Cependant, les niveaux de connaissance concernant les données et la proportion du budget IT qu’ils sont prêts à verser pour les sécuriser varient largement parmi les décideurs seniors. Les répondants Complaisants – le groupe minoritaire – ne considèrent pas les données comme importantes dans leur entreprise et accordent davantage de valeur aux données personnelles (33%) qu’aux données professionnelles (18%). Les répondants du groupe le plus proactif, les Eclairés, quant à eux, sont plus enclins à travailler dans une entreprise protégeant leurs informations et accordent plus d’attention aux données professionnelles qu’aux données personnelles (33%). Seuls 16% d’entre eux accordent une plus grande importance aux données personnelles.

Présentant les caractéristiques de chacune des catégories en détails, le rapport intitulé Rapport sur le risque et la valeur des données - Les cadres dirigeants saisissent-ils le rôle qu’ils ont à jouer dans la sécurité des données ?, révèle que :

 ? Les catégories Eclairées sont prêtes à investir au moins 10% de leur budget IT pour sécuriser leurs données et sont les plus susceptibles d’avoir complètement sécurisé toutes leurs données critiques.

 ? Les décideurs Informés sont les plus susceptibles d’implémenter une politique de protection des données ; 29% d’entre eux déclarent qu’ils ont entamé un processus d’implémentation d’une politique formelle de sécurité de l’information et plus d’un quart d’entre eux (26%) adoptent actuellement un plan de réponse à incident.

 ? Les répondants Passifs reconnaissent la valeur des données mais ne les protègent pas. Ils sont plus susceptibles d’admettre qu’ils ne savent pas quelle part du budget IT est dépensé en
sécurité de l’information. Presque la totalité d’entre eux (93%) ne sait pas évaluer l’impact financier d’une faille de sécurité.

 ? Le groupe des Complaisants ne sait pas quelle part du budget est consacrée à la sécurité ou reconnaît que seule une infime proportion y est réservée. Ils sont les moins susceptibles d’avoir un plan de réponse à incident dans le cas d’une éventuelle faille de sécurité (seulement 24%).

Simon Church, CEO de NTT Com Security, explique : “Ce classement des organisations donne une bonne indication de la façon dont les données professionnelles sont respectées au travers du regard que portent les dirigeants sur celles-ci et leur connaissance du niveau de sécurité. Ce qui est inquiétant c’est que les répondants Eclairés, le groupe le plus fort des quatre, représentent 35% des cadres supérieurs - ce qui est encore peu - alors que les plus faibles, les Passifs et les Complaisants, représentent à eux deux 31% de l’effectif total.

Ceci prouve l’incapacité ou le manque de volonté de protéger correctement les données ». Selon Simon Church, les organisations et le secteur de la sécurité de l’information doivent travailler main dans la main plus ardemment pour contrer cette complaisance. « Il est clair que la culture organisationnelle doit changer. C’est facile de penser que dans notre secteur nous faisons un bon travail de sensibilisation aux menaces de sécurité mais, clairement, ce n’est plus suffisant pour pousser les organisations à agir. Nous devons mettre l’accent sur le fait que la sécurité est le problème et la responsabilité de tous et faire passer les organisations de l’échelon Complaisants à l’échelon Eclairés sur l’échelle du rapport Risque & Valeur ». Les catégories et leurs caractéristiques majeures :

Le pourcentage d’incidents dans les quatre groupes (selon les 800 répondants en Australie, en France, en Allemagne, à Hong-Kong, en Norvège, en Suède, en Angleterre et aux Etats-Unis)
_ ? Eclairés = 35%
_ ? Informés = 34%
_ ? Passifs = 13%
_ ? Complaisants = 18%

Les Eclairés – Les répondants Eclairés comprennent la valeur que la donnée a pour leur organisation. Ils qualifient au moins 5 ou 6 catégories de données (consommateur final, entreprise cliente, employeur, performance de l’entreprise, propriété intellectuelle et R&D) d’importantes pour le succès de leur activité. Ils travaillent aussi pour des entreprises engageant au moins 10% de leur budget IT dans la sécurité des données, ce qui montre qu’ils reconnaissent que la sécurité des données constitue un aspect important de leur activité.

Les Informés – Les répondants Informés comprennent aussi la valeur que leur organisation accorde aux données. Comme les Eclairés, ils qualifient au moins 5 ou 6 types de données de données cruciales pour l’activité de leur entreprise. Cependant, les entreprises dans lesquelles les Informés travaillent ne dépensent pas plus de 10% de leur budget IT pour la sécurité des données, souvent moins. Cela montre que ces cadres dirigeants sont enclins à comprendre la valeur des données mais que leurs organisations ne sont pas prêtes à dépenser de sommes significatives pour la sécurité de celles-ci.

Les Passifs – Similaires aux personnes rattachées aux deux premières catégories, les répondants Passifs comprennent la valeur que prend la donnée dans leur organisation mais ils ne connaissent pas la proportion du budget IT allouée à sa sécurité. En conséquence, cette catégorie n’est pas informée de la façon avec laquelle leur entreprise s’occupe des données critiques.

Les Complaisants – A l’opposé des trois autres catégories, ces répondants ne réalisent pas réellement l’importance que les données ont pour leur entreprise. Ces cadres dirigeants peuvent ne pas être informés du montant du budget IT que leur organisation dépense pour la sécurité des données, ou informés que leur organisation n’y affecte qu’une petite fraction de ce budget.