Au-delà des bonnes intentions - Rapport de PwC produit en collaboration avec Iron Mountain - Juin...

download Au-delà des bonnes intentions - Rapport de PwC produit en collaboration avec Iron Mountain - Juin 2014

of 35

  • date post

    01-Nov-2014
  • Category

    Business

  • view

    866
  • download

    4

Embed Size (px)

description

Le besoin de passer des bonnes intentions à l'action concernant les risques liés à la gestion des informations sur le marché des entreprises de taille moyenne.

Transcript of Au-delà des bonnes intentions - Rapport de PwC produit en collaboration avec Iron Mountain - Juin...

  • 1. www.pwc.co.uk Au-del des bonnes intentions Le besoin de passer des bonnes intentions l'action concernant les risques lis la gestion des informations sur le march des entreprises de taille moyenne Rapport de PwC produit en collaboration avec Iron Mountain Juin 2014
  • 2. PwC Sommaire Sommaire Avant-propos 1 Synthse 2 De bonnes intentions, mais peu de progrs 4 Responsabilit des informations: est-elle du ressort de personnes appropries ? 11 Exploiter les donnes au maximum de leur potentiel 17 Quest-ce que les meilleures organisations font diffremment ? 22 Adoption des meilleures pratiques : Gouvernance des informations 25 Mthodologie de l'tude 28 Questions utilises pour crer l'indice de maturit en matire de risques lis la gestion des informations 29 Auteurs du rapport 31
  • 3. PwC 1 Sue Trombley Christian Toon Directeur gnral du leadership intellectuel Responsable des risques lis la gestion des informations Iron Mountain - Amrique du Nord Iron Mountain - Europe Dans un monde dont le moteur est le savoir, les informations sont devenues un actif commercial de plus en plus prcieux, et cette valeur croissante des informations entrane un risque plus important. Il s'agit de la troisime tude annuelle ralise par PwC et Iron Mountain afin d'apprendre comment les entreprises europennes de taille moyenne (celles dont les effectifs vont de 250 2 500 employs) peroivent et grent le risque li la gestion des informations. L'tude 2012 a rvl une large insouciance vis--vis des menaces et des vulnrabilits potentielles. L'tude 2013 indiquait que les entreprises de taille moyenne avaient ragi, mais que leurs initiatives prliminaires pour s'attaquer la gestion des risques lis aux informations taient noyes dans un ocan de donnes massives. Cette anne, nous avons dcid de regarder si les tendances en matire de risques lis la gestion des informations sont confines aux entreprises europennes de taille moyenne ou s'il s'agit d'un phnomne plus gnral. Dans l'tude 2014, qui s'appuie elle aussi sur les moyens de recherche et d'analyse puissants de PwC combins la profondeur de l'expertise de Iron Mountain, porte sur les organisations de taille moyenne aux tats-Unis et au Canada, ainsi que sur les grandes entreprises (celles de plus de 2 500 employs) sur les deux continents. O que nous regardions, nous avons observ un cart entre la situation actuelle des entreprises en termes de capacit de gestion des risques lis aux informations et l'objectif qu'elles se sont fix ou qu'elles ont besoin d'atteindre. Les tendances majeures sont mondiales. Qu'il s'agisse des entreprises les plus grandes et les plus tablies ou des entreprises de taille moyenne les plus jeunes, elles se rvlent toutes incapables de combler l'cart entre le fait d'avoir mis en place un plan ou rglement bien intentionn et le stade auquel elles pourraient affirmer qu'un tel plan ou rglement fonctionne effectivement. La responsabilit en matire de risques lis la gestion des informations est invariablement et presque exclusivement confie au service des technologies de l'information, ce un moment o des informations sont pourtant gnres et utilises par l'ensemble des fonctions des entreprises, et o l'impact potentiel d'une violation des donnes impact sur la notorit et/ou impact juridique, financier ou commercial exige des dirigeants d'entreprise qu'ils prtent attention aux problme et requiert que les autres services d'une entreprise s'impliquent davantage cet gard. Avant-propos
  • 4. PwC 1 En dpit du fait qu'il existe partout des organisations comprenant parfaitement que les informations ont de la valeur, la majorit de ces organisations prfrent les scuriser en les verrouillant afin d'viter toute violation de donnes ou toute action en justice, plutt que de les utiliser des fins d'avantages concurrentiels, dinnovation et de croissance. Enfin et surtout, alors que les entreprises se concentrent sur des initiatives numriques, elles dcouvrent qu'il est difficile de grer les risques associs leurs documents papier. Environ deux tiers des participants l'tude ont dclar que ce risque est le plus important de tous, soit deux fois plus que concernant le risque de menaces externes, qui arrive au deuxime rang. Tout ceci entrane une situation o ces organisations sont exposes un risque de perte de donnes ou de dommages causs leurs donnes. Et pourtant, ceci peut parfaitement tre vit. Nous avons dcouvert des entreprises ayant adopt un concept gnral clair et effectif en matire de gouvernance d'informations et de gestion des risques lis aux informations - des organisations qui comprennent les menaces pesant sur leurs informations et la faon den tirer parti. Plus loin dans ce livre blanc, nous prsentons les caractristiques cls de ces prcurseurs et proposons des conseils pratiques pour aider les autres suivre cette voie. noncer de bonnes intentions constitue le point de dpart, et non la ligne d'arrive, du chemin parcourir pour grer vos risques lis aux informations.
  • 5. PwC 2 Les informations constituent l'oxygne d'une entreprise. Elles lui sont essentielles et sont omniprsentes. Elles comprennent les savoirs et l'acquisition de savoirs, les donnes gnres par des systmes, les informations sur les produits et les clients, les communications au quotidien et les documents archivs sur papier, ainsi que les proprits intellectuelles de l'entreprise. Cependant, la croissance de leur volume, leur plus grande diversit et les diffrents types d'informations professionnelles utiliss aujourd'hui entranent des risques, lesquels sont extrmement varis. Sils ne sont pas correctement grs et/ou attnus, ils peuvent avoir un impact critique et prjudiciable sur une entreprise. Ces risques, menaces et impacts potentiels sont maintenant mieux identifis et compris, par rapport ces dernires annes. Le monde des entreprises de taille moyenne, la fois en Europe et en Amrique du Nord, a ragi aux violations de donnes, fuites et incidents d'espionnage divers hautement mdiatiss en adoptant davantage de stratgies organisationnelles et en mettant en uvre des plans et procdures d'actions internes, mais galement en investissant dans des technologies de scurit et des programmes de communication internes. Nanmoins, notre recherche montre que, bien que ceci constitue une volution positive et trs bienvenue, l'cart se creuse entre eux : les bonnes intentions , nonces dans des dclarations dengagement incluses aux rglements organisationnels et aux programmes internes des entreprises, dune part, et la mise en uvre de mesures concrtes sous forme dapplication effective de tels rglements et programmes, d'autre part. Cet cart reprsente un problme essentiel, car il contribue exposer les entreprises de taille moyenne un trs large ventail de risques d'informations susceptibles d'avoir des rpercussions durables et potentiellement irrparables sur leur viabilit gnrale et leurs avantages concurrentiels. En outre, bien que cet cart entre les engagements dclars et les mesures concrtes contribue une plus grande exposition aux risques d'informations, il limite galement la capacit des entreprises de taille moyenne utiliser efficacement leurs informations en tant qu'actif prcieux susceptible de leur permettre de se dmarquer sur leur march. De nombreuses entreprises de taille moyenne en Amrique du Nord et en Europe reconnaissent que leurs informations ont de la valeur, mais elles ne s'en servent pas pour en tirer un avantage concurrentiel. Notre tude montre que le secteur des entreprises de taille moyenne reste indment passif et protectionniste, plutt que proactif et innovant, en ce qui concerne la faon d'utiliser ses portefeuilles d'informations croissants. Il est intressant de noter que ce phnomne est gnral, quel que soit le pays, le secteur d'activit, le continent ou la forme ou taille des entreprises, et qu'il est sans rapport avec leurs effectifs ou leurs ressources. Par consquent, il s'agit d'un dfi absolument gnral. Selon nous, les entreprises de taille moyenne ont significativement besoin de traduire leurs politiques et objectifs organisationnels en mesures concrtes et applicables, et la majorit de ces entreprises ne sont ni suffisamment protges ni en mesure de pleinement optimiser les donnes/informations qu'elles dtiennent. Principales conclusions de l'tude : Le score sur l'indice de maturit en matire de risques, qui couvre un chantillon dentreprises de taille moyenne europennes et nord-amricaines, atteint 55,3 par rapport un idal de 100,0. Un tel score de 55,3 correspond, selon notre dfinition, au segment Conscientes du risque de cet indice. Ceci est symptomatique des entreprises ayant graduellement pris conscience du besoin de grer ce risque, mais qui ne savent toujours pas comment ragir et qui restent mal quipes pour confronter cette menace. L'absence de mesures, de politiques et de procdures proprement mises en uvre et contrles contribue partiellement empcher les entreprises de taille moyenne parvenir un niveau de maturit plus lev. Seules 37 % de ces entreprises en Europe et 47 % en Amrique du Nord ont mis en place une stratgie en matire de risques lis la gestion des informations pleinement contrle. Ceci devrait constituer le socle sur lequel des Synthse
  • 6. PwC 3 mesures de protection appropries devraient tre labores, et pourtant plus de la moiti des entreprises de taille moyenne ne le font pas. Seules 26 % des entreprises europennes et 20 % des entreprises nord-amricaines prennent les mesures ncessaires pour dterminer dans quelle mesu