Gestion de l’information : quels risques pour les PME européennes ?

EntrepriseManagementNominationsRégulations
information-pme-europe

La dernière étude de PwC sur les risques liés à la gestion des informations en entreprise illustre un décalage entre compréhension du phénomène et adoption de mesures concrètes au sein des PME européennes.

Répartition hasardeuse des compétences, responsabilité rarement confiée aux personnes adéquates, écart entre déclarations d’intention et mesures concrètes : les PME européennes n’ont pas encore réellement intégré la sécurité des informations dans leur culture.

Telles sont les principales conclusions d’une étude menée dans 6 pays (France, Allemagne, Espagne, Royaume-Uni, Hongrie et Pays-Bas) auprès de 600 entreprises de 250 à 2500 employés par le cabinet d’audit et de conseil PwC, en collaboration avec Iron Mountain.

Publiée en 2012, la première édition de ce rapport annuel dénotait une insouciance vis-à-vis des menaces et des vulnérabilités potentielles en matière de gestion de l’information. L’année 2013 fut marquée par une certaine prise de conscience, mais les quelques initiatives éparses étaient noyées dans un océan de données massives.

Un an plus tard, la maturité des entreprises s’est stabilisée* : il subsiste toujours un décalage entre leur situation actuelle en termes de capacité de gestion des risques liés aux informations et l’objectif qu’elles se sont fixé ou qu’elles ont besoin d’atteindre. En d’autres, les PME européennes se révèlent globalement incapables de combler l’écart entre le fait d’avoir en place un plan ou règlement bien intentionné et la stade auquel elles pourraient affirmer que le dispositif fonctionne effectivement.

Quelques-unes ont tout de même adopté un concept général clair et effectif, avec des plans et procédures d’action internes souvent assortis d’investissements dans des technologies de sécurité. Ces pionnières parviennent notamment à exploiter leurs données en tant qu’actifs commerciaux, avec à la clé des avantages concurrentiels.

Le problème pour les autres ne réside pas tant de la perception de la valeur de l’information, mais dans leur approche protectionniste. Savoir et acquisition de savoirs, données générées par des systèmes, éléments relatifs aux produits et aux clients, propriété intellectuelle, communications au quotidien et documents archivés sur papier sont autant d’informations que les PME préfèrent verrouiller plutôt que de les utiliser à des fins d’innovation et de croissance. Souvent pour éviter toute violation de données ou action en justice.

C’est là tout le défi : la croissance du volume d’informations et leur diversité peut représenter un levier de développement, mais aussi entraîner des risques extrêmement variés qui, s’ils ne sont pas correctement gérés, peuvent avoir un impact critique et préjudiciable sur une entreprise.

Ainsi, quand bien même elles identifient de mieux en mieux lesdits risques, les PME européennes ne sont que 37% à avoir mis en oeuvre des mesures concrètes pleinement contrôlées. De même, 74% n’adoptent pas les résolutions nécessaires pour déterminer dans quelle mesure leurs programmes de formation en matière de gestion des risques liés aux informations sont efficaces.

La nécessité d’une méthode globale

Dans un autre registre, 87% ne s’imaginent pas que les informations de tous types et de tous degrés de confidentialité puissent être rendues vulnérables par des employés existants ou futurs d’une manière susceptible de procurer un avantage à des concurrents et/ou de constituer une menace.

Partenaire de PwC en matière de sécurité des informations, Gary Loveland est formel : “On ne peut pas lutter contre les menaces d’aujourd’hui avec les stratégies d’hier“. Et d’ajouter : “Ce dont nous avons besoin, c’est à la fois d’une nouvelle méthode globale […] et d’une réalisation que, même s’il n’est pas toujours possible de se protéger complètement […], les risques peuvent être ramenés à des niveaux acceptables“.

Il conviendra également, d’après PwC, de confier ces responsabilités aux personnes appropriées. A l’heure actuelle, 46% des PME européennes les délèguent au directeur de la sécurité des technologies de l’information, alors même que les données sont générées et utilisées par l’ensemble des métiers. Ce qui limite d’autant leur capacité à anticiper et à réagir à l’ampleur des risques sous un angle dépassant la simple responsabilité du service IT.

* Basé sur 34 critères, l’indice de maturité des PME européennes s’élève cette année à 56,1/100 (60,2 en Hongrie ; 56,9 en France ; 53,6 en Allemagne). Voir la synthèse au format PDF (5 pages).

—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos informations personnelles sur Internet ?


Lire la biographie de l´auteur  Masquer la biographie de l´auteur