www.pwc.co.uk

Au-delà des bonnes intentions Le besoin de passer des bonnes intentions à l'action concernant les risques liés à la gestion des informations sur le marché des entreprises de taille moyenne

Rapport de PwC produit en collaboration avec Iron Mountain

Juin 2014

PwC Sommaire

Sommaire

Avant-propos 1

Synthèse 2

De bonnes intentions, mais peu de progrès 4

Responsabilité des informations: est-elle du ressort de personnes appropriées ? 11

Exploiter les données au maximum de leur potentiel 17

Qu’est-ce que les meilleures organisations font différemment ? 22

Adoption des meilleures pratiques : Gouvernance des informations 25

Méthodologie de l'étude 28

Questions utilisées pour créer l'indice de maturité en matière de risques liés à la gestion des informations 29

Auteurs du rapport 31

PwC 1

Sue Trombley Christian Toon

Directeur général du leadership intellectuel

Responsable des risques liés à la gestion des informations

Iron Mountain - Amérique du Nord

Iron Mountain - Europe

Dans un monde dont le moteur est le savoir, les informations sont devenues un actif commercial de plus en plus précieux, et cette valeur croissante des informations entraîne un risque plus important.

Il s'agit de la troisième étude annuelle réalisée par PwC et Iron Mountain afin d'apprendre comment les entreprises européennes de taille moyenne (celles dont les effectifs vont de 250 à 2 500 employés) perçoivent et gèrent le risque lié à la gestion des informations. L'étude 2012 a révélé une large insouciance vis-à-vis des menaces et des vulnérabilités potentielles. L'étude 2013 indiquait que les entreprises de taille moyenne avaient réagi, mais que leurs initiatives préliminaires pour s'attaquer à la gestion des risques liés aux informations étaient noyées dans un océan de données massives.

Cette année, nous avons décidé de regarder si les tendances en matière de risques liés à la gestion des informations sont confinées aux entreprises européennes de taille moyenne ou s'il s'agit d'un phénomène plus général. Dans l'étude 2014, qui s'appuie elle aussi sur les moyens de recherche et d'analyse puissants de PwC combinés à la profondeur de l'expertise de Iron Mountain, porte sur les organisations de taille moyenne aux États-Unis et au Canada, ainsi que sur les grandes entreprises (celles de plus de 2 500 employés) sur les deux continents.

Où que nous regardions, nous avons observé un écart entre la situation actuelle des entreprises en termes de capacité de gestion des risques liés aux informations et l'objectif qu'elles se sont fixé ou qu'elles ont besoin d'atteindre.

Les tendances majeures sont mondiales.

Qu'il s'agisse des entreprises les plus grandes et les plus établies ou des entreprises de taille moyenne les plus jeunes, elles se révèlent toutes incapables de combler l'écart entre le fait d'avoir mis en place un plan ou règlement bien intentionné et le stade auquel elles pourraient affirmer qu'un tel plan ou règlement fonctionne effectivement.

La responsabilité en matière de risques liés à la gestion des informations est invariablement et presque exclusivement confiée au service des technologies de l'information, ce à un moment où des informations sont pourtant générées et utilisées par l'ensemble des fonctions des entreprises, et où l'impact potentiel d'une violation des données – impact sur la notoriété et/ou impact juridique, financier ou commercial – exige des dirigeants d'entreprise qu'ils prêtent attention aux problème et requiert que les autres services d'une entreprise s'impliquent davantage à cet égard.

Avant-propos

PwC 1

En dépit du fait qu'il existe partout des organisations comprenant parfaitement que les informations ont de la valeur, la majorité de ces organisations préfèrent les sécuriser en les verrouillant afin d'éviter toute violation de données ou toute action en justice, plutôt que de les utiliser à des fins d'avantages concurrentiels, d’innovation et de croissance.

Enfin et surtout, alors que les entreprises se concentrent sur des initiatives numériques, elles découvrent qu'il est difficile de gérer les risques associés à leurs documents papier. Environ deux tiers des participants à l'étude ont déclaré que ce risque est le plus important de tous, soit deux fois plus que concernant le risque de menaces externes, qui arrive au deuxième rang.

Tout ceci entraîne une situation où ces organisations sont exposées à un risque de perte de données ou de dommages causés à leurs données. Et pourtant, ceci peut parfaitement être évité. Nous avons découvert des entreprises ayant adopté un concept général clair et effectif en matière de gouvernance d'informations et de gestion des risques liés aux informations - des organisations qui comprennent les menaces pesant sur leurs informations et la façon d’en tirer parti. Plus loin dans ce livre blanc, nous présentons les caractéristiques clés de ces précurseurs et proposons des conseils pratiques pour aider les autres à suivre cette voie.

Énoncer de bonnes intentions constitue le point de départ, et non la ligne d'arrivée, du chemin à parcourir pour gérer vos risques liés aux informations.

PwC 2

Les informations constituent l'oxygène d'une entreprise. Elles lui sont essentielles et sont omniprésentes. Elles comprennent les savoirs et l'acquisition de savoirs, les données générées par des systèmes, les informations sur les produits et les clients, les communications au quotidien et les documents archivés sur papier, ainsi que les propriétés intellectuelles de l'entreprise.

Cependant, la croissance de leur volume, leur plus

grande diversité et les différents types

d'informations professionnelles utilisés aujourd'hui

entraînent des risques, lesquels sont extrêmement

variés. S’ils ne sont pas correctement gérés et/ou

atténués, ils peuvent avoir un impact critique et

préjudiciable sur une entreprise.

Ces risques, menaces et impacts potentiels sont

maintenant mieux identifiés et compris, par

rapport à ces dernières années. Le monde des

entreprises de taille moyenne, à la fois en Europe et

en Amérique du Nord, a réagi aux violations de

données, fuites et incidents d'espionnage divers

hautement médiatisés en adoptant davantage de

stratégies organisationnelles et en mettant en

œuvre des plans et procédures d'actions internes,

mais également en investissant dans des

technologies de sécurité et des programmes de

communication internes.

Néanmoins, notre recherche montre que, bien que

ceci constitue une évolution positive et très

bienvenue, l'écart se creuse entre eux : les « bonnes

intentions », énoncées dans des déclarations

d’engagement incluses aux règlements

organisationnels et aux programmes internes des

entreprises, d’une part, et la mise en œuvre de

mesures concrètes sous forme d’application

effective de tels règlements et programmes, d'autre

part.

Cet écart représente un problème essentiel, car il

contribue à exposer les entreprises de taille

moyenne à un très large éventail de risques

d'informations susceptibles d'avoir des

répercussions durables et potentiellement

irréparables sur leur viabilité générale et leurs

avantages concurrentiels.

En outre, bien que cet écart entre les engagements

déclarés et les mesures concrètes contribue à une

plus grande exposition aux risques d'informations,

il limite également la capacité des entreprises de

taille moyenne à utiliser efficacement leurs

informations en tant qu'actif précieux susceptible

de leur permettre de se démarquer sur leur marché.

De nombreuses entreprises de taille moyenne en

Amérique du Nord et en Europe reconnaissent que

leurs informations ont de la valeur, mais elles ne

s'en servent pas pour en tirer un avantage

concurrentiel. Notre étude montre que le secteur

des entreprises de taille moyenne reste indûment

passif et protectionniste, plutôt que proactif et

innovant, en ce qui concerne la façon d'utiliser ses

portefeuilles d'informations croissants.

Il est intéressant de noter que ce phénomène est

général, quel que soit le pays, le secteur d'activité,

le continent ou la forme ou taille des entreprises, et

qu'il est sans rapport avec leurs effectifs ou leurs

ressources. Par conséquent, il s'agit d'un défi

absolument général.

Selon nous, les entreprises de taille moyenne ont significativement besoin de traduire leurs politiques et objectifs organisationnels en mesures concrètes et applicables, et la majorité de ces entreprises ne sont ni suffisamment protégées ni en mesure de pleinement optimiser les données/informations qu'elles détiennent. Principales conclusions de l'étude :

Le score sur l'indice de maturité en matière de

risques, qui couvre un échantillon

d’entreprises de taille moyenne européennes

et nord-américaines, atteint 55,3 par rapport à

un idéal de 100,0.

Un tel score de 55,3 correspond, selon notre

définition, au segment « Conscientes du

risque » de cet indice. Ceci est symptomatique

des entreprises ayant graduellement pris

conscience du besoin de gérer ce risque, mais

qui ne savent toujours pas comment réagir et

qui restent mal équipées pour confronter cette

menace.

L'absence de mesures, de politiques et de

procédures proprement mises en œuvre et

contrôlées contribue partiellement à

empêcher les entreprises de taille moyenne à

parvenir à un niveau de « maturité » plus

élevé.

Seules 37 % de ces entreprises en Europe et 47

% en Amérique du Nord ont mis en place une

stratégie en matière de risques liés à la gestion

des informations pleinement contrôlée. Ceci

devrait constituer le socle sur lequel des

Synthèse

PwC 3

mesures de protection appropriées devraient

être élaborées, et pourtant plus de la moitié

des entreprises de taille moyenne ne le font

pas.

Seules 26 % des entreprises européennes et

20 % des entreprises nord-américaines

prennent les mesures nécessaires pour

déterminer dans quelle mesure leurs

programmes de formation en matière de

gestion des risques liés aux informations sont

efficaces.

En termes de responsabilité et d'affectation

appropriée des compétences, 46 % des

entreprises européennes et 32 % des

entreprises nord-américaines déclarent que

leur directeur de la sécurité des technologies

de l'information est le plus haut responsable

en charge des risques liés à la gestion des

informations. Lorsque nous leur avons

demandé à qui cette responsabilité globale

devrait incomber, ces pourcentages atteignent

respectivement 73 % et 74 %. Selon nous, ceci

limite la capacité d'une organisation à

anticiper et à réagir à l'ampleur des risques

vue sous un angle plus large, à savoir sous un

angle dépassant la simple responsabilité du

service des technologies de l'information de

l’entreprise.

Plus de la moitié des entreprises estiment qu'il

n'existe aucun écart de compétences en

matière de gestion des informations au sein de

leur personnel. Ceci semble indûment

optimiste, mais reflète également l'absence de

compréhension des compétences qui sont

requises pour à la fois protéger et optimiser

les informations des entreprises de manière

appropriée.

87 % des entreprises européennes et 80 % des

entreprises nord-américaines pensent

qu'aucun ancien employé n'a emporté avec lui

et fourni à son nouvel employeur des

informations détenues par leur organisation.

Dans le meilleur des cas, il s'agit d'une vision

optimiste, et dans le pire des cas, ceci

démontre plus amplement leur naïveté, selon

laquelle les informations de tous types et de

tous degrés de confidentialité ne sont pas

rendues vulnérables par des employés

existants ou futurs d’une manière susceptible

de procurer un avantage à des concurrents

et/ou de constituer une menace.

Afin d'atteindre adéquatement et de surpasser le

double objectif fondamental de la protection

adéquate et de l’optimisation de la valeur de leurs

informations, les entreprises de taille moyenne

doivent s'atteler à un certain nombre d'enjeux.

Combler l'écart entre les déclarations

d’intention et les mesures concrètes

(1) Afin d'avoir un impact, les stratégies

organisationnelles, les initiatives du

personnel, les programmes de communication

et les procédures de sécurité doivent être

examinés, testés, évalués, affinés et

pleinement compris.

Les hauts dirigeants d'entreprises de taille

moyenne doivent coordonner et affecter

adéquatement la responsabilité en matière

de risques liés à la gestion des

informations.

(2) Les informations sont visibles ou invisibles,

physiques ou électroniques, en ligne ou sur

papier, et, par conséquent, la haute direction

de chaque entreprise doit coordonner la façon

dont ceci est à la fois géré et/ou optimisé, de

façon à ce que chacun connaisse à la fois son

rôle et les conséquences potentielles de toute

absence de conformité.

Les informations peuvent uniquement

avoir de la valeur pour une entreprise si

elles sont proprement gérées et

efficacement utilisées. Ceci nécessite de

réaliser un audit en bonne et due forme des

écarts de compétences, afin de réduire de

tels écarts et de répartir les compétences de

manière appropriée.

(3) La gestion et l'optimisation des informations

ne devraient pas être principalement du

ressort des professionnels du service des

technologies de l'information. Les données

doivent être plus largement partagées avec les

analystes et les innovateurs à travers

l'ensemble de l'organisation.

La confiance accordée aux employés doit

être protégée et sous-tendue par des

procédures évaluées et contrôlées.

(4) Il est important d'investir dans du matériel de

sécurité et des technologies de protection

adaptés. Cependant, ceci doit être appuyé par

des procédures du personnel à la fois

surveillées et contrôlées, de façon à conjurer

toutes menaces susceptibles d'émerger au sein

même de l'organisation et qui sont souvent les

sources d’exposition les plus courantes et les

plus dommageables.

PwC 4

Dans la communauté des affaires et dans la classe

politique, l'optimisme est croissant : non seulement le

marché des entreprises de taille moyenne est en passe

de sortir de la récession la plus grave et la plus longue

que la présente génération ait connue, mais la

croissance du PIB devrait être nettement supérieure

aux prévisions les plus récentes. En dépit de cette

tendance positive, les entreprises de taille moyenne

restent exposées aux risques de mauvaise gestion du

volume croissant d'informations que les entreprises

doivent aujourd'hui gérer.

Les informations constituent l'oxygène d'une

entreprise. Elles lui sont essentielles et sont

omniprésentes. De telles informations comprennent les

connaissances et savoirs de leurs personnels, ainsi que

ce que ces derniers apprennent dans le cadre de leur

activité au service de leur entreprise, le volume

croissant des données générées par les systèmes et par

les procédures des entreprises, les vastes bases de

données constituées de fichiers sur les clients et sur les

employés, les informations sur les produits, les

communications internes et externes, les documents

archivés sur papier et les propriétés intellectuelles de

valeur des entreprises. Elles englobent les courriels, les

notes et commentaires rédigés sur les réseaux sociaux,

les messages instantanés, les vidéos, les données

numériques, les correspondances, les contrats, les

avant-projets, et les concepts et principes de

fonctionnement commercial de l'entreprise.

Les risques liés à la gestion des informations sont

extrêmement divers. Les bases de données numériques

sont susceptibles d'être victimes d'intrusions, les

communications en ligne peuvent faire l'objet de logiciels

malveillants, de fraudes ou d'attaques malicieuses, les

données de documents sur papier sont susceptibles

d'être divulguées lorsque de tels documents ne sont pas

proprement jetés ou éliminés ou s'ils sont volés ou

éparpillés en cas de catastrophe naturelle, et la propriété

intellectuelle de l'entreprise peut être perdue en cas de

vol ou d'espionnage.

Les employés d'une entreprise sont au cœur de la gestion

des informations. En fonction de leur rôle et de leur

domaine de responsabilité, les employés d'une entreprise

utilisent et produisent différents types d'informations, ce

qui explique pourquoi celles-ci sont gérées de différentes

manières. D'autre part, certaines informations sont

susceptibles de quitter l'entreprise, que ce soit par

inadvertance ou non, en cas de départ d'un employé.

Ces dernières années, les entreprises de taille moyenne

ont pris conscience de l'importance de gérer de manière

effective les risques liés à la gestion des informations, et

ont en conséquence mis en place un éventail de

politiques, de procédures et de plans d'action différents.

Cependant, notre récente enquête, commandée par Iron

Mountain, a révélé un écart croissant entre d'une part les

bonnes intentions, énoncées dans des déclarations

d'engagement sous forme de politiques et de procédures

d'entreprise, et d'autre part les mesures concrètes, qui

constituent la mise en application efficace et contrôlée de

ces politiques et procédures.

Cet écart est un enjeu clé et un réel problème pour les

entreprises de taille moyenne.

De bonnes intentions, mais peu de progrès

PwC 5

« Nous notons une détermination durable à élaborer des politiques, effectuer des analyses et mettre en œuvre des programmes internes au sein de ces entreprises. Cependant, notre expérience nous enseigne que, si les entreprises phares de l'industrie ne surveillent pas et n'évaluent pas l'impact de telles mesures, ces dernières ont fort peu de chances d'être proprement appliquées ».

Claire Reid

Partenaire de PwC en matière de sécurité des informations

« On ne peut pas lutter contre les menaces d'aujourd'hui avec les stratégies d'hier. Ce dont nous avons besoin, c'est à la fois d'une nouvelle méthode globale concernant les risques liés à la gestion des informations, c'est-à-dire d'une méthode dont le moteur est la connaissance réelle des menaces existantes et des actifs à protéger, et d'une réalisation que, même s'il n'est pas toujours possible de se protéger complètement contre les risques liés à la gestion des informations, de tels risques peuvent être ramenés à des niveaux acceptables ».

Gary Loveland

Partenaire de PwC en matière de sécurité des informations

PwC a réalisé sa troisième série annuelle

d’entretiens auprès de 600 entreprises de taille moyenne (celles de 250 à 2 500 employés, qui constituent le marché des entreprises de taille moyenne) dans six pays européens : la France, l’Allemagne, la Hongrie, les Pays-Bas, l’Espagne et le Royaume-Uni. Le présent article détaille les conclusions de notre article publié en 2012 intitulé « Au-delà des menaces informatiques », dans lequel figurait le tout premier indice de maturité concernant les risques liés à la gestion des informations provenant d'Europe, lequel article soulignait le besoin, pour les entreprises de taille moyenne, de mieux s'équiper pour gérer ces risques. Le présent article détaille également les conclusions de notre article publié en 2013 et intitulé « Au-delà de la prise de conscience », qui mettait en avant les problèmes posés par le volume croissant d'informations et par ce que nous avons appelé « l'inondation de données ».

L'article de 2012 reprend et développe les thèmes et tendances indiqués dans les deux enquêtes précédentes. Cette année, notre enquête comprend également une analyse de la situation en Amérique du Nord basée sur les résultats d'entretiens réalisés avec 600 participants au Canada et aux États-Unis dans les mêmes secteurs industriels qu'en Europe, afin que notre enquête soit cette fois-ci de nature transatlantique et actualise notre indice de maturité en matière de risques liés à la gestion des informations.

La répartition entre les deux continents, en termes de couverture et de profils des participants à l'enquête 2014, est illustrée sur la figure 1.1.

Le score du premier indice des risques du marché des entreprises de taille moyenne à couvrir l'Amérique du Nord est de 55,3 (par rapport à un score idéal de 100,0), ce qui montre que les entreprises de taille moyenne, en Europe comme en Amérique du Nord, sont bien souvent conscientes de ces risques mais sont dans le même temps mal équipées pour s'attaquer pleinement à cette menace et grippées par le doute concernant la meilleure façon de procéder.

Ceci est conforme à notre enquête de 2013, qui montrait que ces entreprises prennent graduellement mieux conscience de l'importance de gérer les risques liés à la gestion des informations, reconnaissent davantage les menaces posées par ces risques et sont de plus en plus nombreuses à adopter des stratégies initiales d'atténuation de ces risques.

PwC 6

Figure 1.2 : Indice de maturité en matière de risques liés à la gestion des informations 2012 – 2014

L'enquête de 2014 sur les entreprises de taille moyenne montre que cette prise de conscience prend graduellement de l'ampleur, et que leurs directions générales ont en conséquence commencé à élaborer des stratégies, des programmes de communication, ainsi que des orientations en matière de sécurité. Cependant, il devient de plus en plus urgent de valider ces mesures par des mécanismes de contrôle et d'application efficaces, particulièrement à l'échelon de la direction. Ce thème ressort encore plus nettement lorsque l'on analyse les résultats de l'enquête sous un angle européen. Tel qu'illustré sur la figure 1.2, ceci représente la troisième mise à jour annuelle de l'indice de maturité en matière de risques sur le marché des entreprises européennes de taille moyenne.

Le score de 56,1 est légèrement supérieur à celui des entreprises nord-américaines de taille moyenne, mais il est cependant en légère baisse par rapport à celui de 56,8 enregistré en 2013. Ceci illustre que le degré de maturité de ces entreprises s'est stabilisé, et que celles-ci éprouvent des difficultés à s'équiper pleinement contre ce risque. Cependant, et tel que

décrit de manière plus détaillée ultérieurement dans cet article, notre enquête semble indiquer que certaines entreprises de taille moyenne ont atteint un niveau de maturité supérieur, et démontrent par leurs actes qu'elles sont des précurseurs performants dans ce domaine. Grâce à une analyse plus approfondie, nous avons découvert qu'il existait clairement un lien entre le profil particulier d'une entreprise en matière de risques liés à la gestion des informations et la valeur qu'une telle entreprise accorde à ses informations, ce qui illustre l'avantage concurrentiel qui peut être tiré des informations détenues.

Compte tenu de son score de 54,5 à l'indice de maturité, rien ne permet d'être plus optimiste concernant l'Amérique du Nord, ce qui montre qu'il est globalement nécessaire de passer des bonnes intentions à l'action, quelle que soit la région géographique ou le secteur d'activité concerné.

Ceci constitue donc un défi général, puisqu'une analyse de ces scores sur ce marché et ce secteur permet de dresser un tableau relativement homogène et statique de la situation actuelle.

PwC 7

Figure 1.3 : Indice de maturité en matière de risques liés à la gestion des informations des entreprises de taille moyenne – Analyse par type de risque

Figure 1.4 : Indice de maturité en matière de risques liés à la gestion des informations, par pays

Figure 1.5 : Indice de maturité en matière de risques liés à la gestion des informations, par secteur

PwC 8

Pour atteindre un score de 100, les entreprises doivent mettre en place et contrôler l'efficacité des 34 mesures inclues à notre indice (décrites dans l'annexe).

Si l'on analyse les scores de maturité à la fois par pays et par secteur, on note une absence générale de compréhension des risques auxquels les informations sont exposées et de la façon de répondre à ce problème. En dépit d'écarts de maturité très modestes, il est clair que les entreprises européennes et nord-américaines sont confrontées à des problèmes identiques en matière de gestion de leurs informations. Si l'on regarde les chiffres par pays européen, par exemple, la Hongrie arrive en tête avec un score de 60,2, et l'Allemagne en dernier avec un score de 53,6. Les scores des États-Unis et du Canada sont très similaires, à savoir respectivement 54,1 et 55,0.

En termes de maturité par secteur, une telle homogénéité est encore plus flagrante puisqu'aucun secteur n'est proche, au contraire, du niveau auquel il serait adéquatement équipé pour gérer ces risques. De plus, nous avons effectué une enquête similaire concernant le marché de ces entreprises en Europe et en Amérique du Nord et découvert une tendance identique, ce qui démontre encore plus clairement l'ampleur du problème et indique que les ressources mises en œuvre sont inadéquates en termes de taille et d'échelle.

La menace posée par le volume et la variété croissants des informations, ainsi que l'absence de réponse adéquate sous forme de mesures d'atténuation efficaces, ne doivent pas être sous-estimées.

La récente « Enquête de 2014 sur les violations des systèmes d'informations », commandée par le

ministère britannique des Entreprises, de l'Innovation et des Compétences et réalisée par PwC, montre que, en dépit d'une légère baisse du nombre de violations dans ce domaine, le coût de chaque violation a augmenté de manière significative. Cette enquête révèle également que 10 % des entreprises britanniques affectées par des violations de leurs systèmes d'informations l'année dernière en ont été tellement négativement affectées qu'elles ont dû intégralement se réorganiser. Il est par ailleurs alarmant de noter que près d'un tiers (31 %) des pires violations dans ce domaine l'année dernière a été causé par des erreurs humaines, et 20 % par une utilisation délibérément fautive des systèmes d'information par des employés. En outre, suite à la violation de données majeure dont la chaîne de magasins Target a été victime aux États-Unis, John Kindervag (Forrester Research) a estimé que cette violation pourrait coûter à Target une somme à hauteur de 100 millions de dollars US. M. Kindervag a également lancé un avertissement à d'autres entreprises nord-américaines concernant l'importance d'instaurer de bonnes pratiques sécuritaires, sachant qu'il coûte toujours beaucoup moins cher de mettre en place de bonne heure des mécanismes de contrôle appropriés.

Sur quoi l'indice du marché des entreprises de taille moyenne mal équipées est-il fondé ?

L'indice de maturité assigne un score plus élevé aux organisations qui non seulement ont mis en place des procédures, stratégies, programmes de communication et mécanismes de contrôle sécuritaires clés, mais qui ont également intégré à leur activité des systèmes permettant de s'assurer que l'efficacité et l'impact de l'ensemble des mesures mises en place sont mesurés dans la durée.

Quelle que soit la région géographique concernée, les entreprises de taille moyenne semblent avoir des

difficultés pour passer des intentions à une action contrôlée. Ce thème de « l'écart en matière d'engagement à agir » avait été mis en exergue dans nos deux enquêtes précédentes, ainsi que dans l'enquête comparative sur « la gouvernance des informations de 2013/2014 » réalisée par Cohasset Associates et d'autres, qui révèle que l'écart entre les intentions et l'action demeure obstinément inchangé. C'est précisément cet écart qui empêche les entreprises de taille moyenne d'atteindre un niveau de maturité plus élevé concernant la façon de gérer efficacement leurs informations.

Seules 37 % de ces entreprises en Europe et 47 % en Amérique du Nord ont mis en place une stratégie en matière de risques liés à la gestion des informations pleinement contrôlée. Élaborer une telle stratégie est fondamental si l'on veut atteindre un niveau de protection permettant d'atténuer la menace des violations, des fuites et des vols de données. Et pourtant, plus de la moitié des entreprises ne s'y sont pas encore attelées.

« Définir des stratégies en matière de risques liés à la gestion des informations est évidemment important, et plutôt que de théoriser à ce sujet, les entreprises de taille moyenne devraient passer à l'action afin que les comportements appropriés dans ce domaine soient pleinement intégrés à leurs organisations, et contrôler, évaluer et réviser leur réponse au fur et à mesure que ces risques changent ».

Richard Petley

Directeur du service Assurances risque chez PwC

PwC 9

Proportion d'entreprises nord-américaines ayant mis en place ce qui suit et qui les contrôlent de manière efficace:

Stratégie en matière de risques liés à la gestion des informations

Registre des risques de l'entreprise

Stratégie d'élimination en toute sécurité du matériel informatique et des documents confidentiels

Séances de formation aux risques liés à la gestion des informations destinées au personnel

Politique d'utilisation des médias sociaux applicable à tous les employés

Politiques d'entreprise en matière de protection, de stockage et d'élimination des informations confidentielles en toute sécurité

Base de données confidentielles centralisée

Classifications claires, à jour et reconnues en matière de données

47%

38%

35%

20%

41%

18%

36%

39%

Seules 26 % des entreprises européennes et 20 % des entreprises nord-américaines assurent un suivi en rapport à leurs programmes de formation sur les risques liés à la gestion des informations dans le but d'évaluer l'impact de ces programmes. Il est vital que les entreprises reconnaissent l'importance d'intégrer à leur culture de bons comportements en matière de risques liés à la gestion des informations, et de vérifier dans la durée si ces comportements sont observés.

Notre enquête 2014 montre que les entreprises de taille moyenne n'ont pas encore intégré la sécurité des informations à leur culture. Ceci est illustré par le fait que moins des trois quarts d'entre elles contrôlent l'efficacité de leur formation de sensibilisation aux risques liés à la gestion des informations incluse aux activités d'orientation des nouveaux employés. En outre, les résultats de l'enquête montrent qu'au-delà de cette période d'orientation, seules quelques entreprises cherchent, dans le meilleur des cas, à peine à vérifier si cette sensibilisation a porté ses fruits, tandis que toutes les autres ne le font jamais.

PwC 10

Proportion d'entreprises nord-américaines ayant mis en place ce qui suit et qui les contrôlent de manière efficace:

Stratégie en matière de risques liés à la gestion des informations

Registre des risques de l'entreprise

Des vérifications régulières de la politique de confidentialité

Stratégie d'élimination en toute sécurité du matériel informatique et des documents confidentiels

Séances de formation aux risques liés à la gestion des informations destinées au personnel

Programmes réguliers de formation

Des programmes de formation efficaces sur les risques liés à la gestion des informations

Une politique claire pour les salariés sur les procédures internes en ce qui concerne le stockage sécurisé des documents physiques et leur destruction

Politique d’entreprise en matière de protection, de stockage et d’élimination des informations confidentielles en toute sécurité

37%

46%

46%

41%

26%

38%

36%

40%

27%

Selon nous, ces résultats sont symptomatiques du marché des entreprises de taille moyenne, qui n'est à la fois ni suffisamment mûr, ni équipé pour confronter la menace des risques liés à la gestion des informations. L'absence de contrôle efficace, à son tour, explique les faibles scores d'ensemble de l'indice de maturité en matière de risques liés à la gestion des informations.

C'est d'ailleurs un trait commun de ces résultats, qui montrent que les entreprises de taille moyenne fonctionnent, tant en termes de culture d'entreprise que sur le plan opérationnel, avec l'idée qu'elles ont mis en place des mesures de protection suffisantes, et il ne ressort nullement qu'elles agissent à cet égard sur la base d'un plan d'action contrôlé clairement structuré.

Ceci révèle, de la part de ces entreprises, un manque de compréhension de l'étendue de leur exposition aux risques et des mesures préventives appropriées qu'elles doivent adopter. Ce thème est commun à tous les marchés, secteurs et catégories de société. Tant qu'elles n'auront pas mieux pris conscience des menaces existantes et des mécanismes de contrôle à mettre en place, les entreprises de taille moyenne demeureront vulnérables à la menace des violations de données et incapables de déverrouiller le potentiel de valeur latente que leurs informations possèdent.

PwC 11

La quantité croissante d'informations, sous de

multiples formats différents, ainsi que la

complexité de gérer la question de savoir qui peut

accéder à quelles informations et quand, où et

comment, impliquent des risques considérables

pour ces entreprises. Assigner la responsabilité de

la protection des informations aux personnes

appropriées est un facteur clé de prévention contre

ces risques, et permet de garantir à la fois que les

personnes appropriées sont impliquées et que des

responsables performants ont été désignés pour

coordonner la réponse appropriée de l'entreprise.

Ce thème n'est pas nouveau et a déjà été largement

documenté.

Cet enjeu doit être porté à l'attention de la

hiérarchie, y compris les dirigeants de l'entreprise

et le conseil d'administration, afin qu'une stratégie

de contrôle des risques liés à la gestion des

informations et de protection des informations ait

sa place au sein du principe général de

fonctionnement économique et des processus

décisionnels de chaque entreprise. « Les risques

liés à la gestion des informations ne peuvent plus

être définis comme étant exclusivement un défi du

ressort du service des Technologies de

l'information ».

Source : « Enquête 2014 sur la situation à travers

le monde en matière de sécurité des informations

»

Assigner principalement la responsabilité des

risques liés à la gestion des informations à un

responsable de catégorie « c-suite » / de la haute

direction est une tendance en progression

significative, mais la plupart des entreprises de

taille moyenne continuent à assigner cette charge à

un responsable ou à l'équipe du service des

Technologies de l'information.

Une telle pratique pouvait éventuellement être

appropriée autrefois, mais les risques liés à la

gestion des informations sont aujourd'hui un enjeu

à facettes multiples couvrant divers domaines et

types de risques, qu'il s'agisse du personnel ou des

procédures, des comportements ou des pratiques

professionnelles, à tel point que la responsabilité de

ces risques devrait désormais toujours être assignée

à l'échelon le plus élevé de la hiérarchie, chacun des

employés ayant quant à lui un rôle individuel à

jouer en matière de protection des informations de

l’entreprise.

Responsabilité des informations: est-elle du ressort de personnes appropriées ?

PwC 12

Figure 2.1 : Qui devrait être le principal responsable des risques liés à la gestion des informations dans votre organisation ?

Quelques 46 % des entreprises européennes et 32 % des entreprises nord-américaines déclarent que le responsable principal de ces risques est leur directeur de la Sécurité au sein du service des Technologies de l'information. Si l'on prend la vraie mesure de la quantité considérable d'informations de tous types et formats détenue par les entreprises de taille moyenne, la nature même des données renforce cette incompréhension généralisée de la façon dont la responsabilité principale de ces risques devrait être assignée.

En outre, lorsqu'on leur demande qui devrait être le responsable principal des risques liés à la gestion des informations, 73 % des entreprises européennes et 74 % des entreprises nord-américaines déclarent que cette responsabilité est présentement du ressort du directeur de la Sécurité de leur service des Technologies de l'information.

Pour simplifier, les entreprises de taille moyenne estiment que la façon la plus efficace de gérer et de se protéger contre la menace constituée par les risques liés à la gestion des informations consiste à assigner une responsabilité plus durable à des membres du service des Technologies de l’information, qui sont pourtant des personnes susceptibles de ne pas être pleinement conscientes et/ou avoir une pleine visibilité de l'ampleur réelle des risques posés par cette menace.

De plus, un nombre infime de participants à l’enquête a déclaré que les risques liés à la gestion des informations étaient de la responsabilité de chacun au sein de leur organisation. Ceci révèle une vulnérabilité en matière de gestion et de protection des informations dans la plupart des entreprises. En dépit du besoin urgent d'aller au-delà des bonnes intentions et de parvenir à une situation dans laquelle chaque personne à chaque échelon et dans chaque catégorie de postes assume la responsabilité des risques liés à la gestion des informations, tel que reflété par le thème général de cet article, les entreprises de taille moyenne en Europe et en Amérique du Nord ne sont toujours pas passées du stade où elles ont pris conscience de ces risques à celui de la mise en œuvre de mesures visant à les atténuer.

Tel qu'illustré au verso de l'étude de cas, les entreprises de taille moyenne devraient assumer des responsabilités plus larges, et adopter des mesures préventives et proactives plutôt que réactives. Malheureusement, l'organisation présentée dans cet exemple a réagi à une violation de données comme s'il s'agissait d'une conséquence d'une divulgation de données dommageable, plutôt que de contrôler la bonne application ses procédures existantes, ce qui aurait pourtant permis de prévenir un tel vol de données.

Pour être efficacement mise en œuvre, la responsabilité des risques liés à la gestion des informations doit aller au-delà de l’engagement concret et passer à une exécution effective. Ceci requiert une stratégie pour l'ensemble de l'entreprise pilotée directement par l'équipe de direction.

PwC 13

Une fois que cette responsabilité a été

adéquatement assignée, il est indispensable

de bien comprendre quelles compétences

sont nécessaires pour bien répondre à la

nature évolutive des risques liés à la gestion

des informations. Malheureusement, notre

enquête montre que cette obligation est

totalement incomprise, ou alors n'est pas

considérée comme une grande priorité. Par

exemple, tel que la figure 2.3 l'indique de

façon détaillée, seules 26 % des entreprises

européennes et 47 % des entreprises nord-

américaines de taille moyenne ont identifié

en leur sein des carences en termes de

compétences que le personnel responsable

de la gestion de leurs informations doit

posséder. La majorité de ces entreprises,

par conséquent, ne pense absolument pas

souffrir de carences de compétences à

l'heure actuelle.

Étude de cas : « Un employé d'une grande chaîne de supermarchés britannique a été arrêté pour vol de données ».

Une importante chaîne de supermarchés haut-de-gamme britannique a été l'objet d'une fuite de données embarrassante et préjudiciable lorsque des informations, y compris les noms, adresses, références bancaires et niveaux de salaire de plus de 100 000 de ses employés, ont été volées, publiées sur Internet et envoyées à un grand quotidien national. Contrairement à ce qu'on pourrait imaginer, il ne s'agissait pas d'une intrusion venant de l'extérieur mais d'une fuite de la part d'un employé. L'entreprise a rapidement réagi suite à cet incident et mis en œuvre une série de mesures de surveillance et de protection rigoureuse de ses données. Son plan d’intervention tenait en trois points :

1. Faire appel aux services d'assistance d'une organisation externe pour l'aider à déceler toute

utilisation abusive de ses données et informations sur son personnel.

2. Informer les banques britanniques de ce vol, afin de garantir que des mesures appropriées soient mises en place pour protéger la sécurité des comptes bancaires associés.

3. Informer son personnel des mesures mises en place pour protéger leur sécurité, y compris la création d'un numéro de téléphone dédié.

PwC 14

Figure 2.3 : Concernant les compétences que doit posséder le personnel responsable de la gestion de vos informations, estimez-vous qu'il existe aujourd'hui de quelconques carences ?

S'agit-il d'un tableau réaliste prenant en compte les risques spécifiquement posés ?

Ceci le serait éventuellement si :

1. certains éléments montraient clairement que les entreprises de taille moyenne comprennent pleinement l'étendue des risques liés à la gestion des informations ;

2. le nombre de violations de données avait atteint le niveau le plus bas jamais enregistré ;

3. chaque employé assumait une responsabilité individuelle pour sa contribution à cette protection ;

4. les entreprises de taille moyenne utilisaient leurs informations comme moyen d'assistance à la croissance de leur chiffre d'affaires/de leur clientèle ; et

5. les impacts potentiels des violations de données étaient faibles en termes à la fois de coûts et de notoriété diminuée.

Cependant, c'est l’inverse qui est aujourd'hui vrai, et, par conséquent, PwC et Iron Mountain estiment qu'il est d'une importance vitale que ces entreprises identifient leurs points faibles/leurs domaines les plus potentiellement exposés, prennent la mesure de l'impact potentiel d'un quelconque incident dans ce domaine et commencent à confronter le problème en mettant en œuvre les compétences requises (techniques, stratégiques, de communication).

« Le marché des entreprises de taille moyenne est face à un problème. Cette absence de politiques, processus et procédures organisationnelles proprement contrôlées et appliquées signifie qu'il est beaucoup plus difficile de définir ce qui donne de bons résultats et ce qui n'en donne pas, et donc de prendre des décisions éclairées concernant le déploiement approprié des compétences nécessaires – à la fois celles qui existent en interne et celles auxquelles il est peut-être nécessaire de faire appel à l'extérieur. »

Christian Toon Responsable des risques liés à la gestion des

informations Iron Mountain - Europe

Si l'on se tourne vers l'avenir concernant ces compétences, les entreprises de taille moyenne estiment qu'elles leur seront nécessaires, et bien qu'il soit certainement positif que la gestion de ces risques et la présence d'analystes de données compétents soient jugées incontournables, il est assez surprenant de noter que les compétences de communication et de leadership soient considérées comme des priorités beaucoup moins importantes.

PwC 15

Figure 2.4 : À votre avis, de quelles compétences les spécialistes de la gestion des informations auront-ils besoin dans le futur ?

La plupart des entreprises de taille moyenne (86 % en Europe ainsi qu'en Amérique du Nord) estiment qu'elles disposent déjà des compétences et des capacités nécessaires pour tirer le meilleur parti possible des données qu'elles détiennent. Cependant, lorsqu'on leur demande qui possède ces compétences, la majorité (83 %) d’entre elles mentionne le service des Technologies de l'information. La réalité a changé, et les rôles et compétences nécessaires pour répondre à cette évolution doivent s'adapter en conséquence.

Les entreprises de taille moyenne doivent adopter une culture effective du leadership et de la communication susceptible de faciliter l'application concrète de mesures visant à répondre aux risques liés à la gestion des informations.

La majorité des entreprises de taille moyenne ayant participé à l’enquête en Europe (76 %) et en Amérique du Nord (85 %) estime que la priorité numéro un de leur organisation en matière de gestion de ces risques consiste à éviter toute violation de données. Ceci n'est pas surprenant quand on sait à quel point les entreprises sont conscientes de l'impact hautement préjudiciable d'une quelconque violation ou perte de données. Et pourtant, les entreprises de taille moyenne ont encore un long chemin à parcourir pour véritablement répondre aux exigences de cette priorité, étant donné qu'un grand nombre d'entre elles ne contrôlent pas leurs procédures et leurs stratégies d'atténuation des risques liés à la gestion des informations, n'ont pas correctement assigné la responsabilité de la gestion de ces risques et n'ont pas encore résolu le problème de leurs carences de compétences dans ce domaine.

PwC 16

Étude de cas : « Le PDG d'une chaîne de magasins aux États-Unis démissionne suite à une violation de données majeure »

Le PDG d'une chaîne de magasins aux États-Unis démissionne moins de cinq mois après qu’il fut découvert que cette entreprise avait été victime d’une violation de données majeure.

La saga de cette violation de données, qui a entraîné la perte d'environ 40 millions de numéros de cartes de paiement et d'informations personnelles

susceptibles de concerner 70 millions de clients, a entraîné cette entreprise dans une tourmente sans précédent depuis la révélation de cette violation. Les conséquences de cet incident sont très nombreuses : des dizaines de procès, plusieurs audiences devant une commission du Congrès américain, une chute spectaculaire de l'action en bourse et un impact négatif sur la notoriété de l’entreprise immesurable. Ceci démontre une fois de plus à quel point il est important que la direction générale supervise ce domaine et assume personnellement la responsabilité de la mise en place et du contrôle de procédures de sécurité performantes.

PwC 17

Bien que le volume croissant des

informations pose des risques pour les

entreprises de taille moyenne, lorsque les

informations sont proprement utilisées,

elles peuvent constituer une opportunité

d’innover en termes de produits, d’acquérir

une meilleure connaissance de la clientèle

et, à terme, de stimuler la rentabilité de

l'entreprise. Bien que les entreprises de

taille moyenne commencent à prendre

conscience de cette réalité, elles semblent

cependant ne pas comprendre dans le

détail quelles méthodes concrètes sont

nécessaires pour passer à l'échelon

supérieur, lesquelles méthodes pourraient

inclure un engagement plus proactif et la

mise en place de nouveaux partenariats,

particulièrement dans le domaine

commercial et dans celui du marketing.

« Les informations représentent un avantage concurrentiel, quel que soit le service ou la fonction concernée ». La capacité à exploiter les informations pour déceler les tendances de la clientèle ou du secteur, ou les points faibles de l'entreprise en matière de gouvernance et/ou de sécurité, est susceptible de vous aider à dominer votre marché ou à éviter des incidents, tels que des violations, des incidents de non-conformité ou des pertes de données. »

Sue Trombley Directrice générale du leadership

intellectuel Iron Mountain - Amérique du Nord

Exploiter les données au maximum de leur potentiel

PwC 18

Figure 3.1 : Comment décririez-vous les priorités de votre organisation concernant ses informations ?

Figure 3.2 : Comment décririez-vous les priorités de votre organisation concernant ses informations ?

Les priorités organisationnelles générales en matière d'informations sont assez passives et essentiellement protectionnistes.

Les entreprises de taille moyenne cherchent prioritairement à éviter toute violation de données et toute action en justice potentielle, ou bien à renforcer leurs procédures existantes.

et une rentabilité ainsi qu’un chiffre d'affaires renforcés sont cités comme étant les avantages clés. De nouveau, bien que ceci soit positif, seule une moitié des participants à l’enquête déclare que l'exploitation des informations dans le but de renforcer l'innovation en matière de produits et de services constitue une priorité, et un nombre encore moins important

Inversement, les utilisations plus proactives des informations, telles que l'extraction de données pour élargir la clientèle et les marchés de l'entreprise, ainsi que l'innovation, sont comparativement considérées comme des priorités moins importantes.

En outre, et tel qu'illustré à la figure 3.2, lorsque nous avons demandé aux participants comment leur organisation a bénéficié à ce jour des efforts déployés pour exploiter la valeur des informations, améliorer les procédures décisionnelles, développer une meilleure connaissance de la clientèle

déclarent avoir utilisé leurs informations pour accélérer la commercialisation de leurs produits ou raccourcir le cycle de développement de produits et de services. Selon PwC et Iron Mountain, ce sont précisément ces domaines qui devraient bénéficier de l'impact le plus profond et le plus significatif de l'exploitation et de l'extraction de la valeur des informations.

PwC 19

Il semble que les résultats tangibles des entreprises de taille moyenne dans ce domaine ne soient pas à la hauteur de leurs intentions. Il résulte de leur compréhension limitée de la façon de traduire de telles politiques ou objectifs en mesures concrètes et applicables que ces entreprises ne sont ni suffisamment protégées, ni en mesure d'optimiser pleinement leurs données.

En outre, un peu plus d'un cinquième des entreprises de taille moyenne européenne (22 %) prend aujourd'hui le temps de calculer le retour sur investissement des informations détenues, et un peu plus d'un tiers (36 %) des entreprises nord-américaines a créé des postes d’analyste de données chargés d’extraire la valeur intrinsèque de leurs informations.

Lorsque nous leur avons demandé quelle était la principale raison pour laquelle ils conservaient des informations, la plupart des participants ont déclaré le faire pour être en mesure de les analyser et d'en tirer une plus grande valeur dans le futur. Ceci constitue à la fois une opportunité et un défi pour les entreprises de taille moyenne.

Contenu du nombre très important d'entreprises n'ayant, à ce jour, aucun analyste de données dans leurs rangs, l'opportunité de produire de la valeur à partir des informations est-elle gérée par les personnels les plus compétents dans ce domaine ?

Les chiffres indiquent un désir croissant de gérer les informations pour en extraire de la valeur, les entreprises mettant l'accent sur la recherche de nouvelles clientèles et de nouveaux marchés, et sur l'amélioration des services à la clientèle. Cependant, les entreprises de taille moyenne semblent aujourd'hui plafonner, ne sachant pas vraiment quelles méthodes utiliser ni comment mesurer la valeur de leurs informations.

La croissance et l'émergence du phénomène des « données massives » (Big Data) ces dernières années rend encore plus nécessaire le besoin de mieux comprendre comment les informations, sous tous leurs formats possibles, peuvent être utilisées de manière différente de celle prévue au départ afin de produire des dividendes commerciaux et autres pour l'entreprise. De plus, le rôle croissant des « données massives » imposera aux entreprises de toutes tailles de mettre en place des procédures plus rigoureuses en matière d'analyse des risques liés à la gestion des informations, de renforcer leurs mécanismes de contrôle des informations confidentielles et de sécuriser leurs installations de stockage de données pour être adéquatement en mesure de gérer cet enjeu.

Il est également important de combattre l’idée très répandue selon laquelle « la question des données massives concerne uniquement les grandes entreprises ». Selon Dave Coplin, principal responsable de la vision de l'avenir chez Microsoft, analyser les données massives concerne également les petites et moyennes entreprises.

« La question des données massives concerne également et sans le moindre doute les plus petites entreprises, sachant qu'il existe aujourd'hui un nombre croissant de sources de données librement accessibles susceptibles d'être utiles, ainsi que des marchés d'échanges de données que les petites entreprises peuvent utiliser ».

Dave Coplin

Directeur général de la vision de l'avenir chez Microsoft

PwC 20

Étude de cas - Mediatonic : « Dériver une valeur commerciale de l'analyse de données est parfaitement réalisable pour les entreprises de taille moyenne ».

Étant donné que les jeux de Médiatonic, tels que Superbia produit par Disney, sont uniquement numériques, les utilisateurs génèrent constamment des volumes considérables de données d'utilisateurs, telles que : quand, où et pendant combien de temps ils jouent, et quelles parties du jeu trouvent-ils particulièrement difficiles ou faciles.

« Comprendre le comportement des utilisateurs est essentiel pour une industrie qui est passée d'un mode de fonctionnement essentiellement basé sur le téléchargement gratuit à un environnement où les revenus proviennent essentiellement d'achat de modules supplémentaires au sein des jeux et où la moitié des utilisateurs ne rejouent plus jamais. »

Dave Bailey

Directeur général de Mediatonic, un développeur de jeux numériques en forte

croissance

Les données massives sont « fondamentales à notre activité, et réellement très importantes pour les petites et moyennes entreprises. Elles orientent notre stratégie ».

Dave Baile

Directeur général de Mediatonic, un développeur de jeux numériques en

forte croissance

PwC 21

Étude de cas - Criteo : « Dériver une valeur commerciale de l'analyse de données est parfaitement réalisable pour les des entreprises de taille moyenne ».

Criteo, une société française de publicité en ligne, s’est développée très rapidement grâce à l'analyse de données massives. En suivant l’utilisation que ses clients font d’Internet, elle a appris :

1. Comment afficher des publicités personnalisées spécialement adaptées aux intérêts de l'utilisateur en se basant sur ses comportements d'internaute.

2. Les publicités peuvent changer en temps réel en fonction du visiteur du site, ce afin que deux personnes différentes voient s’afficher deux contenus différents.

« Les données massives constituaient sa devise de base, et comprendre et gérer de telles données était au cœur de sa réussite commerciale. » Julien Simon Vice-président de l’ingénierie

Cette société, dont la principale base de données est MongoDB, affiche aujourd'hui :

1. 2,5 milliards de bannières publicitaires par jour ; 2. travaille avec 5 000 agences de publicité à travers le monde ; et 3. stocke 20 téraoctets de données supplémentaires chaque jour grâce à cette activité

intense.

De plus, une étude universitaire intitulée « Données massives de cartes de fidélité numériques et marketing des petites entreprises : données officielles contre officieuses ou complémentaires », publiée par International Small Business Journal, a montré que seules les petites et moyennes entreprises bénéficient de la précision qu’offrent les données de clients, mais également que l'exposition à ces données incitent les chefs d'entreprise à communiquer leurs analyses à leurs employés et à impliquer ces derniers dans la réflexion concurrentielle de l’entreprise.

Par conséquent, les entreprises de taille moyenne ont créé un lien entre les informations et la valeur de celles-ci, et un certain nombre d'exemples montre que ceci a été exploité de manière profitable

et a eu un impact positif dans un large éventail de domaines, qu'il s'agit de la croissance ou de l’innovation en matière de produits. Cependant, ces entreprises semblent ne pas comprendre quelles sont

les méthodes les plus concrètes, y compris la maximisation des données massives et le déploiement des compétences les plus appropriées et les plus adaptées pour effectivement déverrouiller la valeur intrinsèque des informations détenues.

PwC 22

De toute évidence, les entreprises de taille

moyenne ne réagissent pas toutes de la

même manière. Nous avons identifié 4

entreprises ayant obtenu un score parfait

de 100 sur l'indice, ce qui signifie qu'elles

sont correctement équipées pour

confronter ces risques, et 88 autres

entreprises (8 % de l'échantillon) sont dans

la « zone verte », qui est celle d'une

maturité relativement proche.

En quoi ces organisations « avant-gardistes

» font-elles les choses différemment, et

comment bénéficient-elles de la mise en

œuvre performante d'une méthode de

gestion des informations ?

Les 34 affirmations du questionnaire, qui

ont été utilisées pour calculer les scores sur

l'indice de maturité concernant ces risques

en fonction des réponses des participants

(voir détails à l'annexe), sont, selon nous,

des mesures que les entreprises de taille

moyenne européennes et nord-américaines

sont parfaitement capables de mettre en

œuvre et de contrôler efficacement. À la

lumière de l'ampleur croissante de ces

risques, de telles mesures devraient

aujourd'hui exister dans toutes ces

entreprises, et non simplement constituer

une simple aspiration.

Qu’est-ce que les meilleures organisations font différemment ?

PwC 23

Qu’est-ce que les entreprises avant-gardistes font différemment ?

Nous avons examiné les organisations de taille moyenne répondant à nos critères de classement dans la catégorie des entreprises bien équipées pour affronter ces risques, afin d'essayer de déterminer si ces sociétés récoltent d'autres fruits de leur protection des informations conformément à ce qui est généralement recommandé.

Les études de cas suivantes ont été réalisées à des fins d’illustration, en utilisant différentes variables extraites directement des données obtenues. Ceci a révélé un trait commun à tous les cas étudiés : de telles entreprises contrôlent et évaluent ce qu'elles font.

PwC 24

Cas d'entreprises correctement équipées pour affronter ces risques : Exemples de bonnes pratiques

Cas d'étude A

A est une société canadienne du secteur de fabrication et d’ingénierie. Elle emploie plus de 2 000 personnes, et son chiffre d'affaires oscille entre 40 et 50 millions de dollars. Il semble que chacun, au sein de cette organisation, assume une part de responsabilité concernant les risques liés à la gestion des informations, et non pas seulement quelques personnes dédiées à cette mission au sein du service des Technologies de l'information.

Comme la majorité des entreprises figurant en haut de l'indice, elle conserve toutes ses informations, ce qui permet à son personnel d'aller au-delà de la conformité et d'analyser leurs données pour évaluer leur valeur commerciale. Elle utilise également ses informations pour stimuler l'innovation, ainsi que pour embaucher de manière stratégique afin de ne pas souffrir de carences de compétences dans les domaines analytiques dans le futur.

Cas d'étude B

B est une entreprise de fabrication hongroise. Son chiffre d'affaires varie entre 10 et 15 millions d’euros, et elle emploie entre 2 000 et 2 500 personnes. La responsabilité principale des risques liés à la gestion des informations appartient au conseil d'administration, et l’entreprise contrôle et évalue par ailleurs efficacement ses politiques, procédures et programmes dans ce domaine.

En mettant à profit de manière appropriée les compétences analytiques de son personnel, cette entreprise montre qu’elle utilise ses informations d’une manière qui lui a permis de devenir plus rentable, de mieux connaître sa clientèle et de réduire ses cycles de création de produits et de développement.

PwC 25

Adoption des meilleures pratiques : Gouvernance des informations

La gouvernance des informations est un cadre pluridisciplinaire que les entreprises peuvent employer pour encourager la mise en œuvre de mesures adéquates et pour inciter des comportements appropriés concernant la façon dont les informations sont valorisées, gérées et utilisées par l'organisation. Ceci comprend la définition des postes, politiques, procédures et indicateurs nécessaires pour bien gérer les informations tout au long de leur cycle de vie, depuis leur création jusqu'à leur destruction finale.

Le chemin à parcourir pour gérer efficacement les risques liés à la gestion des informations

La gouvernance des informations (GI) paraîtra sans doute comme un concept écrasant pour une entreprise de taille moyenne affairée, mais ces principes sont pourtant au cœur de toute stratégie concrète et efficace en matière de risques liés à la gestion des informations.

L'essence de la GI consiste à comprendre quelles informations vous détenez, où vous les détenez et quelle est leur valeur, que ce soit pour vous, vos employés, vos clients ou vos concurrents, ainsi qu'à déterminer comment elles circulent à travers l'entreprise et où se situent les points les plus vulnérables.

Elle consiste à s'assurer que la gestion des informations et des risques associés représente une préoccupation constante du conseil d’administration, et qu’elle est appuyée par des mesures mises en œuvre par des équipes transversales composées d'un personnel compétent et doté des moyens nécessaires à son travail.

PwC 26

Comment y parvenir : les sept étapes à franchir pour réussir

1. « Cet enjeu n'est pas uniquement du ressort du service des Technologies de l'information » : Le service des Technologies de l'information ne peut pas protéger les informations si le service du Marketing les utilise pour créer les profils de préférence de ses clients sans que personne ne soit officiellement responsable de leur sécurité. Le conseil d'administration ne peut se permettre de fermer les yeux sur un risque susceptible de nuire de manière significative à la notoriété de la marque, à la confiance de la clientèle, à la conformité à la loi et à tout avantage concurrentiel de l'entreprise. Dans une entreprise, chacun doit assumer sa part de responsabilité concernant ces informations.

2. « Dressez un tableau sans complaisance de la réalité actuelle concernant ces risques » : Identifiez les lieux où se trouvent vos informations les plus vitales et les plus vulnérables en réalisant une analyse des risques dans l'ensemble de l'entreprise ». Utilisez les questions formulées par tous ceux dont il est dans l'intérêt que ces risques soient bien gérés, y compris le personnel de sécurité du service des Technologies de l'information, le service de Gestion des risques, le service de la Conformité et le service des Affaires juridiques, ainsi que les unités clés de l'entreprise et le service des archives. Pensez notamment aux adresses IP, ainsi qu'aux informations hautement visées par la réglementation et fréquemment auditées. Utilisez les résultats de ce travail pour concentrer vos ressources de protection contre les risques liés à la gestion des informations sur les domaines les plus essentiels. Réexaminez cette procédure à intervalles réguliers, car le degré de risque varie dans le temps.

3. « Libérez vos informations, afin de les mettre à profit par l'analyse et à travers l'innovation » : Ne

craignez pas vos informations. Les entreprises de taille moyenne doivent adopter une stratégie plus holistique et proactive en matière d'extraction de la valeur de leurs informations. Ceci implique de faire circuler ces informations plus librement, à condition qu'elles ne soient pas confidentielles ou privées, dans toute l’entreprise afin qu’elles soient le moteur de la créativité, de l’innovation et de la croissance.

4. « Demandez à vos employés qu'ils s’impliquent » : Toute gestion performante des risques liés à la gestion des

informations dépend du personnel de plusieurs manières différentes :

L'augmentation rapide des volumes, de la vélocité et de la variété des données, ainsi que le besoin croissant d’extraire de la valeur et des connaissances de l'ensemble de ces informations, a des implications significatives en matière de compétences. Les entreprises avant-gardistes emploient toutes des analystes de données. Si ceci est hors de votre portée, envisagez de former à ces questions d'autres fonctions de votre organisation afin que ces dernières acquièrent des compétences en matière de science de l’analyse des données.

Deuxièmement, encouragez l'instauration d'une culture du respect des informations, et veillez à ce que votre personnel possède la formation, les moyens de communication et l'assistance dont il a besoin pour gérer vos informations de manière responsable et pour réduire les risques associés.

Troisièmement, mettez en place une procédure robuste en matière de protection d’informations en cas de départ d'employés.

5. « Ne laissez pas traîner des documents papier contenant des informations » : Le fait que les documents

papiers soient perçus comme un risque de sécurité majeur est un enjeu qui peut et doit être confronté de manière urgente. Mettre en œuvre des procédures structurées en matière de scanning numérique et d'archivage et d'extraction de documents n'est pas difficile, et un prestataire de service externe chevronné pourrait vous aider à vous familiariser avec ce travail et à le gérer.

6. « Créez des indicateurs mesurant l'efficacité de vos mesures » : Quelles que soient les mesures que vous

décidiez d’adopter, celles-ci doivent atteindre leurs objectifs pour en valoir la peine, ce qui signifie qu'il est indispensable de déterminer si elles produisent les résultats escomptés. Définissez vos indicateurs de performance clés, vérifiez que votre personnel les connaît et les comprend. Désignez une personne responsable de réévaluer ces indicateurs à intervalles réguliers.

7. « Sachez quoi faire quand tout va mal » : Que ferez-vous si, en dépit de tous vos efforts, vous êtes victime d'un incident ? Que ce soit dans le contexte d'une restauration de données, de plans de continuité des activités, de la gestion de crises ou de la production des rapports de violation de données, la façon dont vous gérez la situation et en parlez suite à un tel incident pourrait être absolument déterminant. Certaines organisations sortent renforcées d'un tel incident, et sont parfois jugées encore plus fiables qu'auparavant. D’autres, par contre, ne s'en sont jamais remises.

PwC 27

Au vu des résultats de notre enquête, il est clair que, bien qu'un grand nombre d'organisations ait élaboré des politiques dans ce domaine et ait parfois commencé à mettre en œuvre des moyens de gouvernance, nous avons noté que les mesures mises en place par ces entreprises pour piloter les évaluations nécessaires, gérer ces risques et concevoir des mécanismes de contrôle et de surveillance sont insuffisantes pour être réellement performantes en matière de gouvernance des informations.

Cette présentation générale de la situation est focalisée sur les risques, mais il ne faut pas perdre de vue qu’au moment de définir les obligations de chacun dans ce domaine, l'équipe de direction doit saisir l'opportunité d'utiliser cette gouvernance pour que celle-ci conduise à des améliorations concrètes et permette d’identifier ce dont l'entreprise aura besoin pour protéger ses informations dans le futur. Posez des questions, telles que : « Si nous détenions cette information, pourrions-nous prendre cette décision stratégique ? » Voici ce qu'apporte la gouvernance : elle permet aux entreprises de faire ce

qu’elles ne peuvent pas faire aujourd'hui, et de saisir les opportunités offertes par l'économie numérique.

Engagez un dialogue avec les principales parties prenantes de l'entreprise, afin d'élaborer une stratégie de gestion des informations susceptibles de favoriser l'instauration et la promotion d'une culture professionnelle ouverte et fondée sur l'échange, tout en maintenant un bon niveau de protection des actifs d'informations importants.

PwC 28

Introduction

À l'appui de cet article, PwC et Iron

Mountain ont élaboré une méthodologie

d’étude solide permettant de valider les

conclusions présentées. Cette méthodologie

est fondée sur les analyses et les

enseignements tirés des enquêtes de 2012

et 2013. Dans le premier cas, nous avons

travaillé étroitement avec Iron Mountain

pour identifier les thèmes émergeant des

enquêtes précédentes, et avons utilisé ces

éléments pour établir un questionnaire

complet essentiellement basé sur les

thèmes clés de l'article, à savoir l'étendue et

l'efficacité des méthodes mises en œuvre

par les entreprises pour gérer les risques

liés à la gestion des informations vues sous

un angle stratégique, ainsi que sous l'angle

du personnel, de la communication et de la

sécurité.

Ceci est complété par une série de sections

supplémentaires permettant de mieux

comprendre pourquoi de telles pratiques

peuvent être mises en œuvre à la fois de

manière universelle et par secteur ou pays.

À des fins de comparaison, les questions

générales qui étayent l'indice de maturité

des risques ont été conservées sous le

format qu'en 2012 et en 2013. Le

questionnaire a été conçu par une équipe

de spécialistes des études chez PwC, qui a

notamment bénéficié de l'expertise et des

contributions de l'équipe du service des

Assurances risque de PwC, dirigée par

Claire Reid.

Nous avons travaillé en étroite

collaboration avec le cabinet Coleman

Parkes, notre partenaire d'études chargé du

travail sur le terrain, afin de veiller à ce que

le questionnaire soit compatible avec la

suite logicielle CATI, qui permet de réaliser

des interviews par téléphone à partir d’un

ordinateur, et à ce que ce questionnaire soit

disponible dans toutes les langues

maternelles des personnes composant

l'échantillon d’enquête.

Qui avons-nous interrogé ?

Afin de fournir aux dirigeants d'entreprise

qui liront cette enquête une analyse de la

nature et de l'étendue des risques liés à la

gestion des informations les plus pressants,

les personnes interviewées par téléphone

étaient typiquement des PDG, des

directeurs financiers, des directeurs de

service des Technologies de l'information et

des administrateurs de société. Ces

entretiens téléphoniques ont été réalisés en

s’assurant que les marchés et secteurs clés

soient proportionnellement représentés,

afin de pouvoir produire une analyse

comparative hautement détaillée.

Pour tirer le maximum de cette enquête,

nous avons réalisé une extraction générale

des données en complétant les principales

conclusions par des coupes spécifiques,

particulièrement en termes de tendances

propres au marché et au secteur. Cette

analyse comprenait également une

évaluation des principaux changements

identifiés entre les résultats de 2012, 2013

et 2014, appuyée et renseignée par des

questions sur les comportements. Nous

avons sollicité la contribution spécifique

des spécialistes du réseau chez PwC, et ce

dans chacun des pays européens et nord-

américains représentés dans l'étude.

Conformément à la méthode utilisée pour

les deux années précédentes, nous avons

créé un indice de maturité en matière de

risques liés à la gestion des informations.

Cet indice a été utilisé en appliquant une

moyenne pondérée de chaque réponse

fournie par chaque société aux 34 questions

de l’enquête. Tel qu'illustré au verso, ces 34

questions ont été divisées en quatre

catégories : stratégie, personnel,

communication et sécurité.

Méthodologie de l'étude

PwC 29

Stratégie

1. Stratégie ou méthode concernant les

risques liés à la gestion des

informations

2. Plan ou stratégie officiel(le) d'une

entreprise en matière de restauration

de données

3. Plan d'intervention d'urgence de

l'entreprise mis en œuvre pour

répondre aux incidents d'information

de petite ampleur ou aux pertes de

données

4. Revue à intervalles réguliers de la

politique de confidentialité des

informations

5. Registre des risques de l’entreprise

6. Stratégie de protection des

informations couvrant la sécurité des

équipements mobiles, des appareils

personnels et des ordinateurs

portables

7. Stratégie de gestion sur plusieurs

sites à la fois des informations

structurées et non structurées sous

des formats numériques et physiques

8. Stratégie d'élimination sécurisée du

matériel informatique et des

documents confidentiels

9. Stratégie structurant les priorités

d'accès aux documents essentiels et

aux documents à hauts risques, le

plus souvent en rapport à des

demandes de conformité

Personnes

10. Une personne ou équipe responsable

des risques liés à la gestion des

informations au sein de votre

organisation.

11. Une procédure de départ visant à

empêcher tout vol et toute copie

d'informations de la part d'employés

quittant votre organisation.

12. Programmes de formation destinés à

informer le personnel sur les enjeux

découlant des risques liés à la gestion

des informations.

13. Session d'information sur les risques

liés à la gestion des informations

faisant partie des séances

d'orientation destinées aux nouveaux

employés.

14. Programmes permanents de rappel et

de mise à niveau du personnel

concernant les risques liés à la

gestion des informations.

15. Programmes de formation efficaces

dispensés sur ordinateur concernant

les risques liés à la gestion des

informations.

16. Procédure de vérification des

antécédents d'employés.

17. Code de conduite énonçant les

comportements attendus de la part

de chaque employé.

18. Un outil permettant de mesurer le

degré de confiance du personnel en

l'efficacité de vos activités en matière

de risques liés à la gestion des

informations.

19. Une politique d'utilisation d’Internet

applicable à l'ensemble du personnel.

20. Une politique d'utilisation des

réseaux sociaux (Facebook, Twitter et

LinkedIn, par exemple) applicable à

l'ensemble du personnel

Questions utilisées pour créer l'indice de maturité en matière de risques liés à la gestion des informations

PwC 30

Communication

21. Disponibilité des informations, aisément accessibles en matière de risques liés à la gestion des informations, ce pour tous les employés.

22. Programmes de communication aux employés visant à renforcer les procédures concernant les risques liés à la gestion des informations.

23. Consignes et conseils clairs à l'attention du personnel concernant les procédures internes de destruction et de stockage sécurisés des documents physiques.

24. Consignes et conseils clairs à l'attention du personnel concernant les procédures internes de destruction et de stockage sécurisés des documents électroniques.

Sécurité

25. Politique de l'entreprise en matière de protection, de stockage et de destruction sécurisées d'informations confidentielles.

26. Programmes de diligence raisonnable concernant la gestion d’informations personnelles, de clients ou d’employés.

27. Un inventaire des sites sur lesquels vos informations sont stockées.

28. Une base de données centralisée sur la gestion des informations de sécurité.

29. Technologie permettant d'analyser les systèmes de détection d'intrusions et les systèmes de prévention d'intrusion.

30. Validation de tiers (tests de pénétration, par exemple).

31. Classifications de données claires, à jour et reconnues.

32. Procédures de contrôle d'accès aux bâtiments, aux zones à accès limité, aux archives de l'entreprise et aux autres informations confidentielles.

33. L'utilisation de règles et de procédures différentes pour le stockage de données, prenant en compte différentes durées de conservation de documents et différentes exigences de protection des données.

34. Procédures de notification d'incident (permettant de déceler quelque chose qui ne devrait pas être présent, par exemple).

PwC 31

Claire Reid

Associée, service des Assurances risque de PwC

Richard Petley

Directeur du service des Assurances risque de PwC

T : +44 (0)20 7212 5513

P :+44 (0)7734 607594

Courriel : claire.reid@uk.pwc.com

T : +44 (0)121 265756

M : +44 (0)7801 741736

Courriel : richard.w.petley@uk.pwc.com

Julie McClean

Directrice générale de la cellule des Enquêtes internationales de PwC

Kieran Jones

Directrice de la cellule des Enquêtes internationales de PwC

Philip Newman

Associé de la cellule des Enquêtes internationales de PwC

T : +44 (0)28 90 245454

P : +44 (0)7738 313241

Courriel : julie.mcclean@uk.pwc.com

T : +44 (0)28 90 245454

P : +44 (0)7845 635383

Courriel : kieran.p.jones@uk.pwc.com

T : +44 (0)28 90 245454

P : +44 (0)7734 607594

Courriel : philip.m.newman@uk.pwc.com

Auteurs du rapport

Cette publication a été rédigée exclusivement dans le but d'offrir des orientations générales sur divers sujets d'intérêt, et ne constitue en rien une source de conseils professionnels. Avant de prendre la moindre mesure fondée sur les informations figurant dans cette publication, veuillez consulter un conseiller professionnel spécialisé. Nous ne déclarons ni ne garantissons en aucun cas (que ce soit de manière expresse ou implicite) que les informations figurant dans cette publication sont exactes ou complètes, et, dans la mesure prévue par la loi, PricewaterhouseCoopers LLP, ses associés, ses employés et ses agents n’acceptent ni n’assument la moindre responsabilité civile, responsabilité générale ou obligation de vigilance concernant toutes conséquences résultant de votre décision d’agir, de ne pas agir ou de vous fier aux informations figurant dans cette publication et de toute décision fondée sur ces informations.

© 2014 PricewaterhouseCoopers LLP. Tous droits réservés. Dans ce document, « PwC » désigne PriceWaterhouseCoopers LLP (une société à responsabilité limitée au Royaume-Uni), qui est membre du groupe PriceWaterhouseCoopers International Ltd, donc chaque société membre est une personne morale distincte.