Une nouvelle étude montre que les entreprises européennes sont inconscientes  avec leurs informations sensibles, Iron Mountain et PwC lancent le premier « Indice Européen des Risques liés aux Informations »

Les violations de données continueront à exposer les entreprises européennes à des risques inutiles et à porter préjudice à leur réputation, à moins de prendre immédiatement toute mesure permettant de mieux gérer et protéger les informations sensibles professionnelles. C’est ce que révèle une nouvelle étude réalisée par Iron Mountain et PwC. Cette étude met en exergue l’urgence de changer les comportements des salariés et l’état d’esprit des équipes dirigeantes si les entreprises veulent faire face à l’autosatisfaction, la négligence et le manque de responsabilité partagée.

L’étude, présentée lors du premier Sommet Européen des Risques liés aux Informations organisé par Iron Mountain, révèle que seulement la moitié des entreprises de taille moyenne considèrent la perte d’informations sensibles comme un de leurs trois plus importants risques professionnels.

Moins d’un quart (24 %) des sociétés interrogées savaient si oui ou non elles avaient subi une violation de leurs données au cours des trois dernières années.

A peine 1 % des répondants considèrent que les risques liés aux informations sont l’affaire de tous les salariés, tandis que près des deux tiers (60 %) ont admis qu’ils ne savaient pas si leurs salariés disposaient des outils adéquats pour protéger ces informations.

Marc Duale, Président de l’International d’Iron Mountain, a déclaré que cette étude est un signal d’alarme pour les entreprises européennes : « Il est temps que les entreprises passent d’une culture de l’apathie et de la négligence vis à vis de leurs informations à une culture de la responsabilité. Ne réagissez pas et vous exposerez vos clients à de sérieux risques liés aux informations. De même, vous laisserez votre entreprise à la merci de dégâts irréparables pour sa réputation. »

PwC a interviewé les hauts dirigeants de 600 entreprises européennes leaders, de taille moyenne (de 250 à 2 500 salariés), pour établir le premier « Indice Européen des Risques liés aux Informations ». Les résultats, établis sur la France, l’Allemagne, la Hongrie, les Pays-Bas, l’Espagne et le Royaume Uni, montrent que de nombreuses entreprises ne sont absolument pas préparées à affronter et à gérer les risques liés aux informations tels que les violations et pertes de données et la non-conformité.

La note moyenne des sociétés européennes s’est élevée à 40,6 sur une note idéale de 100.

L’Indice Européen des Risques liés aux Informations est basé sur un ensemble de mesures qui, si elles sont mises en place et fréquemment contrôlées, aideront à protéger les informations numériques et papier détenues par une entreprise. L’indice représente une approche équilibrée de prévention des risques liés aux informations, intégrant des mesures portant sur la stratégie, les hommes, la communication et la sûreté.

D’autres points clés de l’étude révèlent une formidable incohérence quant à savoir qui doit gérer les risques liés aux informations.

13 % seulement considèrent que les risques liés aux informations doivent être gérés par le Conseil d’Administration, tandis que plus d’un tiers (35 %) estiment que tous ces risques – qu’il s’agisse d’informations numériques ou papier – sont de la responsabilité des Systèmes d’Information (SI).

Cette tendance à considérer les risques liés aux informations comme une problématique relevant des SI s’est révélée largement répandue : 59 % des réponses consécutives à une violation de données consistent en l’installation de technologies supplémentaires.

A peine plus d’un tiers (36 %) des entreprises a confié la responsabilité de la gestion des risques liés aux informations à une personne ou une équipe spécifique dont l’efficacité est contrôlée.

William Beer, Directeur de la pratique « Cybernétique et Sûreté des Informations » de PwC Grande-Bretagne, pense qu’il est clair que les entreprises de toutes tailles échouent misérablement dans leurs efforts pour sécuriser les données de leurs clients :

« Une bonne sûreté des informations passe par trois éléments : les gens, les process et la technologie. Les entreprises investissent trop souvent dans la technologie pour résoudre leur perception du problème, mais la technologie n’est pas la panacée. Les entreprises de taille moyenne, qui n’ont pas nécessairement les ressources financières, mais ont la volonté et l’agilité de changer, peuvent faire un énorme bond en avant en transformant leur culture depuis le sommet de l’entreprise, en mettant en place de nouvelles procédures et en formant leurs salariés. »

En se basant sur les conclusions de l’Indice des Risques liés aux Informations, Iron Mountain a identifié un ensemble d’étapes et d’actions permettant d’aider les entreprises à améliorer la sûreté de leurs données :

Etape 1 : Faire des risques liés aux informations un sujet traité au niveau du Conseil d’Administration – s’assurer que c’est un sujet permanent de l’ordre du jour du Conseil, qu’un membre senior du Conseil en est responsable et que ce sujet est intégré dans le pilotage global de la performance de l’entreprise par le Conseil.

Etape 2 : Changer la culture d’entreprise – concevoir et diffuser des programmes de sensibilisation à la sûreté des informations, mettre à disposition de tous et à tout niveau les bonnes règles de conduite, récompenser et renforcer les bons comportements dans toute l’entreprise, du simple salarié au PDG.

Etape 3 : Mettre en place les bonnes politiques et les bons process – s’assurer qu’ils traitent tous les formats d’informations (électronique, papier ou autres supports). Également, définir toutes les vulnérabilités relatives à la manipulation des informations, établir les protocoles d’alerte, régulièrement revoir et tester tous les systèmes et process.

Un résumé de l’étude « Au-delà des menaces cybernétiques : une étude sur la culture d’entreprise, la responsabilité des salariés et la sûreté des informations ».