« Nous encourageons les entreprises à adhérer aux principes de responsabilité des informations d’entreprise, c’est-à-dire faire le point de leur gestion documentaire : savoir de quelles informations elles disposent, quelle est leur valeur et comment les protéger », déclare Marc Delhaie, Président-Directeur Général d’Iron Mountain France. « Elles y gagneraient d’une part la confiance de leurs clients et d’autre part en productivité. A l’inverse, persister dans cette voie risquerait de leur faire perdre des parts de marché, d’allonger leur cycle de développement de produits et d’accroître les cas de violation de données, ce qui entamerait la confiance de leurs clients et entacherait leur image de marque. »

Un groupe d’experts et de chefs de file de la gestion de l’information, issus de PwC, de l’IE Business School, des cabinets de consulting IPL (informatique) et akzente (développement durable et responsabilité d’entreprise), ainsi que de l’Information and Records Management Society (IRMS), ont joint leurs efforts à ceux d’Iron Mountain pour mettre au point un plan d’action simple pour accompagner les entreprises dans cette démarche.

La charte pour le changement : un plan d’action pour une culture de la responsabilité des informations d’entreprise

1. Inscrire la gestion de l’information à l’agenda des réunions du comité de direction : informez l’ensemble des membres de la direction des impacts potentiels d’une violation de données. N’attendez pas l’incident pour vous doter de mesures de protection, comme le font tant d’entreprises.

· Action : veillez à ce que la question de la gestion des risques pour l’information soit régulièrement abordée lors des réunions de direction.

2. Sensibiliser au plus tôt le personnel : impliquez le personnel. Informez-vous sur l’utilisation qu’ils font des informations et formez-les à les protéger. Encouragez l’instauration d’une culture de la responsabilité des informations et donnez à vos salariés les moyens d’évaluer la valeur des informations et de les protéger.

· Action : invitez les salariés à participer à la création d’une liste de règles d’or pour la protection des informations et offrez-leur la possibilité de s’exprimer sur les problèmes identifiés et de les signaler en toute discrétion.

3. Donner la priorité aux mesures élémentaires : inutile de vous ruiner en solutions informatiques pour atténuer vos risques, d’autant que vos ressources ne sont pas illimitées. Misez plutôt sur des formations et une meilleure communication. Mieux vaut progresser lentement que pas du tout.

· Action : optez pour des mesures simples. Entreposez vos documents papier dans une pièce verrouillée ou confiez l’archivage de vos documents à un tiers ; conservez vos bandes de sauvegarde en dehors de vos locaux et cryptez-les si besoin.

4. Comprendre le fonctionnement de l’entreprise et la manière dont les informations circulent : intéressez-vous à la manière dont les informations sont créées, réceptionnées, traitées, stockées et détruites dans votre entreprise. Qui en a la charge à chacune de ces étapes ? Comment sont-elles protégées ?

· Action : constituez une équipe interservices qui retracera le parcours des informations, depuis leur création jusqu’à leur destruction sécurisée, et qui consignera ses observations, notamment les principaux risques et failles relevés, dans un rapport destiné à la direction.

5. Identifier les informations les plus précieuses pour l’entreprise et les mesures envisageables pour les protéger : toutes les informations ne se valent pas. Identifiez celles dont la perte ou la fuite pourrait nuire à votre entreprise.

· Action : pensez aux répercussions que la perte de chaque type d’informations pourrait avoir sur votre entreprise afin de mieux appréhender vos risques et les impacts d’une violation de données.

6. Adopter une approche unifiée de la gestion continue des risques : définissez clairement les responsabilités et obligations de chacun, et instaurez des mesures de contrôle centralisé pour identifier les interdépendances et les failles interservices.

· Action : désignez un responsable de la gestion de vos informations.

7. Mettre en place des règles et procédures, et vérifier constamment leur efficacité : il ne s’agit pas uniquement d’édicter des règles mais aussi de veiller à ce qu’elles soient parfaitement comprises et respectées.

· Action : créez un programme de reconnaissance et de récompense du personnel. Tentez également d’obtenir une étude comparative gratuite des offres des différents fournisseurs et privilégiez ceux qui se conforment aux normes auxquelles votre entreprise est soumise, comme PCIDSS et ISO27001.

8. Se faire aider : la gestion des informations est une discipline complexe, que l’explosion du volume de données structurées et non structurées complique chaque jour encore un peu plus. N’hésitez pas à demander de l’aide.

· Action : si vous ne disposez pas des compétences requises en interne, tournez-vous vers des professionnels ou prestataires externes pour obtenir des conseils sur la marche à suivre.