www.pwc.co.uk
Au-delà des bonnes
intentions
Le besoin de passer des bonnes
intentions à l'action concernant
les risques li...
PwC  Sommaire
Sommaire
Avant-propos 1
Synthèse 2
De bonnes intentions, mais peu de progrès 4
Responsabilité des informati...
PwC  1
Sue Trombley Christian Toon
Directeur général du
leadership intellectuel
Responsable des risques liés à
la gestion...
PwC  1
 En dépit du fait qu'il existe partout des
organisations comprenant parfaitement
que les informations ont de la v...
PwC 2
Les informations constituent l'oxygène d'une
entreprise. Elles lui sont essentielles et sont
omniprésentes. Elles c...
PwC  3
mesures de protection appropriées devraient
être élaborées, et pourtant plus de la moitié
des entreprises de taill...
PwC  4
Dans la communauté des affaires et dans la classe
politique, l'optimisme est croissant : non seulement le
marché d...
PwC  5
« Nous notons une détermination
durable à élaborer des politiques,
effectuer des analyses et mettre en
œuvre des p...
PwC  6
Figure 1.2 : Indice de
maturité en matière de
risques liés à la gestion
des informations 2012 –
2014
L'enquête de ...
PwC  7
Figure 1.3 : Indice de
maturité en matière de
risques liés à la gestion
des informations des
entreprises de taille...
PwC  8
Pour atteindre un score de 100, les
entreprises doivent mettre en place et
contrôler l'efficacité des 34 mesures
i...
PwC  9
Proportion d'entreprises
nord-américaines ayant
mis en place ce qui suit et
qui les contrôlent de
manière efficace...
PwC  10
Proportion d'entreprises
nord-américaines ayant
mis en place ce qui suit et
qui les contrôlent de
manière efficac...
PwC  11
La quantité croissante d'informations, sous de
multiples formats différents, ainsi que la
complexité de gérer la ...
PwC  12
Figure 2.1 : Qui devrait
être le principal
responsable des risques
liés à la gestion des
informations dans votre
...
PwC  13
Une fois que cette responsabilité a été
adéquatement assignée, il est indispensable
de bien comprendre quelles co...
PwC  14
Figure 2.3 : Concernant
les compétences que doit
posséder le personnel
responsable de la gestion
de vos informati...
PwC 15
Figure 2.4 : À votre avis,
de quelles compétences
les spécialistes de la
gestion des informations
auront-ils besoi...
PwC  16
Étude de cas : « Le
PDG d'une chaîne de
magasins aux États-
Unis démissionne
suite à une violation
de données maj...
PwC  17
Bien que le volume croissant des
informations pose des risques pour les
entreprises de taille moyenne, lorsque le...
PwC  18
Figure 3.1 : Comment
décririez-vous les
priorités de votre
organisation concernant
ses informations ?
Figure 3.2 ...
PwC  19
Il semble que les résultats tangibles
des entreprises de taille moyenne dans
ce domaine ne soient pas à la hauteu...
PwC 20
Étude de cas -
Mediatonic : «
Dériver une valeur
commerciale de
l'analyse de données
est parfaitement
réalisable p...
PwC  21
Étude de cas - Criteo : «
Dériver une valeur
commerciale de l'analyse
de données est
parfaitement réalisable
pour...
PwC  22
De toute évidence, les entreprises de taille
moyenne ne réagissent pas toutes de la
même manière. Nous avons iden...
PwC  23
Qu’est-ce que
les entreprises
avant-
gardistes font
différemment ?
Nous avons examiné les organisations
de taille...
PwC  24
Cas d'entreprises
correctement
équipées pour
affronter ces
risques : Exemples
de bonnes
pratiques
Cas d'étude A
A...
PwC  25
Adoption des
meilleures
pratiques :
Gouvernance
des
informations
La gouvernance des informations est un cadre plu...
PwC  26
Comment y parvenir : les sept étapes à franchir pour réussir
1. « Cet enjeu n'est pas uniquement du ressort du se...
PwC  27
Au vu des résultats de notre
enquête, il est clair que, bien qu'un
grand nombre d'organisations ait
élaboré des p...
PwC  28
Introduction
À l'appui de cet article, PwC et Iron
Mountain ont élaboré une méthodologie
d’étude solide permettan...
PwC  29
Stratégie
1. Stratégie ou méthode concernant les
risques liés à la gestion des
informations
2. Plan ou stratégie ...
PwC  30
Communication
21. Disponibilité des
informations, aisément
accessibles en matière de
risques liés à la gestion de...
PwC  31
Claire Reid
Associée, service des
Assurances risque de PwC
Richard Petley
Directeur du service des
Assurances ris...
Cette publication a été rédigée exclusivement dans le but d'offrir des orientations générales sur divers sujets d'intérêt,...
Upcoming SlideShare
Loading in...5
×

Au-delà des bonnes intentions - Rapport de PwC produit en collaboration avec Iron Mountain - Juin 2014

910

Published on

Le besoin de passer des bonnes intentions à l'action concernant les risques liés à la gestion des informations sur le marché des entreprises de taille moyenne.

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
910
On Slideshare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
16
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Au-delà des bonnes intentions - Rapport de PwC produit en collaboration avec Iron Mountain - Juin 2014

  1. 1. www.pwc.co.uk Au-delà des bonnes intentions Le besoin de passer des bonnes intentions à l'action concernant les risques liés à la gestion des informations sur le marché des entreprises de taille moyenne Rapport de PwC produit en collaboration avec Iron Mountain Juin 2014
  2. 2. PwC  Sommaire Sommaire Avant-propos 1 Synthèse 2 De bonnes intentions, mais peu de progrès 4 Responsabilité des informations: est-elle du ressort de personnes appropriées ? 11 Exploiter les données au maximum de leur potentiel 17 Qu’est-ce que les meilleures organisations font différemment ? 22 Adoption des meilleures pratiques : Gouvernance des informations 25 Méthodologie de l'étude 28 Questions utilisées pour créer l'indice de maturité en matière de risques liés à la gestion des informations 29 Auteurs du rapport 31
  3. 3. PwC  1 Sue Trombley Christian Toon Directeur général du leadership intellectuel Responsable des risques liés à la gestion des informations Iron Mountain - Amérique du Nord Iron Mountain - Europe Dans un monde dont le moteur est le savoir, les informations sont devenues un actif commercial de plus en plus précieux, et cette valeur croissante des informations entraîne un risque plus important. Il s'agit de la troisième étude annuelle réalisée par PwC et Iron Mountain afin d'apprendre comment les entreprises européennes de taille moyenne (celles dont les effectifs vont de 250 à 2 500 employés) perçoivent et gèrent le risque lié à la gestion des informations. L'étude 2012 a révélé une large insouciance vis-à-vis des menaces et des vulnérabilités potentielles. L'étude 2013 indiquait que les entreprises de taille moyenne avaient réagi, mais que leurs initiatives préliminaires pour s'attaquer à la gestion des risques liés aux informations étaient noyées dans un océan de données massives. Cette année, nous avons décidé de regarder si les tendances en matière de risques liés à la gestion des informations sont confinées aux entreprises européennes de taille moyenne ou s'il s'agit d'un phénomène plus général. Dans l'étude 2014, qui s'appuie elle aussi sur les moyens de recherche et d'analyse puissants de PwC combinés à la profondeur de l'expertise de Iron Mountain, porte sur les organisations de taille moyenne aux États-Unis et au Canada, ainsi que sur les grandes entreprises (celles de plus de 2 500 employés) sur les deux continents. Où que nous regardions, nous avons observé un écart entre la situation actuelle des entreprises en termes de capacité de gestion des risques liés aux informations et l'objectif qu'elles se sont fixé ou qu'elles ont besoin d'atteindre. Les tendances majeures sont mondiales.  Qu'il s'agisse des entreprises les plus grandes et les plus établies ou des entreprises de taille moyenne les plus jeunes, elles se révèlent toutes incapables de combler l'écart entre le fait d'avoir mis en place un plan ou règlement bien intentionné et le stade auquel elles pourraient affirmer qu'un tel plan ou règlement fonctionne effectivement.  La responsabilité en matière de risques liés à la gestion des informations est invariablement et presque exclusivement confiée au service des technologies de l'information, ce à un moment où des informations sont pourtant générées et utilisées par l'ensemble des fonctions des entreprises, et où l'impact potentiel d'une violation des données – impact sur la notoriété et/ou impact juridique, financier ou commercial – exige des dirigeants d'entreprise qu'ils prêtent attention aux problème et requiert que les autres services d'une entreprise s'impliquent davantage à cet égard. Avant-propos
  4. 4. PwC  1  En dépit du fait qu'il existe partout des organisations comprenant parfaitement que les informations ont de la valeur, la majorité de ces organisations préfèrent les sécuriser en les verrouillant afin d'éviter toute violation de données ou toute action en justice, plutôt que de les utiliser à des fins d'avantages concurrentiels, d’innovation et de croissance.  Enfin et surtout, alors que les entreprises se concentrent sur des initiatives numériques, elles découvrent qu'il est difficile de gérer les risques associés à leurs documents papier. Environ deux tiers des participants à l'étude ont déclaré que ce risque est le plus important de tous, soit deux fois plus que concernant le risque de menaces externes, qui arrive au deuxième rang. Tout ceci entraîne une situation où ces organisations sont exposées à un risque de perte de données ou de dommages causés à leurs données. Et pourtant, ceci peut parfaitement être évité. Nous avons découvert des entreprises ayant adopté un concept général clair et effectif en matière de gouvernance d'informations et de gestion des risques liés aux informations - des organisations qui comprennent les menaces pesant sur leurs informations et la façon d’en tirer parti. Plus loin dans ce livre blanc, nous présentons les caractéristiques clés de ces précurseurs et proposons des conseils pratiques pour aider les autres à suivre cette voie. Énoncer de bonnes intentions constitue le point de départ, et non la ligne d'arrivée, du chemin à parcourir pour gérer vos risques liés aux informations.
  5. 5. PwC 2 Les informations constituent l'oxygène d'une entreprise. Elles lui sont essentielles et sont omniprésentes. Elles comprennent les savoirs et l'acquisition de savoirs, les données générées par des systèmes, les informations sur les produits et les clients, les communications au quotidien et les documents archivés sur papier, ainsi que les propriétés intellectuelles de l'entreprise. Cependant, la croissance de leur volume, leur plus grande diversité et les différents types d'informations professionnelles utilisés aujourd'hui entraînent des risques, lesquels sont extrêmement variés. S’ils ne sont pas correctement gérés et/ou atténués, ils peuvent avoir un impact critique et préjudiciable sur une entreprise. Ces risques, menaces et impacts potentiels sont maintenant mieux identifiés et compris, par rapport à ces dernières années. Le monde des entreprises de taille moyenne, à la fois en Europe et en Amérique du Nord, a réagi aux violations de données, fuites et incidents d'espionnage divers hautement médiatisés en adoptant davantage de stratégies organisationnelles et en mettant en œuvre des plans et procédures d'actions internes, mais également en investissant dans des technologies de sécurité et des programmes de communication internes. Néanmoins, notre recherche montre que, bien que ceci constitue une évolution positive et très bienvenue, l'écart se creuse entre eux : les « bonnes intentions », énoncées dans des déclarations d’engagement incluses aux règlements organisationnels et aux programmes internes des entreprises, d’une part, et la mise en œuvre de mesures concrètes sous forme d’application effective de tels règlements et programmes, d'autre part. Cet écart représente un problème essentiel, car il contribue à exposer les entreprises de taille moyenne à un très large éventail de risques d'informations susceptibles d'avoir des répercussions durables et potentiellement irréparables sur leur viabilité générale et leurs avantages concurrentiels. En outre, bien que cet écart entre les engagements déclarés et les mesures concrètes contribue à une plus grande exposition aux risques d'informations, il limite également la capacité des entreprises de taille moyenne à utiliser efficacement leurs informations en tant qu'actif précieux susceptible de leur permettre de se démarquer sur leur marché. De nombreuses entreprises de taille moyenne en Amérique du Nord et en Europe reconnaissent que leurs informations ont de la valeur, mais elles ne s'en servent pas pour en tirer un avantage concurrentiel. Notre étude montre que le secteur des entreprises de taille moyenne reste indûment passif et protectionniste, plutôt que proactif et innovant, en ce qui concerne la façon d'utiliser ses portefeuilles d'informations croissants. Il est intéressant de noter que ce phénomène est général, quel que soit le pays, le secteur d'activité, le continent ou la forme ou taille des entreprises, et qu'il est sans rapport avec leurs effectifs ou leurs ressources. Par conséquent, il s'agit d'un défi absolument général. Selon nous, les entreprises de taille moyenne ont significativement besoin de traduire leurs politiques et objectifs organisationnels en mesures concrètes et applicables, et la majorité de ces entreprises ne sont ni suffisamment protégées ni en mesure de pleinement optimiser les données/informations qu'elles détiennent. Principales conclusions de l'étude :  Le score sur l'indice de maturité en matière de risques, qui couvre un échantillon d’entreprises de taille moyenne européennes et nord-américaines, atteint 55,3 par rapport à un idéal de 100,0.  Un tel score de 55,3 correspond, selon notre définition, au segment « Conscientes du risque » de cet indice. Ceci est symptomatique des entreprises ayant graduellement pris conscience du besoin de gérer ce risque, mais qui ne savent toujours pas comment réagir et qui restent mal équipées pour confronter cette menace.  L'absence de mesures, de politiques et de procédures proprement mises en œuvre et contrôlées contribue partiellement à empêcher les entreprises de taille moyenne à parvenir à un niveau de « maturité » plus élevé.  Seules 37 % de ces entreprises en Europe et 47 % en Amérique du Nord ont mis en place une stratégie en matière de risques liés à la gestion des informations pleinement contrôlée. Ceci devrait constituer le socle sur lequel des Synthèse
  6. 6. PwC  3 mesures de protection appropriées devraient être élaborées, et pourtant plus de la moitié des entreprises de taille moyenne ne le font pas.  Seules 26 % des entreprises européennes et 20 % des entreprises nord-américaines prennent les mesures nécessaires pour déterminer dans quelle mesure leurs programmes de formation en matière de gestion des risques liés aux informations sont efficaces.  En termes de responsabilité et d'affectation appropriée des compétences, 46 % des entreprises européennes et 32 % des entreprises nord-américaines déclarent que leur directeur de la sécurité des technologies de l'information est le plus haut responsable en charge des risques liés à la gestion des informations. Lorsque nous leur avons demandé à qui cette responsabilité globale devrait incomber, ces pourcentages atteignent respectivement 73 % et 74 %. Selon nous, ceci limite la capacité d'une organisation à anticiper et à réagir à l'ampleur des risques vue sous un angle plus large, à savoir sous un angle dépassant la simple responsabilité du service des technologies de l'information de l’entreprise.  Plus de la moitié des entreprises estiment qu'il n'existe aucun écart de compétences en matière de gestion des informations au sein de leur personnel. Ceci semble indûment optimiste, mais reflète également l'absence de compréhension des compétences qui sont requises pour à la fois protéger et optimiser les informations des entreprises de manière appropriée.  87 % des entreprises européennes et 80 % des entreprises nord-américaines pensent qu'aucun ancien employé n'a emporté avec lui et fourni à son nouvel employeur des informations détenues par leur organisation. Dans le meilleur des cas, il s'agit d'une vision optimiste, et dans le pire des cas, ceci démontre plus amplement leur naïveté, selon laquelle les informations de tous types et de tous degrés de confidentialité ne sont pas rendues vulnérables par des employés existants ou futurs d’une manière susceptible de procurer un avantage à des concurrents et/ou de constituer une menace. Afin d'atteindre adéquatement et de surpasser le double objectif fondamental de la protection adéquate et de l’optimisation de la valeur de leurs informations, les entreprises de taille moyenne doivent s'atteler à un certain nombre d'enjeux. Combler l'écart entre les déclarations d’intention et les mesures concrètes (1) Afin d'avoir un impact, les stratégies organisationnelles, les initiatives du personnel, les programmes de communication et les procédures de sécurité doivent être examinés, testés, évalués, affinés et pleinement compris. Les hauts dirigeants d'entreprises de taille moyenne doivent coordonner et affecter adéquatement la responsabilité en matière de risques liés à la gestion des informations. (2) Les informations sont visibles ou invisibles, physiques ou électroniques, en ligne ou sur papier, et, par conséquent, la haute direction de chaque entreprise doit coordonner la façon dont ceci est à la fois géré et/ou optimisé, de façon à ce que chacun connaisse à la fois son rôle et les conséquences potentielles de toute absence de conformité. Les informations peuvent uniquement avoir de la valeur pour une entreprise si elles sont proprement gérées et efficacement utilisées. Ceci nécessite de réaliser un audit en bonne et due forme des écarts de compétences, afin de réduire de tels écarts et de répartir les compétences de manière appropriée. (3) La gestion et l'optimisation des informations ne devraient pas être principalement du ressort des professionnels du service des technologies de l'information. Les données doivent être plus largement partagées avec les analystes et les innovateurs à travers l'ensemble de l'organisation. La confiance accordée aux employés doit être protégée et sous-tendue par des procédures évaluées et contrôlées. (4) Il est important d'investir dans du matériel de sécurité et des technologies de protection adaptés. Cependant, ceci doit être appuyé par des procédures du personnel à la fois surveillées et contrôlées, de façon à conjurer toutes menaces susceptibles d'émerger au sein même de l'organisation et qui sont souvent les sources d’exposition les plus courantes et les plus dommageables.
  7. 7. PwC  4 Dans la communauté des affaires et dans la classe politique, l'optimisme est croissant : non seulement le marché des entreprises de taille moyenne est en passe de sortir de la récession la plus grave et la plus longue que la présente génération ait connue, mais la croissance du PIB devrait être nettement supérieure aux prévisions les plus récentes. En dépit de cette tendance positive, les entreprises de taille moyenne restent exposées aux risques de mauvaise gestion du volume croissant d'informations que les entreprises doivent aujourd'hui gérer. Les informations constituent l'oxygène d'une entreprise. Elles lui sont essentielles et sont omniprésentes. De telles informations comprennent les connaissances et savoirs de leurs personnels, ainsi que ce que ces derniers apprennent dans le cadre de leur activité au service de leur entreprise, le volume croissant des données générées par les systèmes et par les procédures des entreprises, les vastes bases de données constituées de fichiers sur les clients et sur les employés, les informations sur les produits, les communications internes et externes, les documents archivés sur papier et les propriétés intellectuelles de valeur des entreprises. Elles englobent les courriels, les notes et commentaires rédigés sur les réseaux sociaux, les messages instantanés, les vidéos, les données numériques, les correspondances, les contrats, les avant-projets, et les concepts et principes de fonctionnement commercial de l'entreprise. Les risques liés à la gestion des informations sont extrêmement divers. Les bases de données numériques sont susceptibles d'être victimes d'intrusions, les communications en ligne peuvent faire l'objet de logiciels malveillants, de fraudes ou d'attaques malicieuses, les données de documents sur papier sont susceptibles d'être divulguées lorsque de tels documents ne sont pas proprement jetés ou éliminés ou s'ils sont volés ou éparpillés en cas de catastrophe naturelle, et la propriété intellectuelle de l'entreprise peut être perdue en cas de vol ou d'espionnage. Les employés d'une entreprise sont au cœur de la gestion des informations. En fonction de leur rôle et de leur domaine de responsabilité, les employés d'une entreprise utilisent et produisent différents types d'informations, ce qui explique pourquoi celles-ci sont gérées de différentes manières. D'autre part, certaines informations sont susceptibles de quitter l'entreprise, que ce soit par inadvertance ou non, en cas de départ d'un employé. Ces dernières années, les entreprises de taille moyenne ont pris conscience de l'importance de gérer de manière effective les risques liés à la gestion des informations, et ont en conséquence mis en place un éventail de politiques, de procédures et de plans d'action différents. Cependant, notre récente enquête, commandée par Iron Mountain, a révélé un écart croissant entre d'une part les bonnes intentions, énoncées dans des déclarations d'engagement sous forme de politiques et de procédures d'entreprise, et d'autre part les mesures concrètes, qui constituent la mise en application efficace et contrôlée de ces politiques et procédures. Cet écart est un enjeu clé et un réel problème pour les entreprises de taille moyenne. De bonnes intentions, mais peu de progrès
  8. 8. PwC  5 « Nous notons une détermination durable à élaborer des politiques, effectuer des analyses et mettre en œuvre des programmes internes au sein de ces entreprises. Cependant, notre expérience nous enseigne que, si les entreprises phares de l'industrie ne surveillent pas et n'évaluent pas l'impact de telles mesures, ces dernières ont fort peu de chances d'être proprement appliquées ». Claire Reid Partenaire de PwC en matière de sécurité des informations « On ne peut pas lutter contre les menaces d'aujourd'hui avec les stratégies d'hier. Ce dont nous avons besoin, c'est à la fois d'une nouvelle méthode globale concernant les risques liés à la gestion des informations, c'est-à- dire d'une méthode dont le moteur est la connaissance réelle des menaces existantes et des actifs à protéger, et d'une réalisation que, même s'il n'est pas toujours possible de se protéger complètement contre les risques liés à la gestion des informations, de tels risques peuvent être ramenés à des niveaux acceptables ». Gary Loveland Partenaire de PwC en matière de sécurité des informations PwC a réalisé sa troisième série annuelle d’entretiens auprès de 600 entreprises de taille moyenne (celles de 250 à 2 500 employés, qui constituent le marché des entreprises de taille moyenne) dans six pays européens : la France, l’Allemagne, la Hongrie, les Pays-Bas, l’Espagne et le Royaume-Uni. Le présent article détaille les conclusions de notre article publié en 2012 intitulé « Au-delà des menaces informatiques », dans lequel figurait le tout premier indice de maturité concernant les risques liés à la gestion des informations provenant d'Europe, lequel article soulignait le besoin, pour les entreprises de taille moyenne, de mieux s'équiper pour gérer ces risques. Le présent article détaille également les conclusions de notre article publié en 2013 et intitulé « Au- delà de la prise de conscience », qui mettait en avant les problèmes posés par le volume croissant d'informations et par ce que nous avons appelé « l'inondation de données ». L'article de 2012 reprend et développe les thèmes et tendances indiqués dans les deux enquêtes précédentes. Cette année, notre enquête comprend également une analyse de la situation en Amérique du Nord basée sur les résultats d'entretiens réalisés avec 600 participants au Canada et aux États-Unis dans les mêmes secteurs industriels qu'en Europe, afin que notre enquête soit cette fois- ci de nature transatlantique et actualise notre indice de maturité en matière de risques liés à la gestion des informations. La répartition entre les deux continents, en termes de couverture et de profils des participants à l'enquête 2014, est illustrée sur la figure 1.1. Le score du premier indice des risques du marché des entreprises de taille moyenne à couvrir l'Amérique du Nord est de 55,3 (par rapport à un score idéal de 100,0), ce qui montre que les entreprises de taille moyenne, en Europe comme en Amérique du Nord, sont bien souvent conscientes de ces risques mais sont dans le même temps mal équipées pour s'attaquer pleinement à cette menace et grippées par le doute concernant la meilleure façon de procéder. Ceci est conforme à notre enquête de 2013, qui montrait que ces entreprises prennent graduellement mieux conscience de l'importance de gérer les risques liés à la gestion des informations, reconnaissent davantage les menaces posées par ces risques et sont de plus en plus nombreuses à adopter des stratégies initiales d'atténuation de ces risques.
  9. 9. PwC  6 Figure 1.2 : Indice de maturité en matière de risques liés à la gestion des informations 2012 – 2014 L'enquête de 2014 sur les entreprises de taille moyenne montre que cette prise de conscience prend graduellement de l'ampleur, et que leurs directions générales ont en conséquence commencé à élaborer des stratégies, des programmes de communication, ainsi que des orientations en matière de sécurité. Cependant, il devient de plus en plus urgent de valider ces mesures par des mécanismes de contrôle et d'application efficaces, particulièrement à l'échelon de la direction. Ce thème ressort encore plus nettement lorsque l'on analyse les résultats de l'enquête sous un angle européen. Tel qu'illustré sur la figure 1.2, ceci représente la troisième mise à jour annuelle de l'indice de maturité en matière de risques sur le marché des entreprises européennes de taille moyenne. Le score de 56,1 est légèrement supérieur à celui des entreprises nord-américaines de taille moyenne, mais il est cependant en légère baisse par rapport à celui de 56,8 enregistré en 2013. Ceci illustre que le degré de maturité de ces entreprises s'est stabilisé, et que celles-ci éprouvent des difficultés à s'équiper pleinement contre ce risque. Cependant, et tel que décrit de manière plus détaillée ultérieurement dans cet article, notre enquête semble indiquer que certaines entreprises de taille moyenne ont atteint un niveau de maturité supérieur, et démontrent par leurs actes qu'elles sont des précurseurs performants dans ce domaine. Grâce à une analyse plus approfondie, nous avons découvert qu'il existait clairement un lien entre le profil particulier d'une entreprise en matière de risques liés à la gestion des informations et la valeur qu'une telle entreprise accorde à ses informations, ce qui illustre l'avantage concurrentiel qui peut être tiré des informations détenues. Compte tenu de son score de 54,5 à l'indice de maturité, rien ne permet d'être plus optimiste concernant l'Amérique du Nord, ce qui montre qu'il est globalement nécessaire de passer des bonnes intentions à l'action, quelle que soit la région géographique ou le secteur d'activité concerné. Ceci constitue donc un défi général, puisqu'une analyse de ces scores sur ce marché et ce secteur permet de dresser un tableau relativement homogène et statique de la situation actuelle.
  10. 10. PwC  7 Figure 1.3 : Indice de maturité en matière de risques liés à la gestion des informations des entreprises de taille moyenne – Analyse par type de risque Figure 1.4 : Indice de maturité en matière de risques liés à la gestion des informations, par pays Figure 1.5 : Indice de maturité en matière de risques liés à la gestion des informations, par secteur
  11. 11. PwC  8 Pour atteindre un score de 100, les entreprises doivent mettre en place et contrôler l'efficacité des 34 mesures inclues à notre indice (décrites dans l'annexe). Si l'on analyse les scores de maturité à la fois par pays et par secteur, on note une absence générale de compréhension des risques auxquels les informations sont exposées et de la façon de répondre à ce problème. En dépit d'écarts de maturité très modestes, il est clair que les entreprises européennes et nord- américaines sont confrontées à des problèmes identiques en matière de gestion de leurs informations. Si l'on regarde les chiffres par pays européen, par exemple, la Hongrie arrive en tête avec un score de 60,2, et l'Allemagne en dernier avec un score de 53,6. Les scores des États-Unis et du Canada sont très similaires, à savoir respectivement 54,1 et 55,0. En termes de maturité par secteur, une telle homogénéité est encore plus flagrante puisqu'aucun secteur n'est proche, au contraire, du niveau auquel il serait adéquatement équipé pour gérer ces risques. De plus, nous avons effectué une enquête similaire concernant le marché de ces entreprises en Europe et en Amérique du Nord et découvert une tendance identique, ce qui démontre encore plus clairement l'ampleur du problème et indique que les ressources mises en œuvre sont inadéquates en termes de taille et d'échelle. La menace posée par le volume et la variété croissants des informations, ainsi que l'absence de réponse adéquate sous forme de mesures d'atténuation efficaces, ne doivent pas être sous-estimées. La récente « Enquête de 2014 sur les violations des systèmes d'informations », commandée par le ministère britannique des Entreprises, de l'Innovation et des Compétences et réalisée par PwC, montre que, en dépit d'une légère baisse du nombre de violations dans ce domaine, le coût de chaque violation a augmenté de manière significative. Cette enquête révèle également que 10 % des entreprises britanniques affectées par des violations de leurs systèmes d'informations l'année dernière en ont été tellement négativement affectées qu'elles ont dû intégralement se réorganiser. Il est par ailleurs alarmant de noter que près d'un tiers (31 %) des pires violations dans ce domaine l'année dernière a été causé par des erreurs humaines, et 20 % par une utilisation délibérément fautive des systèmes d'information par des employés. En outre, suite à la violation de données majeure dont la chaîne de magasins Target a été victime aux États-Unis, John Kindervag (Forrester Research) a estimé que cette violation pourrait coûter à Target une somme à hauteur de 100 millions de dollars US. M. Kindervag a également lancé un avertissement à d'autres entreprises nord-américaines concernant l'importance d'instaurer de bonnes pratiques sécuritaires, sachant qu'il coûte toujours beaucoup moins cher de mettre en place de bonne heure des mécanismes de contrôle appropriés. Sur quoi l'indice du marché des entreprises de taille moyenne mal équipées est-il fondé ? L'indice de maturité assigne un score plus élevé aux organisations qui non seulement ont mis en place des procédures, stratégies, programmes de communication et mécanismes de contrôle sécuritaires clés, mais qui ont également intégré à leur activité des systèmes permettant de s'assurer que l'efficacité et l'impact de l'ensemble des mesures mises en place sont mesurés dans la durée. Quelle que soit la région géographique concernée, les entreprises de taille moyenne semblent avoir des difficultés pour passer des intentions à une action contrôlée. Ce thème de « l'écart en matière d'engagement à agir » avait été mis en exergue dans nos deux enquêtes précédentes, ainsi que dans l'enquête comparative sur « la gouvernance des informations de 2013/2014 » réalisée par Cohasset Associates et d'autres, qui révèle que l'écart entre les intentions et l'action demeure obstinément inchangé. C'est précisément cet écart qui empêche les entreprises de taille moyenne d'atteindre un niveau de maturité plus élevé concernant la façon de gérer efficacement leurs informations. Seules 37 % de ces entreprises en Europe et 47 % en Amérique du Nord ont mis en place une stratégie en matière de risques liés à la gestion des informations pleinement contrôlée. Élaborer une telle stratégie est fondamental si l'on veut atteindre un niveau de protection permettant d'atténuer la menace des violations, des fuites et des vols de données. Et pourtant, plus de la moitié des entreprises ne s'y sont pas encore attelées. « Définir des stratégies en matière de risques liés à la gestion des informations est évidemment important, et plutôt que de théoriser à ce sujet, les entreprises de taille moyenne devraient passer à l'action afin que les comportements appropriés dans ce domaine soient pleinement intégrés à leurs organisations, et contrôler, évaluer et réviser leur réponse au fur et à mesure que ces risques changent ». Richard Petley Directeur du service Assurances risque chez PwC
  12. 12. PwC  9 Proportion d'entreprises nord-américaines ayant mis en place ce qui suit et qui les contrôlent de manière efficace: Stratégie en matière de risques liés à la gestion des informations Registre des risques de l'entreprise Stratégie d'élimination en toute sécurité du matériel informatique et des documents confidentiels Séances de formation aux risques liés à la gestion des informations destinées au personnel Politique d'utilisation des médias sociaux applicable à tous les employés Politiques d'entreprise en matière de protection, de stockage et d'éliminationdes informations confidentielles en toute sécurité Base de données confidentielles centralisée Classifications claires, à jour et reconnues en matière de données 47% 38% 35% 20% 41% 18% 36% 39% Seules 26 % des entreprises européennes et 20 % des entreprises nord-américaines assurent un suivi en rapport à leurs programmes de formation sur les risques liés à la gestion des informations dans le but d'évaluer l'impact de ces programmes. Il est vital que les entreprises reconnaissent l'importance d'intégrer à leur culture de bons comportements en matière de risques liés à la gestion des informations, et de vérifier dans la durée si ces comportements sont observés. Notre enquête 2014 montre que les entreprises de taille moyenne n'ont pas encore intégré la sécurité des informations à leur culture. Ceci est illustré par le fait que moins des trois quarts d'entre elles contrôlent l'efficacité de leur formation de sensibilisation aux risques liés à la gestion des informations incluse aux activités d'orientation des nouveaux employés. En outre, les résultats de l'enquête montrent qu'au-delà de cette période d'orientation, seules quelques entreprises cherchent, dans le meilleur des cas, à peine à vérifier si cette sensibilisation a porté ses fruits, tandis que toutes les autres ne le font jamais.
  13. 13. PwC  10 Proportion d'entreprises nord-américaines ayant mis en place ce qui suit et qui les contrôlent de manière efficace: Stratégie en matière de risques liés à la gestion des informations Registre des risques de l'entreprise Des vérifications régulières de la politique de confidentialité Stratégie d'élimination en toute sécurité du matériel informatique et des documents confidentiels Séances de formation aux risques liés à la gestion des informations destinées au personnel Programmes réguliers de formation Des programmes de formation efficaces sur les risques liés à la gestion des informations Une politique claire pour les salariés sur les procédures internes en ce qui concerne le stockage sécurisé des documents physiques et leur destruction Politique d’entreprise en matière de protection, de stockage et d’élimination des informations confidentielles en toute sécurité 37% 46% 46% 41% 26% 38% 36% 40% 27% Selon nous, ces résultats sont symptomatiques du marché des entreprises de taille moyenne, qui n'est à la fois ni suffisamment mûr, ni équipé pour confronter la menace des risques liés à la gestion des informations. L'absence de contrôle efficace, à son tour, explique les faibles scores d'ensemble de l'indice de maturité en matière de risques liés à la gestion des informations. C'est d'ailleurs un trait commun de ces résultats, qui montrent que les entreprises de taille moyenne fonctionnent, tant en termes de culture d'entreprise que sur le plan opérationnel, avec l'idée qu'elles ont mis en place des mesures de protection suffisantes, et il ne ressort nullement qu'elles agissent à cet égard sur la base d'un plan d'action contrôlé clairement structuré. Ceci révèle, de la part de ces entreprises, un manque de compréhension de l'étendue de leur exposition aux risques et des mesures préventives appropriées qu'elles doivent adopter. Ce thème est commun à tous les marchés, secteurs et catégories de société. Tant qu'elles n'auront pas mieux pris conscience des menaces existantes et des mécanismes de contrôle à mettre en place, les entreprises de taille moyenne demeureront vulnérables à la menace des violations de données et incapables de déverrouiller le potentiel de valeur latente que leurs informations possèdent.
  14. 14. PwC  11 La quantité croissante d'informations, sous de multiples formats différents, ainsi que la complexité de gérer la question de savoir qui peut accéder à quelles informations et quand, où et comment, impliquent des risques considérables pour ces entreprises. Assigner la responsabilité de la protection des informations aux personnes appropriées est un facteur clé de prévention contre ces risques, et permet de garantir à la fois que les personnes appropriées sont impliquées et que des responsables performants ont été désignés pour coordonner la réponse appropriée de l'entreprise. Ce thème n'est pas nouveau et a déjà été largement documenté. Cet enjeu doit être porté à l'attention de la hiérarchie, y compris les dirigeants de l'entreprise et le conseil d'administration, afin qu'une stratégie de contrôle des risques liés à la gestion des informations et de protection des informations ait sa place au sein du principe général de fonctionnement économique et des processus décisionnels de chaque entreprise. « Les risques liés à la gestion des informations ne peuvent plus être définis comme étant exclusivement un défi du ressort du service des Technologies de l'information ». Source : « Enquête 2014 sur la situation à travers le monde en matière de sécurité des informations » Assigner principalement la responsabilité des risques liés à la gestion des informations à un responsable de catégorie « c-suite » / de la haute direction est une tendance en progression significative, mais la plupart des entreprises de taille moyenne continuent à assigner cette charge à un responsable ou à l'équipe du service des Technologies de l'information. Une telle pratique pouvait éventuellement être appropriée autrefois, mais les risques liés à la gestion des informations sont aujourd'hui un enjeu à facettes multiples couvrant divers domaines et types de risques, qu'il s'agisse du personnel ou des procédures, des comportements ou des pratiques professionnelles, à tel point que la responsabilité de ces risques devrait désormais toujours être assignée à l'échelon le plus élevé de la hiérarchie, chacun des employés ayant quant à lui un rôle individuel à jouer en matière de protection des informations de l’entreprise. Responsabilité des informations: est-elle du ressort de personnes appropriées ?
  15. 15. PwC  12 Figure 2.1 : Qui devrait être le principal responsable des risques liés à la gestion des informations dans votre organisation ? Quelques 46 % des entreprises européennes et 32 % des entreprises nord-américaines déclarent que le responsable principal de ces risques est leur directeur de la Sécurité au sein du service des Technologies de l'information. Si l'on prend la vraie mesure de la quantité considérable d'informations de tous types et formats détenue par les entreprises de taille moyenne, la nature même des données renforce cette incompréhension généralisée de la façon dont la responsabilité principale de ces risques devrait être assignée. En outre, lorsqu'on leur demande qui devrait être le responsable principal des risques liés à la gestion des informations, 73 % des entreprises européennes et 74 % des entreprises nord-américaines déclarent que cette responsabilité est présentement du ressort du directeur de la Sécurité de leur service des Technologies de l'information. Pour simplifier, les entreprises de taille moyenne estiment que la façon la plus efficace de gérer et de se protéger contre la menace constituée par les risques liés à la gestion des informations consiste à assigner une responsabilité plus durable à des membres du service des Technologies de l’information, qui sont pourtant des personnes susceptibles de ne pas être pleinement conscientes et/ou avoir une pleine visibilité de l'ampleur réelle des risques posés par cette menace. De plus, un nombre infime de participants à l’enquête a déclaré que les risques liés à la gestion des informations étaient de la responsabilité de chacun au sein de leur organisation. Ceci révèle une vulnérabilité en matière de gestion et de protection des informations dans la plupart des entreprises. En dépit du besoin urgent d'aller au-delà des bonnes intentions et de parvenir à une situation dans laquelle chaque personne à chaque échelon et dans chaque catégorie de postes assume la responsabilité des risques liés à la gestion des informations, tel que reflété par le thème général de cet article, les entreprises de taille moyenne en Europe et en Amérique du Nord ne sont toujours pas passées du stade où elles ont pris conscience de ces risques à celui de la mise en œuvre de mesures visant à les atténuer. Tel qu'illustré au verso de l'étude de cas, les entreprises de taille moyenne devraient assumer des responsabilités plus larges, et adopter des mesures préventives et proactives plutôt que réactives. Malheureusement, l'organisation présentée dans cet exemple a réagi à une violation de données comme s'il s'agissait d'une conséquence d'une divulgation de données dommageable, plutôt que de contrôler la bonne application ses procédures existantes, ce qui aurait pourtant permis de prévenir un tel vol de données. Pour être efficacement mise en œuvre, la responsabilité des risques liés à la gestion des informations doit aller au-delà de l’engagement concret et passer à une exécution effective. Ceci requiert une stratégie pour l'ensemble de l'entreprise pilotée directement par l'équipe de direction.
  16. 16. PwC  13 Une fois que cette responsabilité a été adéquatement assignée, il est indispensable de bien comprendre quelles compétences sont nécessaires pour bien répondre à la nature évolutive des risques liés à la gestion des informations. Malheureusement, notre enquête montre que cette obligation est totalement incomprise, ou alors n'est pas considérée comme une grande priorité. Par exemple, tel que la figure 2.3 l'indique de façon détaillée, seules 26 % des entreprises européennes et 47 % des entreprises nord- américaines de taille moyenne ont identifié en leur sein des carences en termes de compétences que le personnel responsable de la gestion de leurs informations doit posséder. La majorité de ces entreprises, par conséquent, ne pense absolument pas souffrir de carences de compétences à l'heure actuelle. Étude de cas : « Un employé d'une grande chaîne de supermarchés britannique a été arrêté pour vol de données ». Une importante chaîne de supermarchés haut-de-gamme britannique a été l'objet d'une fuite de données embarrassante et préjudiciable lorsque des informations, y compris les noms, adresses, références bancaires et niveaux de salaire de plus de 100 000 de ses employés, ont été volées, publiées sur Internet et envoyées à un grand quotidien national. Contrairement à ce qu'on pourrait imaginer, il ne s'agissait pas d'une intrusion venant de l'extérieur mais d'une fuite de la part d'un employé. L'entreprise a rapidement réagi suite à cet incident et mis en œuvre une série de mesures de surveillance et de protection rigoureuse de ses données. Son plan d’intervention tenait en trois points : 1. Faire appel aux services d'assistance d'une organisation externe pour l'aider à déceler toute utilisation abusive de ses données et informations sur son personnel. 2. Informer les banques britanniques de ce vol, afin de garantir que des mesures appropriées soient mises en place pour protéger la sécurité des comptes bancaires associés. 3. Informer son personnel des mesures mises en place pour protéger leur sécurité, y compris la création d'un numéro de téléphone dédié.
  17. 17. PwC  14 Figure 2.3 : Concernant les compétences que doit posséder le personnel responsable de la gestion de vos informations, estimez-vous qu'il existe aujourd'hui de quelconques carences ? S'agit-il d'un tableau réaliste prenant en compte les risques spécifiquement posés ? Ceci le serait éventuellement si : 1. certains éléments montraient clairement que les entreprises de taille moyenne comprennent pleinement l'étendue des risques liés à la gestion des informations ; 2. le nombre de violations de données avait atteint le niveau le plus bas jamais enregistré ; 3. chaque employé assumait une responsabilité individuelle pour sa contribution à cette protection ; 4. les entreprises de taille moyenne utilisaient leurs informations comme moyen d'assistance à la croissance de leur chiffre d'affaires/de leur clientèle ; et 5. les impacts potentiels des violations de données étaient faibles en termes à la fois de coûts et de notoriété diminuée. Cependant, c'est l’inverse qui est aujourd'hui vrai, et, par conséquent, PwC et Iron Mountain estiment qu'il est d'une importance vitale que ces entreprises identifient leurs points faibles/leurs domaines les plus potentiellement exposés, prennent la mesure de l'impact potentiel d'un quelconque incident dans ce domaine et commencent à confronter le problème en mettant en œuvre les compétences requises (techniques, stratégiques, de communication). « Le marché des entreprises de taille moyenne est face à un problème. Cette absence de politiques, processus et procédures organisationnelles proprement contrôlées et appliquées signifie qu'il est beaucoup plus difficile de définir ce qui donne de bons résultats et ce qui n'en donne pas, et donc de prendre des décisions éclairées concernant le déploiement approprié des compétences nécessaires – à la fois celles qui existent en interne et celles auxquelles il est peut-être nécessaire de faire appel à l'extérieur. » Christian Toon Responsable des risques liés à la gestion des informations Iron Mountain - Europe Si l'on se tourne vers l'avenir concernant ces compétences, les entreprises de taille moyenne estiment qu'elles leur seront nécessaires, et bien qu'il soit certainement positif que la gestion de ces risques et la présence d'analystes de données compétents soient jugées incontournables, il est assez surprenant de noter que les compétences de communication et de leadership soient considérées comme des priorités beaucoup moins importantes.
  18. 18. PwC 15 Figure 2.4 : À votre avis, de quelles compétences les spécialistes de la gestion des informations auront-ils besoin dans le futur ? La plupart des entreprises de taille moyenne (86 % en Europe ainsi qu'en Amérique du Nord) estiment qu'elles disposent déjà des compétences et des capacités nécessaires pour tirer le meilleur parti possible des données qu'elles détiennent. Cependant, lorsqu'on leur demande qui possède ces compétences, la majorité (83 %) d’entre elles mentionne le service des Technologies de l'information. La réalité a changé, et les rôles et compétences nécessaires pour répondre à cette évolution doivent s'adapter en conséquence. Les entreprises de taille moyenne doivent adopter une culture effective du leadership et de la communication susceptible de faciliter l'application concrète de mesures visant à répondre aux risques liés à la gestion des informations. La majorité des entreprises de taille moyenne ayant participé à l’enquête en Europe (76 %) et en Amérique du Nord (85 %) estime que la priorité numéro un de leur organisation en matière de gestion de ces risques consiste à éviter toute violation de données. Ceci n'est pas surprenant quand on sait à quel point les entreprises sont conscientes de l'impact hautement préjudiciable d'une quelconque violation ou perte de données. Et pourtant, les entreprises de taille moyenne ont encore un long chemin à parcourir pour véritablement répondre aux exigences de cette priorité, étant donné qu'un grand nombre d'entre elles ne contrôlent pas leurs procédures et leurs stratégies d'atténuation des risques liés à la gestion des informations, n'ont pas correctement assigné la responsabilité de la gestion de ces risques et n'ont pas encore résolu le problème de leurs carences de compétences dans ce domaine.
  19. 19. PwC  16 Étude de cas : « Le PDG d'une chaîne de magasins aux États- Unis démissionne suite à une violation de données majeure » Le PDG d'une chaîne de magasins aux États-Unis démissionne moins de cinq mois après qu’il fut découvert que cette entreprise avait été victime d’une violation de données majeure. La saga de cette violation de données, qui a entraîné la perte d'environ 40 millions de numéros de cartes de paiement et d'informations personnelles susceptibles de concerner 70 millions de clients, a entraîné cette entreprise dans une tourmente sans précédent depuis la révélation de cette violation. Les conséquences de cet incident sont très nombreuses : des dizaines de procès, plusieurs audiences devant une commission du Congrès américain, une chute spectaculaire de l'action en bourse et un impact négatif sur la notoriété de l’entreprise immesurable. Ceci démontre une fois de plus à quel point il est important que la direction générale supervise ce domaine et assume personnellement la responsabilité de la mise en place et du contrôle de procédures de sécurité performantes.
  20. 20. PwC  17 Bien que le volume croissant des informations pose des risques pour les entreprises de taille moyenne, lorsque les informations sont proprement utilisées, elles peuvent constituer une opportunité d’innover en termes de produits, d’acquérir une meilleure connaissance de la clientèle et, à terme, de stimuler la rentabilité de l'entreprise. Bien que les entreprises de taille moyenne commencent à prendre conscience de cette réalité, elles semblent cependant ne pas comprendre dans le détail quelles méthodes concrètes sont nécessaires pour passer à l'échelon supérieur, lesquelles méthodes pourraient inclure un engagement plus proactif et la mise en place de nouveaux partenariats, particulièrement dans le domaine commercial et dans celui du marketing. « Les informations représentent un avantage concurrentiel, quel que soit le service ou la fonction concernée ». La capacité à exploiter les informations pour déceler les tendances de la clientèle ou du secteur, ou les points faibles de l'entreprise en matière de gouvernance et/ou de sécurité, est susceptible de vous aider à dominer votre marché ou à éviter des incidents, tels que des violations, des incidents de non-conformité ou des pertes de données. » Sue Trombley Directrice générale du leadership intellectuel Iron Mountain - Amérique du Nord Exploiter les données au maximum de leur potentiel
  21. 21. PwC  18 Figure 3.1 : Comment décririez-vous les priorités de votre organisation concernant ses informations ? Figure 3.2 : Comment décririez-vous les priorités de votre organisation concernant ses informations ? Les priorités organisationnelles générales en matière d'informations sont assez passives et essentiellement protectionnistes. Les entreprises de taille moyenne cherchent prioritairement à éviter toute violation de données et toute action en justice potentielle, ou bien à renforcer leurs procédures existantes. et une rentabilité ainsi qu’un chiffre d'affaires renforcés sont cités comme étant les avantages clés. De nouveau, bien que ceci soit positif, seule une moitié des participants à l’enquête déclare que l'exploitation des informations dans le but de renforcer l'innovation en matière de produits et de services constitue une priorité, et un nombre encore moins important Inversement, les utilisations plus proactives des informations, telles que l'extraction de données pour élargir la clientèle et les marchés de l'entreprise, ainsi que l'innovation, sont comparativement considérées comme des priorités moins importantes. En outre, et tel qu'illustré à la figure 3.2, lorsque nous avons demandé aux participants comment leur organisation a bénéficié à ce jour des efforts déployés pour exploiter la valeur des informations, améliorer les procédures décisionnelles, développer une meilleure connaissance de la clientèle déclarent avoir utilisé leurs informations pour accélérer la commercialisation de leurs produits ou raccourcir le cycle de développement de produits et de services. Selon PwC et Iron Mountain, ce sont précisément ces domaines qui devraient bénéficier de l'impact le plus profond et le plus significatif de l'exploitation et de l'extraction de la valeur des informations.
  22. 22. PwC  19 Il semble que les résultats tangibles des entreprises de taille moyenne dans ce domaine ne soient pas à la hauteur de leurs intentions. Il résulte de leur compréhension limitée de la façon de traduire de telles politiques ou objectifs en mesures concrètes et applicables que ces entreprises ne sont ni suffisamment protégées, ni en mesure d'optimiser pleinement leurs données. En outre, un peu plus d'un cinquième des entreprises de taille moyenne européenne (22 %) prend aujourd'hui le temps de calculer le retour sur investissement des informations détenues, et un peu plus d'un tiers (36 %) des entreprises nord-américaines a créé des postes d’analyste de données chargés d’extraire la valeur intrinsèque de leurs informations. Lorsque nous leur avons demandé quelle était la principale raison pour laquelle ils conservaient des informations, la plupart des participants ont déclaré le faire pour être en mesure de les analyser et d'en tirer une plus grande valeur dans le futur. Ceci constitue à la fois une opportunité et un défi pour les entreprises de taille moyenne. Contenu du nombre très important d'entreprises n'ayant, à ce jour, aucun analyste de données dans leurs rangs, l'opportunité de produire de la valeur à partir des informations est-elle gérée par les personnels les plus compétents dans ce domaine ? Les chiffres indiquent un désir croissant de gérer les informations pour en extraire de la valeur, les entreprises mettant l'accent sur la recherche de nouvelles clientèles et de nouveaux marchés, et sur l'amélioration des services à la clientèle. Cependant, les entreprises de taille moyenne semblent aujourd'hui plafonner, ne sachant pas vraiment quelles méthodes utiliser ni comment mesurer la valeur de leurs informations. La croissance et l'émergence du phénomène des « données massives » (Big Data) ces dernières années rend encore plus nécessaire le besoin de mieux comprendre comment les informations, sous tous leurs formats possibles, peuvent être utilisées de manière différente de celle prévue au départ afin de produire des dividendes commerciaux et autres pour l'entreprise. De plus, le rôle croissant des « données massives » imposera aux entreprises de toutes tailles de mettre en place des procédures plus rigoureuses en matière d'analyse des risques liés à la gestion des informations, de renforcer leurs mécanismes de contrôle des informations confidentielles et de sécuriser leurs installations de stockage de données pour être adéquatement en mesure de gérer cet enjeu. Il est également important de combattre l’idée très répandue selon laquelle « la question des données massives concerne uniquement les grandes entreprises ». Selon Dave Coplin, principal responsable de la vision de l'avenir chez Microsoft, analyser les données massives concerne également les petites et moyennes entreprises. « La question des données massives concerne également et sans le moindre doute les plus petites entreprises, sachant qu'il existe aujourd'hui un nombre croissant de sources de données librement accessibles susceptibles d'être utiles, ainsi que des marchés d'échanges de données que les petites entreprises peuvent utiliser ». Dave Coplin Directeur général de la vision de l'avenir chez Microsoft
  23. 23. PwC 20 Étude de cas - Mediatonic : « Dériver une valeur commerciale de l'analyse de données est parfaitement réalisable pour les entreprises de taille moyenne ». Étant donné que les jeux de Médiatonic, tels que Superbia produit par Disney, sont uniquement numériques, les utilisateurs génèrent constamment des volumes considérables de données d'utilisateurs, telles que : quand, où et pendant combien de temps ils jouent, et quelles parties du jeu trouvent-ils particulièrement difficiles ou faciles. « Comprendre le comportement des utilisateurs est essentiel pour une industrie qui est passée d'un mode de fonctionnement essentiellement basé sur le téléchargement gratuit à un environnement où les revenus proviennent essentiellement d'achat de modules supplémentaires au sein des jeux et où la moitié des utilisateurs ne rejouent plus jamais. » Dave Bailey Directeur général de Mediatonic, un développeur de jeux numériques en forte croissance Les données massives sont « fondamentales à notre activité, et réellement très importantes pour les petites et moyennes entreprises. Elles orientent notre stratégie ». Dave Baile Directeur général de Mediatonic, un développeur de jeux numériques en forte croissance
  24. 24. PwC  21 Étude de cas - Criteo : « Dériver une valeur commerciale de l'analyse de données est parfaitement réalisable pour les des entreprises de taille moyenne ». Criteo, une société française de publicité en ligne, s’est développée très rapidement grâce à l'analyse de données massives. En suivant l’utilisation que ses clients font d’Internet, elle a appris : 1. Comment afficher des publicités personnalisées spécialement adaptées aux intérêts de l'utilisateur en se basant sur ses comportements d'internaute. 2. Les publicités peuvent changer en temps réel en fonction du visiteur du site, ce afin que deux personnes différentes voient s’afficher deux contenus différents. « Les données massives constituaient sa devise de base, et comprendre et gérer de telles données était au cœur de sa réussite commerciale. » Julien Simon Vice-président de l’ingénierie Cette société, dont la principale base de données est MongoDB, affiche aujourd'hui : 1. 2,5 milliards de bannières publicitaires par jour ; 2. travaille avec 5 000 agences de publicité à travers le monde ; et 3. stocke 20 téraoctets de données supplémentaires chaque jour grâce à cette activité intense. De plus, une étude universitaire intitulée « Données massives de cartes de fidélité numériques et marketing des petites entreprises : données officielles contre officieuses ou complémentaires », publiée par International Small Business Journal, a montré que seules les petites et moyennes entreprises bénéficient de la précision qu’offrent les données de clients, mais également que l'exposition à ces données incitent les chefs d'entreprise à communiquer leurs analyses à leurs employés et à impliquer ces derniers dans la réflexion concurrentielle de l’entreprise. Par conséquent, les entreprises de taille moyenne ont créé un lien entre les informations et la valeur de celles- ci, et un certain nombre d'exemples montre que ceci a été exploité de manière profitable et a eu un impact positif dans un large éventail de domaines, qu'il s'agit de la croissance ou de l’innovation en matière de produits. Cependant, ces entreprises semblent ne pas comprendre quelles sont les méthodes les plus concrètes, y compris la maximisation des données massives et le déploiement des compétences les plus appropriées et les plus adaptées pour effectivement déverrouiller la valeur intrinsèque des informations détenues.
  25. 25. PwC  22 De toute évidence, les entreprises de taille moyenne ne réagissent pas toutes de la même manière. Nous avons identifié 4 entreprises ayant obtenu un score parfait de 100 sur l'indice, ce qui signifie qu'elles sont correctement équipées pour confronter ces risques, et 88 autres entreprises (8 % de l'échantillon) sont dans la « zone verte », qui est celle d'une maturité relativement proche. En quoi ces organisations « avant-gardistes » font-elles les choses différemment, et comment bénéficient-elles de la mise en œuvre performante d'une méthode de gestion des informations ? Les 34 affirmations du questionnaire, qui ont été utilisées pour calculer les scores sur l'indice de maturité concernant ces risques en fonction des réponses des participants (voir détails à l'annexe), sont, selon nous, des mesures que les entreprises de taille moyenne européennes et nord-américaines sont parfaitement capables de mettre en œuvre et de contrôler efficacement. À la lumière de l'ampleur croissante de ces risques, de telles mesures devraient aujourd'hui exister dans toutes ces entreprises, et non simplement constituer une simple aspiration. Qu’est-ce que les meilleures organisations font différemment ?
  26. 26. PwC  23 Qu’est-ce que les entreprises avant- gardistes font différemment ? Nous avons examiné les organisations de taille moyenne répondant à nos critères de classement dans la catégorie des entreprises bien équipées pour affronter ces risques, afin d'essayer de déterminer si ces sociétés récoltent d'autres fruits de leur protection des informations conformément à ce qui est généralement recommandé. Les études de cas suivantes ont été réalisées à des fins d’illustration, en utilisant différentes variables extraites directement des données obtenues. Ceci a révélé un trait commun à tous les cas étudiés : de telles entreprises contrôlent et évaluent ce qu'elles font.
  27. 27. PwC  24 Cas d'entreprises correctement équipées pour affronter ces risques : Exemples de bonnes pratiques Cas d'étude A A est une société canadienne du secteur de fabrication et d’ingénierie. Elle emploie plus de 2 000 personnes, et son chiffre d'affaires oscille entre 40 et 50 millions de dollars. Il semble que chacun, au sein de cette organisation, assume une part de responsabilité concernant les risques liés à la gestion des informations, et non pas seulement quelques personnes dédiées à cette mission au sein du service des Technologies de l'information. Comme la majorité des entreprises figurant en haut de l'indice, elle conserve toutes ses informations, ce qui permet à son personnel d'aller au-delà de la conformité et d'analyser leurs données pour évaluer leur valeur commerciale. Elle utilise également ses informations pour stimuler l'innovation, ainsi que pour embaucher de manière stratégique afin de ne pas souffrir de carences de compétences dans les domaines analytiques dans le futur. Cas d'étude B B est une entreprise de fabrication hongroise. Son chiffre d'affaires varie entre 10 et 15 millions d’euros, et elle emploie entre 2 000 et 2 500 personnes. La responsabilité principale des risques liés à la gestion des informations appartient au conseil d'administration, et l’entreprise contrôle et évalue par ailleurs efficacement ses politiques, procédures et programmes dans ce domaine. En mettant à profit de manière appropriée les compétences analytiques de son personnel, cette entreprise montre qu’elle utilise ses informations d’une manière qui lui a permis de devenir plus rentable, de mieux connaître sa clientèle et de réduire ses cycles de création de produits et de développement.
  28. 28. PwC  25 Adoption des meilleures pratiques : Gouvernance des informations La gouvernance des informations est un cadre pluridisciplinaire que les entreprises peuvent employer pour encourager la mise en œuvre de mesures adéquates et pour inciter des comportements appropriés concernant la façon dont les informations sont valorisées, gérées et utilisées par l'organisation. Ceci comprend la définition des postes, politiques, procédures et indicateurs nécessaires pour bien gérer les informations tout au long de leur cycle de vie, depuis leur création jusqu'à leur destruction finale. Le chemin à parcourir pour gérer efficacement les risques liés à la gestion des informations La gouvernance des informations (GI) paraîtra sans doute comme un concept écrasant pour une entreprise de taille moyenne affairée, mais ces principes sont pourtant au cœur de toute stratégie concrète et efficace en matière de risques liés à la gestion des informations. L'essence de la GI consiste à comprendre quelles informations vous détenez, où vous les détenez et quelle est leur valeur, que ce soit pour vous, vos employés, vos clients ou vos concurrents, ainsi qu'à déterminer comment elles circulent à travers l'entreprise et où se situent les points les plus vulnérables. Elle consiste à s'assurer que la gestion des informations et des risques associés représente une préoccupation constante du conseil d’administration, et qu’elle est appuyée par des mesures mises en œuvre par des équipes transversales composées d'un personnel compétent et doté des moyens nécessaires à son travail.
  29. 29. PwC  26 Comment y parvenir : les sept étapes à franchir pour réussir 1. « Cet enjeu n'est pas uniquement du ressort du service des Technologies de l'information » : Le service des Technologies de l'information ne peut pas protéger les informations si le service du Marketing les utilise pour créer les profils de préférence de ses clients sans que personne ne soit officiellement responsable de leur sécurité. Le conseil d'administration ne peut se permettre de fermer les yeux sur un risque susceptible de nuire de manière significative à la notoriété de la marque, à la confiance de la clientèle, à la conformité à la loi et à tout avantage concurrentiel de l'entreprise. Dans une entreprise, chacun doit assumer sa part de responsabilité concernant ces informations. 2. « Dressez un tableau sans complaisance de la réalité actuelle concernant ces risques » : Identifiez les lieux où se trouvent vos informations les plus vitales et les plus vulnérables en réalisant une analyse des risques dans l'ensemble de l'entreprise ». Utilisez les questions formulées par tous ceux dont il est dans l'intérêt que ces risques soient bien gérés, y compris le personnel de sécurité du service des Technologies de l'information, le service de Gestion des risques, le service de la Conformité et le service des Affaires juridiques, ainsi que les unités clés de l'entreprise et le service des archives. Pensez notamment aux adresses IP, ainsi qu'aux informations hautement visées par la réglementation et fréquemment auditées. Utilisez les résultats de ce travail pour concentrer vos ressources de protection contre les risques liés à la gestion des informations sur les domaines les plus essentiels. Réexaminez cette procédure à intervalles réguliers, car le degré de risque varie dans le temps. 3. « Libérez vos informations, afin de les mettre à profit par l'analyse et à travers l'innovation » : Ne craignez pas vos informations. Les entreprises de taille moyenne doivent adopter une stratégie plus holistique et proactive en matière d'extraction de la valeur de leurs informations. Ceci implique de faire circuler ces informations plus librement, à condition qu'elles ne soient pas confidentielles ou privées, dans toute l’entreprise afin qu’elles soient le moteur de la créativité, de l’innovation et de la croissance. 4. « Demandez à vos employés qu'ils s’impliquent » : Toute gestion performante des risques liés à la gestion des informations dépend du personnel de plusieurs manières différentes :  L'augmentation rapide des volumes, de la vélocité et de la variété des données, ainsi que le besoin croissant d’extraire de la valeur et des connaissances de l'ensemble de ces informations, a des implications significatives en matière de compétences. Les entreprises avant-gardistes emploient toutes des analystes de données. Si ceci est hors de votre portée, envisagez de former à ces questions d'autres fonctions de votre organisation afin que ces dernières acquièrent des compétences en matière de science de l’analyse des données.  Deuxièmement, encouragez l'instauration d'une culture du respect des informations, et veillez à ce que votre personnel possède la formation, les moyens de communication et l'assistance dont il a besoin pour gérer vos informations de manière responsable et pour réduire les risques associés.  Troisièmement, mettez en place une procédure robuste en matière de protection d’informations en cas de départ d'employés. 5. « Ne laissez pas traîner des documents papier contenant des informations » : Le fait que les documents papiers soient perçus comme un risque de sécurité majeur est un enjeu qui peut et doit être confronté de manière urgente. Mettre en œuvre des procédures structurées en matière de scanning numérique et d'archivage et d'extraction de documents n'est pas difficile, et un prestataire de service externe chevronné pourrait vous aider à vous familiariser avec ce travail et à le gérer. 6. « Créez des indicateurs mesurant l'efficacité de vos mesures » : Quelles que soient les mesures que vous décidiez d’adopter, celles-ci doivent atteindre leurs objectifs pour en valoir la peine, ce qui signifie qu'il est indispensable de déterminer si elles produisent les résultats escomptés. Définissez vos indicateurs de performance clés, vérifiez que votre personnel les connaît et les comprend. Désignez une personne responsable de réévaluer ces indicateurs à intervalles réguliers. 7. « Sachez quoi faire quand tout va mal » : Que ferez-vous si, en dépit de tous vos efforts, vous êtes victime d'un incident ? Que ce soit dans le contexte d'une restauration de données, de plans de continuité des activités, de la gestion de crises ou de la production des rapports de violation de données, la façon dont vous gérez la situation et en parlez suite à un tel incident pourrait être absolument déterminant. Certaines organisations sortent renforcées d'un tel incident, et sont parfois jugées encore plus fiables qu'auparavant. D’autres, par contre, ne s'en sont jamais remises.
  30. 30. PwC  27 Au vu des résultats de notre enquête, il est clair que, bien qu'un grand nombre d'organisations ait élaboré des politiques dans ce domaine et ait parfois commencé à mettre en œuvre des moyens de gouvernance, nous avons noté que les mesures mises en place par ces entreprises pour piloter les évaluations nécessaires, gérer ces risques et concevoir des mécanismes de contrôle et de surveillance sont insuffisantes pour être réellement performantes en matière de gouvernance des informations. Cette présentation générale de la situation est focalisée sur les risques, mais il ne faut pas perdre de vue qu’au moment de définir les obligations de chacun dans ce domaine, l'équipe de direction doit saisir l'opportunité d'utiliser cette gouvernance pour que celle-ci conduise à des améliorations concrètes et permette d’identifier ce dont l'entreprise aura besoin pour protéger ses informations dans le futur. Posez des questions, telles que : « Si nous détenions cette information, pourrions-nous prendre cette décision stratégique ? » Voici ce qu'apporte la gouvernance : elle permet aux entreprises de faire ce qu’elles ne peuvent pas faire aujourd'hui, et de saisir les opportunités offertes par l'économie numérique. Engagez un dialogue avec les principales parties prenantes de l'entreprise, afin d'élaborer une stratégie de gestion des informations susceptibles de favoriser l'instauration et la promotion d'une culture professionnelle ouverte et fondée sur l'échange, tout en maintenant un bon niveau de protection des actifs d'informations importants.
  31. 31. PwC  28 Introduction À l'appui de cet article, PwC et Iron Mountain ont élaboré une méthodologie d’étude solide permettant de valider les conclusions présentées. Cette méthodologie est fondée sur les analyses et les enseignements tirés des enquêtes de 2012 et 2013. Dans le premier cas, nous avons travaillé étroitement avec Iron Mountain pour identifier les thèmes émergeant des enquêtes précédentes, et avons utilisé ces éléments pour établir un questionnaire complet essentiellement basé sur les thèmes clés de l'article, à savoir l'étendue et l'efficacité des méthodes mises en œuvre par les entreprises pour gérer les risques liés à la gestion des informations vues sous un angle stratégique, ainsi que sous l'angle du personnel, de la communication et de la sécurité. Ceci est complété par une série de sections supplémentaires permettant de mieux comprendre pourquoi de telles pratiques peuvent être mises en œuvre à la fois de manière universelle et par secteur ou pays. À des fins de comparaison, les questions générales qui étayent l'indice de maturité des risques ont été conservées sous le format qu'en 2012 et en 2013. Le questionnaire a été conçu par une équipe de spécialistes des études chez PwC, qui a notamment bénéficié de l'expertise et des contributions de l'équipe du service des Assurances risque de PwC, dirigée par Claire Reid. Nous avons travaillé en étroite collaboration avec le cabinet Coleman Parkes, notre partenaire d'études chargé du travail sur le terrain, afin de veiller à ce que le questionnaire soit compatible avec la suite logicielle CATI, qui permet de réaliser des interviews par téléphone à partir d’un ordinateur, et à ce que ce questionnaire soit disponible dans toutes les langues maternelles des personnes composant l'échantillon d’enquête. Qui avons-nous interrogé ? Afin de fournir aux dirigeants d'entreprise qui liront cette enquête une analyse de la nature et de l'étendue des risques liés à la gestion des informations les plus pressants, les personnes interviewées par téléphone étaient typiquement des PDG, des directeurs financiers, des directeurs de service des Technologies de l'information et des administrateurs de société. Ces entretiens téléphoniques ont été réalisés en s’assurant que les marchés et secteurs clés soient proportionnellement représentés, afin de pouvoir produire une analyse comparative hautement détaillée. Pour tirer le maximum de cette enquête, nous avons réalisé une extraction générale des données en complétant les principales conclusions par des coupes spécifiques, particulièrement en termes de tendances propres au marché et au secteur. Cette analyse comprenait également une évaluation des principaux changements identifiés entre les résultats de 2012, 2013 et 2014, appuyée et renseignée par des questions sur les comportements. Nous avons sollicité la contribution spécifique des spécialistes du réseau chez PwC, et ce dans chacun des pays européens et nord- américains représentés dans l'étude. Conformément à la méthode utilisée pour les deux années précédentes, nous avons créé un indice de maturité en matière de risques liés à la gestion des informations. Cet indice a été utilisé en appliquant une moyenne pondérée de chaque réponse fournie par chaque société aux 34 questions de l’enquête. Tel qu'illustré au verso, ces 34 questions ont été divisées en quatre catégories : stratégie, personnel, communication et sécurité. Méthodologie de l'étude
  32. 32. PwC  29 Stratégie 1. Stratégie ou méthode concernant les risques liés à la gestion des informations 2. Plan ou stratégie officiel(le) d'une entreprise en matière de restauration de données 3. Plan d'intervention d'urgence de l'entreprise mis en œuvre pour répondre aux incidents d'information de petite ampleur ou aux pertes de données 4. Revue à intervalles réguliers de la politique de confidentialité des informations 5. Registre des risques de l’entreprise 6. Stratégie de protection des informations couvrant la sécurité des équipements mobiles, des appareils personnels et des ordinateurs portables 7. Stratégie de gestion sur plusieurs sites à la fois des informations structurées et non structurées sous des formats numériques et physiques 8. Stratégie d'élimination sécurisée du matériel informatique et des documents confidentiels 9. Stratégie structurant les priorités d'accès aux documents essentiels et aux documents à hauts risques, le plus souvent en rapport à des demandes de conformité Personnes 10. Une personne ou équipe responsable des risques liés à la gestion des informations au sein de votre organisation. 11. Une procédure de départ visant à empêcher tout vol et toute copie d'informations de la part d'employés quittant votre organisation. 12. Programmes de formation destinés à informer le personnel sur les enjeux découlant des risques liés à la gestion des informations. 13. Session d'information sur les risques liés à la gestion des informations faisant partie des séances d'orientation destinées aux nouveaux employés. 14. Programmes permanents de rappel et de mise à niveau du personnel concernant les risques liés à la gestion des informations. 15. Programmes de formation efficaces dispensés sur ordinateur concernant les risques liés à la gestion des informations. 16. Procédure de vérification des antécédents d'employés. 17. Code de conduite énonçant les comportements attendus de la part de chaque employé. 18. Un outil permettant de mesurer le degré de confiance du personnel en l'efficacité de vos activités en matière de risques liés à la gestion des informations. 19. Une politique d'utilisation d’Internet applicable à l'ensemble du personnel. 20. Une politique d'utilisation des réseaux sociaux (Facebook, Twitter et LinkedIn, par exemple) applicable à l'ensemble du personnel Questions utilisées pour créer l'indice de maturité en matière de risques liés à la gestion des informations
  33. 33. PwC  30 Communication 21. Disponibilité des informations, aisément accessibles en matière de risques liés à la gestion des informations, ce pour tous les employés. 22. Programmes de communication aux employés visant à renforcer les procédures concernant les risques liés à la gestion des informations. 23. Consignes et conseils clairs à l'attention du personnel concernant les procédures internes de destruction et de stockage sécurisés des documents physiques. 24. Consignes et conseils clairs à l'attention du personnel concernant les procédures internes de destruction et de stockage sécurisés des documents électroniques. Sécurité 25. Politique de l'entreprise en matière de protection, de stockage et de destruction sécurisées d'informations confidentielles. 26. Programmes de diligence raisonnable concernant la gestion d’informations personnelles, de clients ou d’employés. 27. Un inventaire des sites sur lesquels vos informations sont stockées. 28. Une base de données centralisée sur la gestion des informations de sécurité. 29. Technologie permettant d'analyser les systèmes de détection d'intrusions et les systèmes de prévention d'intrusion. 30. Validation de tiers (tests de pénétration, par exemple). 31. Classifications de données claires, à jour et reconnues. 32. Procédures de contrôle d'accès aux bâtiments, aux zones à accès limité, aux archives de l'entreprise et aux autres informations confidentielles. 33. L'utilisation de règles et de procédures différentes pour le stockage de données, prenant en compte différentes durées de conservation de documents et différentes exigences de protection des données. 34. Procédures de notification d'incident (permettant de déceler quelque chose qui ne devrait pas être présent, par exemple).
  34. 34. PwC  31 Claire Reid Associée, service des Assurances risque de PwC Richard Petley Directeur du service des Assurances risque de PwC T : +44 (0)20 7212 5513 P :+44 (0)7734 607594 Courriel : claire.reid@uk.pwc.com T : +44 (0)121 265756 M : +44 (0)7801 741736 Courriel : richard.w.petley@uk.pwc.com Julie McClean Directrice générale de la cellule des Enquêtes internationales de PwC Kieran Jones Directrice de la cellule des Enquêtes internationales de PwC Philip Newman Associé de la cellule des Enquêtes internationales de PwC T : +44 (0)28 90 245454 P : +44 (0)7738 313241 Courriel : julie.mcclean@uk.pwc.com T : +44 (0)28 90 245454 P : +44 (0)7845 635383 Courriel : kieran.p.jones@uk.pwc.com T : +44 (0)28 90 245454 P : +44 (0)7734 607594 Courriel : philip.m.newman@uk.pwc.com Auteurs du rapport
  35. 35. Cette publication a été rédigée exclusivement dans le but d'offrir des orientations générales sur divers sujets d'intérêt, et ne constitue en rien une source de conseils professionnels. Avant de prendre la moindre mesure fondée sur les informations figurant dans cette publication, veuillez consulter un conseiller professionnel spécialisé. Nous ne déclarons ni ne garantissons en aucun cas (que ce soit de manière expresse ou implicite) que les informations figurant dans cette publication sont exactes ou complètes, et, dans la mesure prévue par la loi, PricewaterhouseCoopers LLP, ses associés, ses employés et ses agents n’acceptent ni n’assument la moindre responsabilité civile, responsabilité générale ou obligation de vigilance concernant toutes conséquences résultant de votre décision d’agir, de ne pas agir ou de vous fier aux informations figurant dans cette publication et de toute décision fondée sur ces informations. © 2014 PricewaterhouseCoopers LLP. Tous droits réservés. Dans ce document, « PwC » désigne PriceWaterhouseCoopers LLP (une société à responsabilité limitée au Royaume-Uni), qui est membre du groupe PriceWaterhouseCoopers International Ltd, donc chaque société membre est une personne morale distincte.

×