Tribunes

Gestion des risques pour l'information : les 10 leçons que les entreprises peuvent apprendre les unes des autres

Gestion des risques pour l'information : les 10 leçons que les entreprises peuvent apprendre les unes des autres

Les entreprises doivent gérer avec efficacité leur actif stratégique qu'est devenue l'information. Et certaines ont pris de bonnes habitudes qui peuvent inspirer d'autres.

PublicitéL'information bien gérée est devenue un actif stratégique précieux des entreprises. Ce gain de valeur crée inévitablement une plus grande vulnérabilité. On assiste à une recrudescence des cas de violation de données, des cyber-menaces et des fraudes. De telles malveillances assorties d'erreurs humaines rendent les entreprises plus vulnérables; face à la sophistication et à la rapidité d'évolution de l'information, celles-ci craignent pour la réputation de leurs marques. Sur fond de cadre réglementaire pas toujours très clair, les entreprises s'efforcent de jongler entre la nécessité de gérer leurs archives et les énormes volumes de données que génèrent les nouvelles technologies. Elles se trouvent confrontées à des niveaux sans précédent de risque pour l'information.

Une nouvelle étude d'Iron Mountain, le spécialiste des services de conservation et de gestion de l'information, et de PwC révèle de fortes différences de perception et de gestion du risque pour l'information entre les entreprises jeunes et celles plus anciennes.

Toutes ont à apprendre des enseignements des autres.

Enseignements des entreprises matures aux plus jeunes :

1.     Il est tout aussi important de suivre une stratégie que de 'faire le job'. Un peu moins de la moitié (49 %) des entreprises jeunes, entre deux et cinq ans d'exercice, reconnaissent être bien meilleures dans la conduite de leurs opérations qu'en planification stratégique. Les plus anciennes, celles qui ont au moins dix ans, semblent avoir compris qu'il est tout aussi important de comprendre pourquoi on fait quelque chose que de le faire, et plus de la moitié (56 %) ont mis en place une stratégie de suivi des risques pour l'information contre 14 % seulement des sociétés plus jeunes.

2.     La prudence est de mise vis-à-vis des employés et de leur manière de gérer l'information. Les sociétés plus jeunes font beaucoup plus confiance à leurs employés et à leurs données. 18 % seulement pensent que leurs employés sont une menace potentielle pour la sécurité de l'information et seule la moitié leur impose un code de conduite ; les entreprises plus anciennes sont 42 % à considérer leurs employés comme une menace potentielle et deux tiers ont mis en place un code de conduite des employés. Si la prudence amène à faire appliquer des codes, à préconiser des directives et à dispenser des formations pour aider les employés à mieux appréhender les risques et protéger l'information, alors la prudence doit être vivement recommandée et félicitée.

3.     S'il y a un risque que les choses tournent mal, mieux vaut s'y préparer. Les sociétés plus anciennes sont trois fois plus nombreuses à avoir un plan de reprise d'activité après un sinistre (66 % contre 27 %) En l'absence d'un tel plan, n'importe quel sinistre risque de paralyser l'entreprise et de l'exposer à des violations de ses données ou à une perte d'information dont elle pourrait bien ne pas se relever.

Publicité4.     Il faut contrôler l'efficacité des mesures en place. L'étude révèle que les sociétés plus anciennes sont près de deux fois plus nombreuses à contrôler l'efficacité des mesures qu'elles décident d'appliquer. Faute de contrôles, il est probable que les entreprises jeunes gaspillent des ressources ou qu'elles s'obligent à des procédures en vain, sans réelle efficacité en terme de réduction des risques.

5.     La gestion des risques pour l'information doit être une priorité de la direction. Dans la moitié des jeunes entreprises, la question de la sécurité de l'information ne figure pas à l'ordre des priorités du conseil d'administration, à l'inverse de leurs aînées qui y accordent bien plus d'attention. L'adhésion des dirigeants et leur implication dans la gestion des risques pour l'information sont primordiales.

6.     Chaque employé doit être sensibilisé à la nécessité de réduire les risques pour l'information. Alors qu'elles se méfient peu de leurs employés, un peu plus de la moitié (52 %) des jeunes structures reconnaissent que leurs salariés ne mesurent pas l'importance de la protection des données. Elles font donc volontiers confiance à ceux dont elles soupçonnent qu'ils ne se préoccupent pas beaucoup de la protection de l'information. Deux tiers des entreprises matures sondées estiment à l'inverse que leurs employés mesurent l'importance de la sécurité de l'information.

Points intéressants auxquels les entreprises, jeunes et plus anciennes, doivent faire attention :

7.     L'environnement de l'information, complexe et hybride, va perdurer. Les jeunes entreprises sont plus à l'aise avec les pratiques de gestion des données structurées et non structurées, aux formats électroniques et physiques, distribuées sur différents sites (55 % contre 38 % chez leurs aînées). Dorénavant, l'environnement des données sera multi-format et multi-canal ; il faut s'y faire, l'accepter et se préparer à le gérer.

8.     Il est temps de mieux définir les frontières entre pratiques personnelles/professionnelles des médias sociaux. Les frontières entre les usages personnels et professionnels des médias sociaux continuent d'évoluer. Ces questions exposent les entreprises imprudentes à de graves difficultés d'ordre juridique et de protection des données. La confusion et l'incertitude jaillissent de la multitude des approches et des préférences d'utilisation des médias sociaux mises en évidence par l'étude. Elle nous apprend, par exemple, que plus de la moitié (59 %) des jeunes entreprises surveillent l'utilisation des médias sociaux par leurs employés, contre 36 % des sociétés plus anciennes. Les entreprises plus jeunes surveillent l'utilisation qui est faite de Facebook (73 %), tandis que leurs aînées sont deux fois plus nombreuses à surveiller les publications sur LinkedIn (67 %). La tendance s'inverse quand il s'agit de recruter : un tiers des entreprises de plus de 10 ans (31 %) utilisent Facebook quand elles examinent des candidatures contre seulement 10 % des plus jeunes ; à l'inverse, pour leurs besoins de recrutement, 82 % des jeunes entreprises utilisent LinkedIn, contre 46 % de leurs aînées. Les réponses obtenues ne permettent pas d'évaluer l'utilité qu'elles retirent de l'analyse de ces informations.

9.     Les préjudices financiers ne sont pas les seuls. C'est votre réputation qui risque le plus de pâtir d'une violation de données.Toutes les entreprises mesurent l'impact d'une violation de données sur la fidélité de leurs clients (58 % des deux catégories) et la réputation de leur marque (52 % des deux catégories), mais les entreprises plus anciennes sont près de deux fois plus préoccupées par les conséquences juridiques et financières.

10.  La gestion des risques prévaut sur les économies. 3% seulement des jeunes entreprises privilégient nettement la réduction des coûts à la diminution des risques, contre 28% des leurs aînées. Peut-être que ceci s'explique par le fait que deux tiers des entreprises plus anciennes estiment que le risque d'une violation de données est faible, contre un tiers des plus jeunes, qui craignent probablement de se sentir submergées par le risque d'être victimes d'une violation de données et le rythme du changement.

Le risque pour l'information concerne tout le monde. Les entreprises détiennent des renseignements sur leurs employés et sur leurs fournisseurs, des données précieuses de propriété intellectuelle et de connaissances acquises, mais aussi des informations personnelles sur nous, consommateurs de leurs produits et services. Il faut absolument que ces informations soient protégées. Pour y parvenir, il faut explorer toutes les pistes permettant de réduire le risque. Les entreprises ont beaucoup à apprendre des meilleures pratiques des unes et des autres et de leurs procédures de gestion des risques pour l'information.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis