Actu
Extraction de valeur contre protection de l’information, le dilemne des entreprises au sujet de l’accessibilité des données
novembre 2015 par Edward Hladky, Président Directeur Général d’Iron Mountain France
Les informations qu’une entreprise produit et traite, concernant ses produits, ses activités, ses résultats financiers ou ceux de ses clients, peuvent s’avérer déterminantes pour sa réussite commerciale et parfois même sa survie. Et si les entreprises conservent toutes, différents types d’information, certaines qui leur sont propres et d’autres caractéristiques de leur secteur d’industrie, il est prouvé que l’analyse des données disponibles peut guider la prise de décision et se traduire par des avantages compétitifs mesurables. Il est donc légitime de penser que les entreprises exploitent pleinement les nouvelles technologies disponibles et qu’elles mobilisent leurs ressources à bon escient, pour extraire un maximum d’information de leurs données. Or, ce n’est généralement pas le cas.
60% des entreprises françaises pensent exploiter correctement leurs informations
A l’occasion d’une récente étude menée avec PwC[i], nous avons voulu examiner comment les entreprises de taille moyenne (entre 250 et 2500 employés) et les grandes entreprises (de plus de 2 500 employés) en Europe et en Amérique du Nord s’y prennent pour extraire de la valeur de l’information. Il en ressort un paradoxe intéressant. Alors que de nombreuses entreprises (60% en France / 71% en moyenne) croient qu’elles exploitent correctement leurs informations, il apparaît qu’en réalité la majorité (76%) ne les valorise pas totalement, faute de culture, des compétences et des outils nécessaires pour ce faire.
Une majorité de dirigeants se montre exagérément confiants dans la capacité de leur entreprise à gérer l’information pour en extraire de la valeur.
Plus de deux entreprises sur trois (67% / 69% en moyenne) savent comment l’information circule dans l’entreprise et où elle est le plus utile ; et 74% en France / 76% en moyenne, savent où l’information est la plus vulnérable. Mais interrogés sur les fondements de leurs convictions, rares sont ceux qui apportent une réponse claire et la plupart ne peuvent pas répondre.
Depuis toujours, la gestion de l’information se focalisait surtout sur la lutte contre les menaces pour l’information et principalement, sur le renforcement des mesures de sécurité et le maintien de la conformité aux obligations réglementaires régissant la confidentialité et la conservation des archives. Ceci peut expliquer pourquoi le nombre des entreprises capables d’identifier les vulnérabilités est légèrement supérieur à celles qui savent où l’information génère le plus de valeur. Et aussi pourquoi les entreprises trouvent si difficile de s’adapter à la nouvelle dynamique de l’information. La volonté de valoriser l’information va probablement créer une tension entre la nécessité de maintien de la sécurité et celle de partager l’information avec les salariés les mieux placés pour en extraire des renseignements utiles et prendre des décisions en connaissance de cause.
Seulement 24% des dirigeants et cadres supérieurs français sont autorisés à avoir accès aux informations.
La prudence domine ailleurs dans l’étude. En effet, 63% en France / 68% en moyenne des sondés, sont confiants dans la capacité de leur personnel à pouvoir accéder facilement aux données précieuses dont il a besoin. Mais l’étude nous apprend aussi que 24% en France / 46% en moyenne des dirigeants et cadres supérieurs sont autorisés à avoir accès à ces informations. Dans certains cas, c’est la bonne chose à faire : il n’est pas question de ne pas appliquer des contrôles d’accès ultra restreints à des archives contenant des informations personnelles ou de propriété intellectuelle, par exemple. Mais, en dehors de ces restrictions, on doit pouvoir autoriser l’accès aux données chaque fois qu’il est jugé nécessaire ou prendre des mesures pour « expurger » les informations personnelles des documents avant de les partager.
2/3 des services Financier, Marketing et R&D n(ont pas libre accès aux informations
Ce sont les entreprises qui autorisent leur service IT à accéder à leurs informations les plus critiques qui étendent le plus volontiers cet accès aux autres services clés, de recherche et de développement (35 %), financier (35 %), de gestion des archives et de l’information (27 %) et marketing (26 %), notamment. Mais ces chiffres signifient aussi que deux tiers des services R&D et Finance et trois quarts de ceux de gestion des archives et de l’information et de marketing n’ont pas de libre accès malgré l’importance pour eux, de pouvoir compter sur des informations décisionnelles précieuses, pour encourager l’engagement des clients et l’innovation par exemple.
Le service IT, facilitateur ou un gardien du temple
Cela peut suggérer que le rôle traditionnel de protection de l’information de l’IT pourrait l’amener à restreindre la circulation des données par peur du risque ou d’une violation des données, ce qui constitue un obstacle majeur à la valorisation maximale de l’information. Les entreprises ont intérêt à élaborer une stratégie de gestion de l’information en amont et à décider qui doit pouvoir accéder à quel type d’information et pour en faire quoi. Dans ce contexte, l’IT se positionnerait davantage comme un partenaire stratégique et un facilitateur que comme un gardien du temple.
38% des services juridiques voient les archives de données comme sources de revenu
L’IT n’est pas le seul obstacle potentiel ; à l’occasion d’une étude que nous avons réalisée en mai dernier avec IDC[ii], nous avons découvert que les services juridiques des entreprises constituent un obstacle comparable peut-être même supérieur. Cette étude avait permis d’établir que les directions juridique et de la conformité font passer les préoccupations de sécurité et de réduction des risques en priorité sur les considérations de facilité et de rapidité d’accès, et qu’à peine un tiers des sondés de ces catégories (38% seulement ) estiment que les archives de données peuvent être sources de revenu. Et moins de la moitié d’entre eux se sentent enclins à assumer des responsabilités concernant les principaux aspects de l’archivage de données ; les services IT et divisions métier sont en total désaccord avec eux sur tous les points.
Il n’est donc pas aussi simple qu’il n’y paraît de mettre les informations à profit pour soutenir la compétitivité. Des convictions fortement ancrées, l’existence de silos entre les services, le manque de compréhension réciproque des besoins vis-à-vis de l’information et la prédominance des inquiétudes de sécurité peuvent amener l’information à être confinée entre des barrières ou même verrouillée. Les conséquences sur la capacité d’une entreprise à valoriser au maximum ses informations peuvent être profondes.
On sait bien que l’information encourt plus de risques en transit qu’au repos. Mais ce n’est pas une raison pour laisser les données dormir. Il revient aux dirigeants et cadres supérieurs de réfléchir aux moyens de faire tomber les barrières inutiles tout en préservant la sécurité de l’information. Toutes les personnes concernées doivent participer aux décisions importantes régissant l’accès à l’information et sa protection et les responsabilités doivent être clairement attribuées à l’échelle de toute entreprise fondée sur la connaissance. Actuellement, 4% seulement des entreprises savent s’y prendre ; nous devons multiplier ce chiffre par 25.
