Gestion de l’information : la maturité relative des PME
La dernière étude de PwC et Iron Mountain sur la perception des risques liés à la gestion des informations en entreprise illustre une certaine inertie au sein des PME européennes et américaines.
Quand bien même elles ont globalement identifié les menaces sécuritaires qui pèsent sur leur patrimoine numérique, les PME sont peu nombreuses à avoir adopté des mesures concrètes en matière de gouvernance des données. C’est l’un des principaux constats dressés par le cabinet d’audit et de conseil PwC dans la 3e édition de son étude annuelle – conduite en partenariat avec Iron Mountain – sur la perception, dans les entreprises américaines et européennes, des risques liés à la gestion des informations.
Le premier rapport, publié en 2012, dénotait une insouciance généralisée vis-à-vis de cette problématique de protection des actifs numériques. Un an plus tard, on entrevoyait une prise de conscience… mais des mesures insuffisantes face à la croissance exponentielle des données et à leur diversité. Cette année, le niveau de maturité semble s’être stabilisé : il subsiste toujours un décalage entre la situation actuelle des PME en termes de capacité de gestion des risques liés aux informations et l’objectif qu’elles se sont fixé ou qu’elles ont besoin d’atteindre.
Quelques-unes ont tout de même adopté des politiques claires et effectives, avec des plans et procédures d’action internes souvent assortis d’investissements dans des technologies de sécurité. Ces pionnières parviennent notamment à exploiter leurs données en tant qu’actifs commerciaux, avec à la clé des avantages concurrentiels.
Le problème pour les autres ne réside pas tant dans la perception de la valeur de l’information, mais dans leur approche protectionniste. Savoir et acquisition de savoirs, données générées par des systèmes, éléments relatifs aux produits et aux clients, propriété intellectuelle, communications au quotidien et documents archivés sur papier sont autant d’informations que les PME préfèrent verrouiller plutôt que de les utiliser à des fins d’innovation et de croissance. Souvent pour éviter toute violation de données ou action en justice.
Un phénomène global
En élargissant le périmètre d’étude aux entreprises de toutes tailles (au-delà des structures de 250 à 2500 salariés, seules interrogées en 2012 et 2013), PwC en a conclu que le phénomène était global. En Europe, 63% des organisations sondées ne disposent pas de politiques proprement mises en oeuvre et contrôlées (53% aux Etats-Unis). Et 74% n’ont pas mis en place les procédures nécessaires pour déterminer dans quelle mesure leurs programmes de formation en matière de gestion des risques liés aux informations sont efficaces (80% aux Etats-Unis).
Autre écueil : l’affectation des compétences. La responsabilité est souvent confiée exclusivement au directeur de la sécurité des technologies de l’information (73% des entreprises du Vieux Continent optent pour cette stratégie organisationnelle ; 74% outre-Atlantique), alors même que les données sont utilisées par l’ensemble des fonctions métier. Une centralisation qui, selon PwC, limite la capacité à anticiper et à réagir à l’ampleur des risques sous un angle plus large, qu’ils soient d’ordre juridique, financier ou commercial.
Dans un autre registre, 87% des PME ne s’imaginent pas que les informations de tous types et de tous degrés de confidentialité puissent être rendues vulnérables par des employés existants ou futurs d’une manière susceptible de procurer un avantage à des concurrents et/ou de constituer une menace. Elles s’inquiètent plutôt pour la sécurité de leurs documents papier, qui tendent à être marginalisés avec le développement d’initiatives numériques (pour les deux tiers des répondants).
—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos informations personnelles sur Internet ?
Crédit photo : everything possible – Shutterstock.com