protection des informations ait
sa place au sein du principe général de
fonctionnement économique et des processus
décisionnels de chaque entreprise. « Les risques
liés à la gestion des informations ne peuvent plus
être définis comme étant exclusivement un défi du
ressort du service des Technologies de
l'information ».
Source : « Enquête 2014 sur la situation à travers
le monde en matière de sécurité des informations
»
Assigner principalement la responsabilité des
risques liés à la gestion des informations à un
responsable de catégorie « c-suite » / de la haute
direction est une tendance en progression
significative, mais la plupart des entreprises de
taille moyenne continuent à assigner cette charge à
un responsable ou à l'équipe du service des
Technologies de l'information.
Une telle pratique pouvait éventuellement être
appropriée autrefois, mais les risques liés à la
gestion des informations sont aujourd'hui un enjeu
à facettes multiples couvrant divers domaines et
types de risques, qu'il s'agisse du personnel ou des
procédures, des comportements ou des pratiques
professionnelles, à tel point que la responsabilité de
ces risques devrait désormais toujours être assignée
à l'échelon le plus élevé de la hiérarchie, chacun des
employés ayant quant à lui un rôle individuel à
jouer en matière de protection des informations de
l’entreprise.
Responsabilité des informations: est-elle du ressort de personnes appropriées ?
PwC 12
Figure 2.1 : Qui devrait être le principal responsable des risques liés à la gestion des informations dans votre organisation ?
Quelques 46 % des entreprises européennes et 32 % des entreprises nord-américaines déclarent que le responsable principal de ces risques est leur directeur de la Sécurité au sein du service des Technologies de l'information. Si l'on prend la vraie mesure de la quantité considérable d'informations de tous types et formats détenue par les entreprises de taille moyenne, la nature même des données renforce cette incompréhension généralisée de la façon dont la responsabilité principale de ces risques devrait être assignée.
En outre, lorsqu'on leur demande qui devrait être le responsable principal des risques liés à la gestion des informations, 73 % des entreprises européennes et 74 % des entreprises nord-américaines déclarent que cette responsabilité est présentement du ressort du directeur de la Sécurité de leur service des Technologies de l'information.
Pour simplifier, les entreprises de taille moyenne estiment que la façon la plus efficace de gérer et de se protéger contre la menace constituée par les risques liés à la gestion des informations consiste à assigner une responsabilité plus durable à des membres du service des Technologies de l’information, qui sont pourtant des personnes susceptibles de ne pas être pleinement conscientes et/ou avoir une pleine visibilité de l'ampleur réelle des risques posés par cette menace.
De plus, un nombre infime de participants à l’enquête a déclaré que les risques liés à la gestion des informations étaient de la responsabilité de chacun au sein de leur organisation. Ceci révèle une vulnérabilité en matière de gestion et de protection des informations dans la plupart des entreprises. En dépit du besoin urgent d'aller au-delà des bonnes intentions et de parvenir à une situation dans laquelle chaque personne à chaque échelon et dans chaque catégorie de postes assume la responsabilité des risques liés à la gestion des informations, tel que reflété par le thème général de cet article, les entreprises de taille moyenne en Europe et en Amérique du Nord ne sont toujours pas passées du stade où elles ont pris conscience de ces risques à celui de la mise en œuvre de mesures visant à les atténuer.
Tel qu'illustré au verso de l'étude de cas, les entreprises de taille moyenne devraient assumer des responsabilités plus larges, et adopter des mesures préventives et proactives plutôt que réactives. Malheureusement, l'organisation présentée dans cet exemple a réagi à une violation de données comme s'il s'agissait d'une conséquence d'une divulgation de données dommageable, plutôt que de contrôler la bonne application ses procédures existantes, ce qui aurait pourtant permis de prévenir un tel vol de données.
Pour être efficacement mise en œuvre, la responsabilité des risques liés à la gestion des informations doit aller au-delà de l’engagement concret et passer à une exécution effective. Ceci requiert une stratégie pour l'ensemble de l'entreprise pilotée directement par l'équipe de direction.
PwC 13
Une fois que cette responsabilité a été
adéquatement assignée, il est indispensable
de bien comprendre quelles compétences
sont nécessaires pour bien répondre à la
nature évolutive des risques liés à la gestion
des informations. Malheureusement, notre
enquête montre que cette obligation est
totalement incomprise, ou alors n'est pas
considérée comme une grande priorité. Par
exemple, tel que la figure 2.3 l'indique de
façon détaillée, seules 26 % des entreprises
européennes et 47 % des entreprises nord-
américaines de taille moyenne ont identifié
en leur sein des carences en termes de
compétences que le personnel responsable
de la gestion de leurs informations doit
posséder. La majorité de ces entreprises,
par conséquent, ne pense absolument pas
souffrir de carences de compétences à
l'heure actuelle.
Étude de cas : « Un employé d'une grande chaîne de supermarchés britannique a été arrêté pour vol de données ».
Une importante chaîne de supermarchés haut-de-gamme britannique a été l'objet d'une fuite de données embarrassante et préjudiciable lorsque des informations, y compris les noms, adresses, références bancaires et niveaux de salaire de plus de 100 000 de ses employés, ont été volées, publiées sur Internet et envoyées à un grand quotidien national. Contrairement à ce qu'on pourrait imaginer, il ne s'agissait pas d'une intrusion venant de l'extérieur mais d'une fuite de la part d'un employé. L'entreprise a rapidement réagi suite à cet incident et mis en œuvre une série de mesures de surveillance et de protection rigoureuse de ses données. Son plan d’intervention tenait en trois points :
1. Faire appel aux services d'assistance d'une organisation externe pour l'aider à déceler toute
utilisation abusive de ses données et informations sur son personnel.
2. Informer les banques britanniques de ce vol, afin de garantir que des mesures appropriées soient mises en place pour protéger la sécurité des comptes bancaires associés.
3. Informer son personnel des mesures mises en place pour protéger leur sécurité, y compris la création d'un numéro de téléphone dédié.
PwC 14
Figure 2.3 : Concernant les compétences que doit posséder le personnel responsable de la gestion de vos informations, estimez-vous qu'il existe aujourd'hui de quelconques carences ?
S'agit-il d'un tableau réaliste prenant en compte les risques spécifiquement posés ?
Ceci le serait éventuellement si :
1. certains éléments montraient clairement que les entreprises de taille moyenne comprennent pleinement l'étendue des risques liés à la gestion des informations ;
2. le nombre de violations de données avait atteint le niveau le plus bas jamais enregistré ;
3. chaque employé assumait une responsabilité individuelle pour sa contribution à cette protection ;
4. les entreprises de taille moyenne utilisaient leurs informations comme moyen d'assistance à la croissance de leur chiffre d'affaires/de leur clientèle ; et
5. les impacts potentiels des violations de données étaient faibles en termes à la fois de coûts et de notoriété diminuée.
Cependant, c'est l’inverse qui est aujourd'hui vrai, et, par conséquent, PwC et Iron Mountain estiment qu'il est d'une importance vitale que ces entreprises identifient leurs points faibles/leurs domaines les plus potentiellement exposés, prennent la mesure de l'impact potentiel d'un quelconque incident dans ce domaine et commencent à confronter le problème en mettant en œuvre les compétences requises (techniques, stratégiques, de communication).
« Le marché des entreprises de taille moyenne est face à un problème. Cette absence de politiques, processus et procédures organisationnelles proprement contrôlées et appliquées signifie qu'il est beaucoup plus difficile de définir ce qui donne de bons résultats et ce qui n'en donne pas, et donc de prendre des décisions éclairées concernant le déploiement approprié des compétences nécessaires – à la fois celles qui existent en interne et celles auxquelles il est peut-être nécessaire de faire appel à l'extérieur. »
Christian Toon Responsable des risques liés à la gestion des
informations Iron Mountain - Europe
Si l'on se tourne vers l'avenir concernant ces compétences, les entreprises de taille moyenne estiment qu'elles leur seront nécessaires, et bien qu'il soit certainement positif que la gestion de ces risques et la présence d'analystes de données compétents soient jugées incontournables, il est assez surprenant de noter que les compétences de communication et de leadership soient considérées comme des priorités beaucoup moins importantes.
PwC 15
Figure 2.4 : À votre avis, de quelles compétences les spécialistes de la gestion des informations auront-ils besoin dans le futur ?
La plupart des entreprises de taille moyenne (86 % en Europe ainsi qu'en Amérique du Nord) estiment qu'elles disposent déjà des compétences et des capacités nécessaires pour tirer le meilleur parti possible des données qu'elles détiennent. Cependant, lorsqu'on leur demande qui possède ces compétences, la majorité (83 %) d’entre elles mentionne le service des Technologies de l'information. La réalité a changé, et les rôles et compétences nécessaires pour répondre à cette évolution doivent s'adapter en conséquence.
Les entreprises de taille moyenne doivent adopter une culture effective du leadership et de la communication susceptible de faciliter l'application concrète de mesures visant à répondre aux risques liés à la gestion des informations.
La majorité des entreprises de taille moyenne ayant participé à l’enquête en Europe (76 %) et en Amérique du Nord (85 %) estime que la priorité numéro un de leur organisation en matière de gestion de ces risques consiste à éviter toute violation de données. Ceci n'est pas surprenant quand on sait à quel point les entreprises sont conscientes de l'impact hautement préjudiciable d'une quelconque violation ou perte de données. Et pourtant, les entreprises de taille moyenne ont encore un long chemin à parcourir pour véritablement répondre aux exigences de cette priorité, étant donné qu'un grand nombre d'entre elles ne contrôlent pas leurs procédures et leurs stratégies d'atténuation des risques liés à la gestion des informations, n'ont pas correctement assigné la responsabilité de la gestion de ces risques et n'ont pas encore résolu le problème de leurs carences de compétences dans ce domaine.
PwC 16
Étude de cas : « Le PDG d'une chaîne de magasins aux États-Unis démissionne suite à une violation de données majeure »
Le PDG d'une chaîne de magasins aux États-Unis démissionne moins de cinq mois après qu’il fut découvert que cette entreprise avait été victime d’une violation de données majeure.
La saga de cette violation de données, qui a entraîné la perte d'environ 40 millions de numéros de cartes de paiement et d'informations personnelles
susceptibles de concerner 70 millions de clients, a entraîné cette entreprise dans une tourmente sans précédent depuis la révélation de cette violation. Les conséquences de cet incident sont très nombreuses : des dizaines de procès, plusieurs audiences devant une commission du Congrès américain, une chute spectaculaire de l'action en bourse et un impact négatif sur la notoriété de l’entreprise immesurable. Ceci démontre une fois de plus à quel point il est important que la direction générale supervise ce domaine et assume personnellement la responsabilité de la mise en place et du contrôle de procédures de sécurité performantes.
PwC 17
Bien que le volume croissant des
informations pose des risques pour les
entreprises de taille moyenne, lorsque les
informations sont proprement utilisées,
elles peuvent constituer une opportunité
d’innover en termes de produits, d’acquérir
une meilleure connaissance de la clientèle
et, à terme, de stimuler la rentabilité de
l'entreprise. Bien que les entreprises de
taille moyenne commencent à prendre
conscience de cette réalité, elles semblent
cependant ne pas comprendre dans le
détail quelles méthodes concrètes sont
nécessaires pour passer à l'échelon
supérieur, lesquelles méthodes pourraient
inclure un engagement plus proactif et la
mise en place de nouveaux partenariats,
particulièrement dans le domaine
commercial et dans celui du marketing.
« Les informations représentent un avantage concurrentiel, quel que soit le service ou la fonction concernée ». La capacité à exploiter les informations pour déceler les tendances de la clientèle ou du secteur, ou les points faibles de l'entreprise en matière de gouvernance et/ou de sécurité, est susceptible de vous aider à dominer votre marché ou à éviter des incidents, tels que des violations, des incidents de non-conformité ou des pertes de données. »
Sue Trombley Directrice générale du leadership
intellectuel Iron Mountain - Amérique du Nord
Exploiter les données au maximum de leur potentiel
PwC 18
Figure 3.1 : Comment décririez-vous les priorités de votre organisation concernant ses informations ?
Figure 3.2 : Comment décririez-vous les priorités de votre organisation concernant ses informations ?
Les priorités organisationnelles générales en matière d'informations sont assez passives et essentiellement protectionnistes.
Les entreprises de taille moyenne cherchent prioritairement à éviter toute violation de données et toute action en justice potentielle, ou bien à renforcer leurs procédures existantes.
et une rentabilité ainsi qu’un chiffre d'affaires renforcés sont cités comme étant les avantages clés. De nouveau, bien que ceci soit positif, seule une moitié des participants à l’enquête déclare que l'exploitation des informations dans le but de renforcer l'innovation en matière de produits et de services constitue une priorité, et un nombre encore moins important
Inversement, les utilisations plus proactives des informations, telles que l'extraction de données pour élargir la clientèle et les marchés de l'entreprise, ainsi que l'innovation, sont comparativement considérées comme des priorités moins importantes.
En outre, et tel qu'illustré à la figure 3.2, lorsque nous avons demandé aux participants comment leur organisation a bénéficié à ce jour des efforts déployés pour exploiter la valeur des informations, améliorer les procédures décisionnelles, développer une meilleure connaissance de la clientèle
déclarent avoir utilisé leurs informations pour accélérer la commercialisation de leurs produits ou raccourcir le cycle de développement de produits et de services. Selon PwC et Iron Mountain, ce sont précisément ces domaines qui devraient bénéficier de l'impact le plus profond et le plus significatif de l'exploitation et de l'extraction de la valeur des informations.
PwC 19
Il semble que les résultats tangibles des entreprises de taille moyenne dans ce domaine ne soient pas à la hauteur de leurs intentions. Il résulte de leur compréhension limitée de la façon de traduire de telles politiques ou objectifs en mesures concrètes et applicables que ces entreprises ne sont ni suffisamment protégées, ni en mesure d'optimiser pleinement leurs données.
En outre, un peu plus d'un cinquième des entreprises de taille moyenne européenne (22 %) prend aujourd'hui le temps de calculer le retour sur investissement des informations détenues, et un peu plus d'un tiers (36 %) des entreprises nord-américaines a créé des postes d’analyste de données chargés d’extraire la valeur intrinsèque de leurs informations.
Lorsque nous leur avons demandé quelle était la principale raison pour laquelle ils conservaient des informations, la plupart des participants ont déclaré le faire pour être en mesure de les analyser et d'en tirer une plus grande valeur dans le futur. Ceci constitue à la fois une opportunité et un défi pour les entreprises de taille moyenne.
Contenu du nombre très important d'entreprises n'ayant, à ce jour, aucun analyste de données dans leurs rangs, l'opportunité de produire de la valeur à partir des informations est-elle gérée par les personnels les plus compétents dans ce domaine ?
Les chiffres indiquent un désir croissant de gérer les informations pour en extraire de la valeur, les entreprises mettant l'accent sur la recherche de nouvelles clientèles et de nouveaux marchés, et sur l'amélioration des services à la clientèle. Cependant, les entreprises de taille moyenne semblent aujourd'hui plafonner, ne sachant pas vraiment quelles méthodes utiliser ni comment mesurer la valeur de leurs informations.
La croissance et l'émergence du phénomène des « données massives » (Big Data) ces dernières années rend encore plus nécessaire le besoin de mieux comprendre comment les informations, sous tous leurs formats possibles, peuvent être utilisées de manière différente de celle prévue au départ afin de produire des dividendes commerciaux et autres pour l'entreprise. De plus, le rôle croissant des « données massives » imposera aux entreprises de toutes tailles de mettre en place des procédures plus rigoureuses en matière d'analyse des risques liés à la gestion des informations, de renforcer leurs mécanismes de contrôle des informations confidentielles et de sécuriser leurs installations de stockage de données pour être adéquatement en mesure de gérer cet enjeu.
Il est également important de combattre l’idée très répandue selon laquelle « la question des données massives concerne uniquement les grandes entreprises ». Selon Dave Coplin, principal responsable de la vision de l'avenir chez Microsoft, analyser les données massives concerne également les petites et moyennes entreprises.
« La question des données massives concerne également et sans le moindre doute les plus petites entreprises, sachant qu'il existe aujourd'hui un nombre croissant de sources de données librement accessibles susceptibles d'être utiles, ainsi que des marchés d'échanges de données que les petites entreprises peuvent utiliser ».
Dave Coplin
Directeur général de la vision de l'avenir chez Microsoft
PwC 20
Étude de cas - Mediatonic : « Dériver une valeur commerciale de l'analyse de données est parfaitement réalisable pour les entreprises de taille moyenne ».
Étant donné que les jeux de Médiatonic, tels que Superbia produit par Disney, sont uniquement numériques, les utilisateurs génèrent constamment des volumes considérables de données d'utilisateurs, telles que : quand, où et pendant combien de temps ils jouent, et quelles parties du jeu trouvent-ils particulièrement difficiles ou faciles.
« Comprendre le comportement des utilisateurs est essentiel pour une industrie qui est passée d'un mode de fonctionnement essentiellement basé sur le téléchargement gratuit à un environnement où les revenus proviennent essentiellement d'achat de modules supplémentaires au sein des jeux et où la moitié des utilisateurs ne rejouent plus jamais. »
Dave Bailey
Directeur général de Mediatonic, un développeur de jeux numériques en forte
croissance
Les données massives sont « fondamentales à notre activité, et réellement très importantes pour les petites et moyennes entreprises. Elles orientent notre stratégie ».
Dave Baile
Directeur général de Mediatonic, un développeur de jeux numériques en
forte croissance
PwC 21
Étude de cas - Criteo : « Dériver une valeur commerciale de l'analyse de données est parfaitement réalisable pour les des entreprises de taille moyenne ».
Criteo, une société française de publicité en ligne, s’est développée très rapidement grâce à l'analyse de données massives. En suivant l’utilisation que ses clients font d’Internet, elle a appris :
1. Comment afficher des publicités personnalisées spécialement adaptées aux intérêts de l'utilisateur en se basant sur ses comportements d'internaute.
2. Les publicités peuvent changer en temps réel en fonction du visiteur du site, ce afin que deux personnes différentes voient s’afficher deux contenus différents.
« Les données massives constituaient sa devise de base, et comprendre et gérer de telles données était au cœur de sa réussite commerciale. » Julien Simon Vice-président de l’ingénierie
Cette société, dont la principale base de données est MongoDB, affiche aujourd'hui :
1. 2,5 milliards de bannières publicitaires par jour ; 2. travaille avec 5 000 agences de publicité à travers le monde ; et 3. stocke 20 téraoctets de données supplémentaires chaque jour grâce à cette activité
intense.
De plus, une étude universitaire intitulée « Données massives de cartes de fidélité numériques et marketing des petites entreprises : données officielles contre officieuses ou complémentaires », publiée par International Small Business Journal, a montré que seules les petites et moyennes entreprises bénéficient de la précision qu’offrent les données de clients, mais également que l'exposition à ces données incitent les chefs d'entreprise à communiquer leurs analyses à leurs employés et à impliquer ces derniers dans la réflexion concurrentielle de l’entreprise.
Par conséquent, les entreprises de taille moyenne ont créé un lien entre les informations et la valeur de celles-ci, et un certain nombre d'exemples montre que ceci a été exploité de manière profitable
et a eu un impact positif dans un large éventail de domaines, qu'il s'agit de la croissance ou de l’innovation en matière de produits. Cependant, ces entreprises semblent ne pas comprendre quelles sont
les méthodes les plus concrètes, y compris la maximisation des données massives et le déploiement des compétences les plus appropriées et les plus adaptées pour effectivement déverrouiller la valeur intrinsèque des informations détenues.
PwC 22
De toute évidence, les entreprises de taille
moyenne ne réagissent pas toutes de la
même manière. Nous avons identifié 4
entreprises ayant obtenu un score parfait
de 100 sur l'indice, ce qui signifie qu'elles
sont correctement équipées pour
confronter ces risques, et 88 autres
entreprises (8 % de l'échantillon) sont dans
la « zone verte », qui est celle d'une
maturité relativement proche.
En quoi ces organisations « avant-gardistes
» font-elles les choses différemment, et
comment bénéficient-elles de la mise en
œuvre performante d'une méthode de
gestion des informations ?
Les 34 affirmations du questionnaire, qui
ont été utilisées pour calculer les scores sur
l'indice de maturité concernant ces risques
en fonction des réponses des participants
(voir détails à l'annexe), sont, selon nous,
des mesures que les entreprises de taille
moyenne européennes et nord-américaines
sont parfaitement capables de mettre en
œuvre et de contrôler efficacement. À la
lumière de l'ampleur croissante de ces
risques, de telles mesures devraient
aujourd'hui exister dans toutes ces
entreprises, et non simplement constituer
une simple aspiration.
Qu’est-ce que les meilleures organisations font différemment ?
PwC 23
Qu’est-ce que les entreprises avant-gardistes font différemment ?
Nous avons examiné les organisations de taille moyenne répondant à nos critères de classement dans la catégorie des entreprises bien équipées pour affronter ces risques, afin d'essayer de déterminer si ces sociétés récoltent d'autres fruits de leur protection des informations conformément à ce qui est généralement recommandé.
Les études de cas suivantes ont été réalisées à des fins d’illustration, en utilisant différentes variables extraites directement des données obtenues. Ceci a révélé un trait commun à tous les cas étudiés : de telles entreprises contrôlent et évaluent ce qu'elles font.
PwC 24
Cas d'entreprises correctement équipées pour affronter ces risques : Exemples de bonnes pratiques
Cas d'étude A
A est une société canadienne du secteur de fabrication et d’ingénierie. Elle emploie plus de 2 000 personnes, et son chiffre d'affaires oscille entre 40 et 50 millions de dollars. Il semble que chacun, au sein de cette organisation, assume une part de responsabilité concernant les risques liés à la gestion des informations, et non pas seulement quelques personnes dédiées à cette mission au sein du service des Technologies de l'information.
Comme la majorité des entreprises figurant en haut de l'indice, elle conserve toutes ses informations, ce qui permet à son personnel d'aller au-delà de la conformité et d'analyser leurs données pour évaluer leur valeur commerciale. Elle utilise également ses informations pour stimuler l'innovation, ainsi que pour embaucher de manière stratégique afin de ne pas souffrir de carences de compétences dans les domaines analytiques dans le futur.
Cas d'étude B
B est une entreprise de fabrication hongroise. Son chiffre d'affaires varie entre 10 et 15 millions d’euros, et elle emploie entre 2 000 et 2 500 personnes. La responsabilité principale des risques liés à la gestion des informations appartient au conseil d'administration, et l’entreprise contrôle et évalue par ailleurs efficacement ses politiques, procédures et programmes dans ce domaine.
En mettant à profit de manière appropriée les compétences analytiques de son personnel, cette entreprise montre qu’elle utilise ses informations d’une manière qui lui a permis de devenir plus rentable, de mieux connaître sa clientèle et de réduire ses cycles de création de produits et de développement.
PwC 25
Adoption des meilleures pratiques : Gouvernance des informations
La gouvernance des informations est un cadre pluridisciplinaire que les entreprises peuvent employer pour encourager la mise en œuvre de mesures adéquates et pour inciter des comportements appropriés concernant la façon dont les informations sont valorisées, gérées et utilisées par l'organisation. Ceci comprend la définition des postes, politiques, procédures et indicateurs nécessaires pour bien gérer les informations tout au long de leur cycle de vie, depuis leur création jusqu'à leur destruction finale.
Le chemin à parcourir pour gérer efficacement les risques liés à la gestion des informations
La gouvernance des informations (GI) paraîtra sans doute comme un concept écrasant pour une entreprise de taille moyenne affairée, mais ces principes sont pourtant au cœur de toute stratégie concrète et efficace en matière de risques liés à la gestion des informations.
L'essence de la GI consiste à comprendre quelles informations vous détenez, où vous les détenez et quelle est leur valeur, que ce soit pour vous, vos employés, vos clients ou vos concurrents, ainsi qu'à déterminer comment elles circulent à travers l'entreprise et où se situent les points les plus vulnérables.
Elle consiste à s'assurer que la gestion des informations et des risques associés représente une préoccupation constante du conseil d’administration, et qu’elle est appuyée par des mesures mises en œuvre par des équipes transversales composées d'un personnel compétent et doté des moyens nécessaires à son travail.
PwC 26
Comment y parvenir : les sept étapes à franchir pour réussir
1. « Cet enjeu n'est pas uniquement du ressort du service des Technologies de l'information » : Le service des Technologies de l'information ne peut pas protéger les informations si le service du Marketing les utilise pour créer les profils de préférence de ses clients sans que personne ne soit officiellement responsable de leur sécurité. Le conseil d'administration ne peut se permettre de fermer les yeux sur un risque susceptible de nuire de manière significative à la notoriété de la marque, à la confiance de la clientèle, à la conformité à la loi et à tout avantage concurrentiel de l'entreprise. Dans une entreprise, chacun doit assumer sa part de responsabilité concernant ces informations.
2. « Dressez un tableau sans complaisance de la réalité actuelle concernant ces risques » : Identifiez les lieux où se trouvent vos informations les plus vitales et les plus vulnérables en réalisant une analyse des risques dans l'ensemble de l'entreprise ». Utilisez les questions formulées par tous ceux dont il est dans l'intérêt que ces risques soient bien gérés, y compris le personnel de sécurité du service des Technologies de l'information, le service de Gestion des risques, le service de la Conformité et le service des Affaires juridiques, ainsi que les unités clés de l'entreprise et le service des archives. Pensez notamment aux adresses IP, ainsi qu'aux informations hautement visées par la réglementation et fréquemment auditées. Utilisez les résultats de ce travail pour concentrer vos ressources de protection contre les risques liés à la gestion des informations sur les domaines les plus essentiels. Réexaminez cette procédure à intervalles réguliers, car le degré de risque varie dans le temps.
3. « Libérez vos informations, afin de les mettre à profit par l'analyse et à travers l'innovation » : Ne
craignez pas vos informations. Les entreprises de taille moyenne doivent adopter une stratégie plus holistique et proactive en matière d'extraction de la valeur de leurs informations. Ceci implique de faire circuler ces informations plus librement, à condition qu'elles ne soient pas confidentielles ou privées, dans toute l’entreprise afin qu’elles soient le moteur de la créativité, de l’innovation et de la croissance.
4. « Demandez à vos employés qu'ils s’impliquent » : Toute gestion performante des risques liés à la gestion des
informations dépend du personnel de plusieurs manières différentes :
L'augmentation rapide des volumes, de la vélocité et de la variété des données, ainsi que le besoin croissant d’extraire de la valeur et des connaissances de l'ensemble de ces informations, a des implications significatives en matière de compétences. Les entreprises avant-gardistes emploient toutes des analystes de données. Si ceci est hors de votre portée, envisagez de former à ces questions d'autres fonctions de votre organisation afin que ces dernières acquièrent des compétences en matière de science de l’analyse des données.
Deuxièmement, encouragez l'instauration d'une culture du respect des informations, et veillez à ce que votre personnel possède la formation, les moyens de communication et l'assistance dont il a besoin pour gérer vos informations de manière responsable et pour réduire les risques associés.
Troisièmement, mettez en place une procédure robuste en matière de protection d’informations en cas de départ d'employés.
5. « Ne laissez pas traîner des documents papier contenant des informations » : Le fait que les documents
papiers soient perçus comme un risque de sécurité majeur est un enjeu qui peut et doit être confronté de manière urgente. Mettre en œuvre des procédures structurées en matière de scanning numérique et d'archivage et d'extraction de documents n'est pas difficile, et un prestataire de service externe chevronné pourrait vous aider à vous familiariser avec ce travail et à le gérer.
6. « Créez des indicateurs mesurant l'efficacité de vos mesures » : Quelles que soient les mesures que vous
décidiez d’adopter, celles-ci doivent atteindre leurs objectifs pour en valoir la peine, ce qui signifie qu'il est indispensable de déterminer si elles produisent les résultats escomptés. Définissez vos indicateurs de performance clés, vérifiez que votre personnel les connaît et les comprend. Désignez une personne responsable de réévaluer ces indicateurs à intervalles réguliers.
7. « Sachez quoi faire quand tout va mal » : Que ferez-vous si, en dépit de tous vos efforts, vous êtes victime d'un incident ? Que ce soit dans le contexte d'une restauration de données, de plans de continuité des activités, de la gestion de crises ou de la production des rapports de violation de données, la façon dont vous gérez la situation et en parlez suite à un tel incident pourrait être absolument déterminant. Certaines organisations sortent renforcées d'un tel incident, et sont parfois jugées encore plus fiables qu'auparavant. D’autres, par contre, ne s'en sont jamais remises.
PwC 27
Au vu des résultats de notre enquête, il est clair que, bien qu'un grand nombre d'organisations ait élaboré des politiques dans ce domaine et ait parfois commencé à mettre en œuvre des moyens de gouvernance, nous avons noté que les mesures mises en place par ces entreprises pour piloter les évaluations nécessaires, gérer ces risques et concevoir des mécanismes de contrôle et de surveillance sont insuffisantes pour être réellement performantes en matière de gouvernance des informations.
Cette présentation générale de la situation est focalisée sur les risques, mais il ne faut pas perdre de vue qu’au moment de définir les obligations de chacun dans ce domaine, l'équipe de direction doit saisir l'opportunité d'utiliser cette gouvernance pour que celle-ci conduise à des améliorations concrètes et permette d’identifier ce dont l'entreprise aura besoin pour protéger ses informations dans le futur. Posez des questions, telles que : « Si nous détenions cette information, pourrions-nous prendre cette décision stratégique ? » Voici ce qu'apporte la gouvernance : elle permet aux entreprises de faire ce
qu’elles ne peuvent pas faire aujourd'hui, et de saisir les opportunités offertes par l'économie numérique.
Engagez un dialogue avec les principales parties prenantes de l'entreprise, afin d'élaborer une stratégie de gestion des informations susceptibles de favoriser l'instauration et la promotion d'une culture professionnelle ouverte et fondée sur l'échange, tout en maintenant un bon niveau de protection des actifs d'informations importants.
PwC 28
Introduction
À l'appui de cet article, PwC et Iron
Mountain ont élaboré une méthodologie
d’étude solide permettant de valider les
conclusions présentées. Cette méthodologie
est fondée sur les analyses et les
enseignements tirés des enquêtes de 2012
et 2013. Dans le premier cas, nous avons
travaillé étroitement avec Iron Mountain
pour identifier les thèmes émergeant des
enquêtes précédentes, et avons utilisé ces
éléments pour établir un questionnaire
complet essentiellement basé sur les
thèmes clés de l'article, à savoir l'étendue et
l'efficacité des méthodes mises en œuvre
par les entreprises pour gérer les risques
liés à la gestion des informations vues sous
un angle stratégique, ainsi que sous l'angle
du personnel, de la communication et de la
sécurité.
Ceci est complété par une série de sections
supplémentaires permettant de mieux
comprendre pourquoi de telles pratiques
peuvent être mises en œuvre à la fois de
manière universelle et par secteur ou pays.
À des fins de comparaison, les questions
générales qui étayent l'indice de maturité
des risques ont été conservées sous le
format qu'en 2012 et en 2013. Le
questionnaire a été conçu par une équipe
de spécialistes des études chez PwC, qui a
notamment bénéficié de l'expertise et des
contributions de l'équipe du service des
Assurances risque de PwC, dirigée par
Claire Reid.
Nous avons travaillé en étroite
collaboration avec le cabinet Coleman
Parkes, notre partenaire d'études chargé du
travail sur le terrain, afin de veiller à ce que
le questionnaire soit compatible avec la
suite logicielle CATI, qui permet de réaliser
des interviews par téléphone à partir d’un
ordinateur, et à ce que ce questionnaire soit
disponible dans toutes les langues
maternelles des personnes composant
l'échantillon d’enquête.
Qui avons-nous interrogé ?
Afin de fournir aux dirigeants d'entreprise
qui liront cette enquête une analyse de la
nature et de l'étendue des risques liés à la
gestion des informations les plus pressants,
les personnes interviewées par téléphone
étaient typiquement des PDG, des
directeurs financiers, des directeurs de
service des Technologies de l'information et
des administrateurs de société. Ces
entretiens téléphoniques ont été réalisés en
s’assurant que les marchés et secteurs clés
soient proportionnellement représentés,
afin de pouvoir produire une analyse
comparative hautement détaillée.
Pour tirer le maximum de cette enquête,
nous avons réalisé une extraction générale
des données en complétant les principales
conclusions par des coupes spécifiques,
particulièrement en termes de tendances
propres au marché et au secteur. Cette
analyse comprenait également une
évaluation des principaux changements
identifiés entre les résultats de 2012, 2013
et 2014, appuyée et renseignée par des
questions sur les comportements. Nous
avons sollicité la contribution spécifique
des spécialistes du réseau chez PwC, et ce
dans chacun des pays européens et nord-
américains représentés dans l'étude.
Conformément à la méthode utilisée pour
les deux années précédentes, nous avons
créé un indice de maturité en matière de
risques liés à la gestion des informations.
Cet indice a été utilisé en appliquant une
moyenne pondérée de chaque réponse
fournie par chaque société aux 34 questions
de l’enquête. Tel qu'illustré au verso, ces 34
questions ont été divisées en quatre
catégories : stratégie, personnel,
communication et sécurité.
Méthodologie de l'étude
PwC 29
Stratégie
1. Stratégie ou méthode concernant les
risques liés à la gestion des
informations
2. Plan ou stratégie officiel(le) d'une
entreprise en matière de restauration
de données
3. Plan d'intervention d'urgence de
l'entreprise mis en œuvre pour
répondre aux incidents d'information
de petite ampleur ou aux pertes de
données
4. Revue à intervalles réguliers de la
politique de confidentialité des
informations
5. Registre des risques de l’entreprise
6. Stratégie de protection des
informations couvrant la sécurité des
équipements mobiles, des appareils
personnels et des ordinateurs
portables
7. Stratégie de gestion sur plusieurs
sites à la fois des informations
structurées et non structurées sous
des formats numériques et physiques
8. Stratégie d'élimination sécurisée du
matériel informatique et des
documents confidentiels
9. Stratégie structurant les priorités
d'accès aux documents essentiels et
aux documents à hauts risques, le
plus souvent en rapport à des
demandes de conformité
Personnes
10. Une personne ou équipe responsable
des risques liés à la gestion des
informations au sein de votre
organisation.
11. Une procédure de départ visant à
empêcher tout vol et toute copie
d'informations de la part d'employés
quittant votre organisation.
12. Programmes de formation destinés à
informer le personnel sur les enjeux
découlant des risques liés à la gestion
des informations.
13. Session d'information sur les risques
liés à la gestion des informations
faisant partie des séances
d'orientation destinées aux nouveaux
employés.
14. Programmes permanents de rappel et
de mise à niveau du personnel
concernant les risques liés à la
gestion des informations.
15. Programmes de formation efficaces
dispensés sur ordinateur concernant
les risques liés à la gestion des
informations.
16. Procédure de vérification des
antécédents d'employés.
17. Code de conduite énonçant les
comportements attendus de la part
de chaque employé.
18. Un outil permettant de mesurer le
degré de confiance du personnel en
l'efficacité de vos activités en matière
de risques liés à la gestion des
informations.
19. Une politique d'utilisation d’Internet
applicable à l'ensemble du personnel.
20. Une politique d'utilisation des
réseaux sociaux (Facebook, Twitter et
LinkedIn, par exemple) applicable à
l'ensemble du personnel
Questions utilisées pour créer l'indice de maturité en matière de risques liés à la gestion des informations
PwC 30
Communication
21. Disponibilité des informations, aisément accessibles en matière de risques liés à la gestion des informations, ce pour tous les employés.
22. Programmes de communication aux employés visant à renforcer les procédures concernant les risques liés à la gestion des informations.
23. Consignes et conseils clairs à l'attention du personnel concernant les procédures internes de destruction et de stockage sécurisés des documents physiques.
24. Consignes et conseils clairs à l'attention du personnel concernant les procédures internes de destruction et de stockage sécurisés des documents électroniques.
Sécurité
25. Politique de l'entreprise en matière de protection, de stockage et de destruction sécurisées d'informations confidentielles.
26. Programmes de diligence raisonnable concernant la gestion d’informations personnelles, de clients ou d’employés.
27. Un inventaire des sites sur lesquels vos informations sont stockées.
28. Une base de données centralisée sur la gestion des informations de sécurité.
29. Technologie permettant d'analyser les systèmes de détection d'intrusions et les systèmes de prévention d'intrusion.
30. Validation de tiers (tests de pénétration, par exemple).
31. Classifications de données claires, à jour et reconnues.
32. Procédures de contrôle d'accès aux bâtiments, aux zones à accès limité, aux archives de l'entreprise et aux autres informations confidentielles.
33. L'utilisation de règles et de procédures différentes pour le stockage de données, prenant en compte différentes durées de conservation de documents et différentes exigences de protection des données.
34. Procédures de notification d'incident (permettant de déceler quelque chose qui ne devrait pas être présent, par exemple).
PwC 31
Claire Reid
Associée, service des Assurances risque de PwC
Richard Petley
Directeur du service des Assurances risque de PwC
T : +44 (0)20 7212 5513
P :+44 (0)7734 607594
Courriel : [email protected]
T : +44 (0)121 265756
M : +44 (0)7801 741736
Courriel : [email protected]
Julie McClean
Directrice générale de la cellule des Enquêtes internationales de PwC
Kieran Jones
Directrice de la cellule des Enquêtes internationales de PwC
Philip Newman
Associé de la cellule des Enquêtes internationales de PwC
T : +44 (0)28 90 245454
P : +44 (0)7738 313241
Courriel : [email protected]
T : +44 (0)28 90 245454
P : +44 (0)7845 635383
Courriel : [email protected]
T : +44 (0)28 90 245454
P : +44 (0)7734 607594
Courriel : [email protected]
Auteurs du rapport
Cette publication a été rédigée exclusivement dans le but d'offrir des orientations générales sur divers sujets d'intérêt, et ne constitue en rien une source de conseils professionnels. Avant de prendre la moindre mesure fondée sur les informations figurant dans cette publication, veuillez consulter un conseiller professionnel spécialisé. Nous ne déclarons ni ne garantissons en aucun cas (que ce soit de manière expresse ou implicite) que les informations figurant dans cette publication sont exactes ou complètes, et, dans la mesure prévue par la loi, PricewaterhouseCoopers LLP, ses associés, ses employés et ses agents n’acceptent ni n’assument la moindre responsabilité civile, responsabilité générale ou obligation de vigilance concernant toutes conséquences résultant de votre décision d’agir, de ne pas agir ou de vous fier aux informations figurant dans cette publication et de toute décision fondée sur ces informations.
© 2014 PricewaterhouseCoopers LLP. Tous droits réservés. Dans ce document, « PwC » désigne PriceWaterhouseCoopers LLP (une société à responsabilité limitée au Royaume-Uni), qui est membre du groupe PriceWaterhouseCoopers International Ltd, donc chaque société membre est une personne morale distincte.