Les violations de données continueront à exposer les entreprises européennes à des risques inutiles et à porter préjudice à leur réputation, à moins de prendre immédiatement toute mesure permettant de mieux gérer et protéger les informations sensibles professionnelles. C’est ce que révèle une étude réalisée par Iron Mountain et PwC qui met en exergue l’urgence de changer les comportements des salariés et l’état d’esprit des équipes dirigeantes si les entreprises veulent faire face à l’autosatisfaction, la négligence et le manque de responsabilité partagée.
L’étude, présentée lors du premier Sommet Européen des Risques liés aux Informations organisé par Iron Mountain, révèle que seulement la moitié des entreprises de taille moyenne considèrent la perte d’informations sensibles comme un de leurs trois plus importants risques professionnels. Moins d’un quart (24%) des sociétés interrogées savaient si oui ou non elles avaient subi une violation de leurs données au cours des trois dernières années. A peine 1% des répondants considèrent que les risques liés aux informations sont l’affaire de tous les salariés, tandis que près des deux tiers (60%) ont admis qu’ils ne savaient pas si leurs salariés disposaient des outils adéquats pour protéger ces informations.
PwC a interviewé les hauts dirigeants de 600 entreprises européennes leaders, de taille moyenne (de 250 à 2 500 salariés), pour établir le premier Indice Européen des Risques liés aux Informations. Les résultats, établis sur la France, l’Allemagne, la Hongrie, les Pays-Bas, l’Espagne et le Royaume Uni, montrent que de nombreuses entreprises ne sont absolument pas préparées à affronter et à gérer les risques liés aux informations tels que les violations et pertes de données et la non-conformité. La note moyenne des sociétés européennes s’est élevée à 40,6 sur une note idéale de 100.
L’Indice Européen des Risques liés aux Informations est basé sur un ensemble de mesures qui, si elles sont mises en place et fréquemment contrôlées, aideront à protéger les informations numériques et papier détenues par une entreprise. L’indice représente une approche équilibrée de prévention des risques liés aux informations, intégrant des mesures portant sur la stratégie, les hommes, la communication et la sûreté.
D’autres points clés de l’étude révèlent une formidable incohérence quant à savoir qui doit gérer les risques liés aux informations. Quelque 13% seulement considèrent que les risques liés aux informations doivent être gérés par le Conseil d’Administration, tandis que plus d’un tiers (35%) estiment que tous ces risques – qu’il s’agisse d’informations numériques ou papier – sont de la responsabilité des Systèmes d’Information (SI). Cette tendance à considérer les risques liés aux informations comme une problématique relevant des SI s’est révélée largement répandue : 59% des réponses consécutives à une violation de données consistent en l’installation de technologies supplémentaires. A peine plus d’un tiers (36%) des entreprises a confié la responsabilité de la gestion des risques liés aux informations à une personne ou une équipe spécifique dont l’efficacité est contrôlée.
En se basant sur les conclusions de l’Indice des Risques liés aux Informations, Iron Mountain a identifié un ensemble d’étapes et d’actions permettant d’aider les entreprises à améliorer la sûreté de leurs données :
Etape 1 : Faire des risques liés aux informations un sujet traité au niveau du Conseil d’Administration – s’assurer que c’est un sujet permanent de l’ordre du jour du Conseil, qu’un membre senior du Conseil en est responsable et que ce sujet est intégré dans le pilotage global de la performance de l’entreprise par le Conseil.
Etape 2 : Changer la culture d’entreprise – concevoir et diffuser des programmes de sensibilisation à la sûreté des informations, mettre à disposition de tous et à tout niveau les bonnes règles de conduite, récompenser et renforcer les bons comportements dans toute l’entreprise, du simple salarié au PDG.
Etape 3 : Mettre en place les bonnes politiques et les bons processus – s’assurer qu’ils traitent tous les formats d’informations (électronique, papier ou autres supports). Egalement, définir toutes les vulnérabilités relatives à la manipulation des informations, établir les protocoles d’alerte, régulièrement revoir et tester tous les systèmes et processus.
Commenter cet article