Compte tenu de l’importance de l’information pour la réussite d’une entreprise, il est légitime d’attendre des salariés qu’ils prennent toutes les mesures possibles pour assurer la sécurité de l’information. Mais dans le contexte actuel, où les serveurs regorgent de fichiers et les pressions s’intensifient sur les ressources, il semble que beaucoup, du CEO aux administrateurs, se montrent négligents vis-à-vis de la sécurité de l’information. On peut se demander si oui ou non les entreprises modernes appliquent de bonnes pratiques de gouvernance de l’information.

Les mauvaises habitudes de ceux qui devraient donner l’exemple

Même s’ils mesurent la valeur de l’information que détient leur entreprise, il apparaît souvent que les dirigeants négligent de suivre les processus et les règles mis en place pour protéger l’information.

A l’occasion d’une récente étude[i] commandée par Iron Mountain, plus de la moitié (57%) des directeurs de services interrogés ont admis avoir déjà laissé à la vue de tous, dans l’imprimante, des informations confidentielles ou sensibles, et plus d’un tiers (39%) ont reconnu avoir oublié et perdu des informations professionnelles dans un lieu public. On réalise alors avec quelle facilité des informations peuvent se retrouver entre de mauvaises mains. Et pire encore, en cas de mauvaise manipulation ou de compromission de données avérée, les entreprises s’exposent à des sanctions pouvant atteindre 4% du chiffre d’affaires annuel comme le prévoit le règlement général sur la protection des données. En cas de compromission d’informations de clients, suite à une malveillance ou à une erreur humaine, la réputation de l’entreprise pourrait être dégradée avec pour conséquence l’érosion de la confiance des clients. Des manquements à première vue anodins peuvent avoir de graves conséquences.

Et la négligence dans le traitement des données n’est pas la seule cause pouvant mener une entreprise à vivre une situation difficile. Souvent, les processus que les entreprises mettent en place pour protéger l’intégrité de l’information et garantir leur totale conformité ne sont pas suivis, si bien que l’organisation se retrouve exposée à des risques inutiles.

Un directeur de service sur cinq (21%) avec lequel nous nous sommes entretenus a reconnu avoir déjà contourné les processus de gestion de l’information en interne, jugés trop compliqués. Et il est inquiétant de constater que 6% ignoraient complètement l’existence de processus régissant la sécurité de l’information. Les chefs d’entreprise, plus que les salariés occupant n’importe quelle autre fonction, admettent qu’ils évitent, si c’est possible, de se plier à des procédures de classement de l’information (16%) et de rétention des documents (15%) qu’ils considèrent excessivement complexes.

Au lieu de donner l’exemple, les dirigeants se rendent coupables d’esquiver les règles établies pour faire les choses plus rapidement, ou ignorent tout simplement que leurs agissements sont contraires aux règles. Et s’il ressort de notre étude que les directeurs de service sont ceux à qui l’on peut reprocher le plus de manquements dans la plupart des scénarios de gestion de l’information, les responsables de sites ne sont pas en reste. Plus de la moitié (56%) admettent sortir des informations sensibles ou confidentielles du lieu de travail et 48% reconnaissent avoir envoyé de telles informations au mauvais destinataire.

Les services chargés de traiter des informations sensibles sont aussi en faute. Près de la moitié (44%) des personnels de la DRH ont reconnu détenir des documents qu’ils ne devraient plus avoir en leur possession selon les règles de rétention des données ; il en va de même pour 32% des directeurs financiers, avec les déclarations fiscales, et 47% des professionnels du droit admettent de possibles erreurs d’archivage de contrats et d’autres documents juridiques.

Le personnel administratif se classe bien en comparaison, mais peut toutefois se montrer négligent vis-à-vis de la gestion de l’information : un sur cinq (21%) admet avoir traité négligemment des données ou les avoir communiquées au mauvais destinataire et 15% avouent avoir égaré des documents professionnels dans un lieu public.

instaurer une culture d’entreprise consciente de la valeur de l’information et de la nécessité de la protéger

Qu’est-ce qui peut bien expliquer une tendance aussi générale à négliger les bonnes pratiques de gestion de l’information ? Et comment les entreprises peuvent-elles opérer un changement de culture et amener leurs salariés à appliquer de meilleures pratiques de gestion et de distribution de l’information ? Ce ne sera pas simple. L’essor des services cloud et des terminaux mobiles au travail, ainsi que l’émergence de l’Internet des objets (IoT) conduisent à une explosion des données produites par les entreprises. Dans ces conditions, les salariés sont contraints de devoir gérer plus d’information que jamais auparavant. Parallèlement, les dirigeants veulent pouvoir prendre des décisions avisées, fondées sur des données. Les salariés doivent donc désormais analyser les informations internes et trouver le moyen d’en extraire des insights tout en restant en totale conformité avec les réglementations de rétention et de protection des données.

Il est absolument nécessaire que tous dans l’entreprise comprennent parfaitement leurs responsabilités en matière de gestion de l’information qu’ils doivent traiter ou simplement consulter, et ce dans n’importe quel format, et qu’ils mesurent clairement les conséquences pour l’entreprise d’une mauvaise gestion de l’information. Mais sous l’effet des pressions habituelles liées au temps et aux ressources limitées dans tous les secteurs, les bonnes pratiques de gouvernance de l’information ne sont pas nécessairement une réalité pour tous. Les entreprises doivent encourager une culture où les salariés mesurent la valeur de l’information et comprennent la nécessité de la protéger. Ceci suppose de former en continu tous les salariés à la sécurité de l’information et que chacun montre l’exemple, à commencer par la direction.

La solution devrait émaner de la direction

La responsabilité vis-à-vis de l’information doit être partagée par tous : du CEO et du DSI à la direction des ventes et du marketing, et au service RH, sans oublier les intérimaires. La base d’une bonne gouvernance de l’information réside dans l’instauration de règles de gestion de l’information pour tous les types d’information, au format électronique ou papier et où qu’elle réside, dans les locaux ou dans le cloud, sur une clé USB ou un PC portable, conservée à domicile ou à distance, ou chez un tiers de confiance.

Il convient d’édicter des règles claires et faciles à comprendre pour encourager une bonne gouvernance de l’information. Pour instaurer une culture d’entreprise reconnaissante de la valeur de l’information et de la nécessité de la protéger, il faut que les plus hauts représentants de la direction comprennent ces règles, qu’ils les appliquent eux-mêmes et qu’ils en assurent la promotion. Ce n’est possible qu’en montrant l’exemple, par des communications régulières et par la formation. En ce qui concerne les documents papier, le choix du stockage à distance, dans des conditions conformes aux réglementations applicables, peut aider l’entreprise à observer les règles de rétention. Un programme de numérisation des informations fréquemment utilisées ou nouvellement créées peut aussi aider à assurer leur suivi et à les conserver dans un endroit central, en conformité avec les lois applicables de protection des données.

L’étude d’Iron Mountain en collaboration avec PwC a montré que près des trois quarts des entreprises (72% en Europe et 79% en Amérique du Nord) considèrent l’information comme un actif économique, pourtant 35% seulement en moyenne ont recours à des analystes pour valoriser l’information et beaucoup (43%) ne dégagent que peu d’avantages concrets de leurs informations.[ii] Il est clair que les entreprises ont encore un long chemin à parcourir avant de relever les défis liés à la diversité et aux volumes des données et à la rapidité des flux d’information.

Pour adopter des règles solides de gouvernance de l’information, il faut une approche claire, cohérente et globale de la gestion de l’information dans tous les formats. Les dirigeants doivent déjà commencer à mettre de l’ordre dans leurs habitudes de gestion de l’information. Ce n’est qu’ensuite qu’ils pourront demander au reste de l’entreprise d’observer les meilleures pratiques recommandées.
Après tout, aux Etats-Unis, une élection vient peut-être de se perdre, ou de se gagner, parce que l’un des candidats à admis une série d’imprudence en utilisant une messagerie privée pour traiter des données sensibles et confidentielles. Le fait même que ce sujet ait été au centre de la campagne présidentielle Américaine pendant des mois démontre bien que la sécurité de l’information est un sujet d’importance dans la société dans laquelle nous vivons. Dès lors, si la sécurité de l’information peut avoir une influence sur une élection présidentielle, chaque CEO, manager ou chef de service devrait réfléchir à l’impact que pourraient avoir des faits de même nature s’ils avaient lieu dans leur entreprise.