10 leçons pour bien gérer l’information en entreprise

L’information bien gérée est devenue un actif stratégique précieux des entreprises. Ce gain de valeur crée inévitablement une plus grande vulnérabilité. On assiste à une recrudescence des cas de violation de données, des cyber-menaces et des fraudes.

De telles malveillances assorties d’erreurs humaines rendent les entreprises plus vulnérables; face à la sophistication et à la rapidité d’évolution de l’information, celles-ci craignent pour la réputation de leurs marques. Sur fond de cadre réglementaire pas toujours très clair, les entreprises s’efforcent de jongler entre la nécessité de gérer leurs archives et les énormes volumes de données que génèrent les nouvelles technologies.

Elles se trouvent confrontées à des niveaux sans précédent de risque pour l’information. Une nouvelle étude d’Iron Mountain, le spécialiste des services de conservation et de gestion de l’information, et de PwC révèle de fortes différences de perception et de gestion du risque pour l’information entre les entreprises jeunes et celles plus anciennes. Toutes ont à apprendre des enseignements des autres.

Un peu moins de la moitié (49 %) des entreprises jeunes, entre deux et cinq ans d’exercice, reconnaissent être bien meilleures dans la conduite de leurs opérations qu’en planification stratégique. Les plus anciennes, celles qui ont au moins dix ans, semblent avoir compris qu’il est tout aussi important de comprendre pourquoi on fait quelque chose que de le faire, et plus de la moitié (56 %) ont mis en place une stratégie de suivi des risques pour l’information contre 14 % seulement des sociétés plus jeunes.

Les sociétés plus jeunes font beaucoup plus confiance à leurs employés et à leurs données. 18 % seulement pensent que leurs employés sont une menace potentielle pour la sécurité de l’information et seule la moitié leur impose un code de conduite ; les entreprises plus anciennes sont 42 % à considérer leurs employés comme une menace potentielle et deux tiers ont mis en place un code de conduite des employés. Si la prudence amène à faire appliquer des codes, à préconiser des directives et à dispenser des formations pour aider les employés à mieux appréhender les risques et protéger l’information, alors la prudence doit être vivement recommandée et félicitée.

Les sociétés plus anciennes sont trois fois plus nombreuses à avoir un plan de reprise d’activité après un sinistre (66 % contre 27 %) En l’absence d’un tel plan, n’importe quel sinistre risque de paralyser l’entreprise et de l’exposer à des violations de ses données ou à une perte d’information dont elle pourrait bien ne pas se relever.

L’étude révèle que les sociétés plus anciennes sont près de deux fois plus nombreuses à contrôler l’efficacité des mesures qu’elles décident d’appliquer. Faute de contrôles, il est probable que les entreprises jeunes gaspillent des ressources ou qu’elles s’obligent à des procédures en vain, sans réelle efficacité en terme de réduction des risques.

Dans la moitié des jeunes entreprises, la question de la sécurité de l’information ne figure pas à l’ordre des priorités du conseil d’administration, à l’inverse de leurs aînées qui y accordent bien plus d’attention. L’adhésion des dirigeants et leur implication dans la gestion des risques pour l’information sont primordiales.

Alors qu’elles se méfient peu de leurs employés, un peu plus de la moitié (52 %) des jeunes structures reconnaissent que leurs salariés ne mesurent pas l’importance de la protection des données. Elles font donc volontiers confiance à ceux dont elles soupçonnent qu’ils ne se préoccupent pas beaucoup de la protection de l’information. Deux tiers des entreprises matures sondées estiment à l’inverse que leurs employés mesurent l’importance de la sécurité de l’information.

Les jeunes entreprises sont plus à l’aise avec les pratiques de gestion des données structurées et non structurées, aux formats électroniques et physiques, distribuées sur différents sites (55 % contre 38 % chez leurs aînées). Dorénavant, l’environnement des données sera multi-format et multi-canal ; il faut s’y faire, l’accepter et se préparer à le gérer.

Les frontières entre les usages personnels et professionnels des médias sociaux continuent d’évoluer. Ces questions exposent les entreprises imprudentes à de graves difficultés d’ordre juridique et de protection des données. La confusion et l’incertitude jaillissent de la multitude des approches et des préférences d’utilisation des médias sociaux mises en évidence par l’étude. Elle nous apprend, par exemple, que plus de la moitié (59 %) des jeunes entreprises surveillent l’utilisation des médias sociaux par leurs employés, contre 36 % des sociétés plus anciennes. Les entreprises plus jeunes surveillent l’utilisation qui est faite de Facebook (73 %), tandis que leurs aînées sont deux fois plus nombreuses à surveiller les publications sur LinkedIn (67 %). La tendance s’inverse quand il s’agit de recruter : un tiers des entreprises de plus de 10 ans (31 %) utilisent Facebook quand elles examinent des candidatures contre seulement 10 % des plus jeunes ; à l’inverse, pour leurs besoins de recrutement, 82 % des jeunes entreprises utilisent LinkedIn, contre 46 % de leurs aînées. Les réponses obtenues ne permettent pas d’évaluer l’utilité qu’elles retirent de l’analyse de ces informations.

Toutes les entreprises mesurent l’impact d’une violation de données sur la fidélité de leurs clients (58 % des deux catégories) et la réputation de leur marque (52 % des deux catégories), mais les entreprises plus anciennes sont près de deux fois plus préoccupées par les conséquences juridiques et financières.

3 % seulement des jeunes entreprises privilégient nettement la réduction des coûts à la diminution des risques, contre 28% des leurs aînées. Peut-être que ceci s’explique par le fait que deux tiers des entreprises plus anciennes estiment que le risque d’une violation de données est faible, contre un tiers des plus jeunes, qui craignent probablement de se sentir submergées par le risque d’être victimes d’une violation de données et le rythme du changement.

À propos de l'auteur : Marc Delhaie est p-dg d’Iron Mountain France, société de réduction des coûts et des risques liés à la gestion, au stockage et à l'archivage des documents et données numériques ou physiques.