Une enquête réalisée par PwC et le spécialiste de la gestion de l’information Iron Mountain révèle que la sécurité des données sensibles et confidentielles des entreprises européennes du secteur financier est menacée, faute de contrôle d’efficacité de leurs stratégies de protection des données.

Alors qu’elles détiennent les informations personnelles sensibles de millions de clients, quatre sociétés de services financiers sur dix (41 %) n’ont aucun moyen de contrôler l’efficacité de leur stratégie de gestion des risques liés aux informations

En outre, un nombre préoccupant d’entre elles (42 %) n’exercent aucune surveillance de la personne ou l’équipe en charge de la gestion des risques liés aux informations, de la protection ou de la restauration des données.

L’étude révèle par ailleurs qu’une société financière sur cinq (soit 22 %) sondées à travers toute l’Europe est incapable de dire si elle a subi une violation de ses données au cours des trois dernières années.

L’enquête a donné lieu au tout premier Indice Européen des Risques liés aux Informations, une échelle de référence permettant aux entreprises d’évaluer leur maturité à cet égard.

Les conclusions de l’enquête soulignent l'impact et les conséquences du manque de vigilance en matière de gestion de l’information et de protection des données. D’après les sociétés de services financiers victimes, les conséquences majeures de la violation de leurs données sont la dégradation de leur réputation et la mise en cause de leur responsabilité professionnelle, d’où l’importance d’une stratégie de gestion de l’information qui couvre à la fois les données papier et numériques.

Christian Toon, Directeur de la Sûreté des Informations d’Iron Mountain, commente ainsi les conclusions de l’enquête : « Notre étude des risques liés aux informations révèle un manque de vigilance inquiétant de la part des professionnels des services financiers européens. Autre fait marquant, 45 % des entreprises sondées citent les connaissances insuffisantes comme principal obstacle à la mise en œuvre d’une stratégie efficace de gestion des données. Il est temps pour ces sociétés de prendre leurs responsabilités vis-à-vis des informations sensibles qu’elles détiennent et de développer une culture de la responsabilité des informations en entreprise comme beaucoup l’ont fait pour la responsabilité sociale de l’entreprise. »

« La volonté d’instaurer la gestion sécurisée des informations doit venir du plus haut niveau de la hiérarchie et s’accompagner d’une formation suffisante, de services d’assistance et de contrôles réguliers. Investir des sommes énormes dans la sécurité des informations serait vain si personne ne s’en soucie. Tout l’argent et toutes les technologies du monde seront inefficaces à protéger vos données sensibles si l’on néglige le facteur humain. »

Pour cette étude, PwC a interrogé les dirigeants et cadres supérieurs de 600 grandes entreprises européennes afin de créer l’indice des Risques liés aux Informations, à l’attention des entreprises de taille moyenne (250 à 2500 employés).

Les notes, établies dans les secteurs juridiques, financiers, de l’assurance, de la production, de l’ingénierie et de l’industrie pharmaceutique, montrent que de nombreuses entreprises ne sont malheureusement pas préparées à faire face et à gérer les risques liés aux informations tels que les violations et pertes de données et la non-conformité. La note moyenne obtenue par les entreprises européennes est de 40,6 contre un résultat idéal de 100 ; le secteur juridique obtient une moyenne de 33,3 seulement. C’est le secteur des services financiers qui recueille la note la plus élevée, avec une moyenne de 46,3.

L’Indice Européen des Risques liés aux Informations offre un guide qui permet aux entreprises de mesurer leur degré de sophistication de leur gestion des informations. Il est basé sur une ensemble de mesures qui, mises en place et fréquemment contrôlées, aidera à protéger les informations numériques et papier détenues par une entreprise. L’indice représente une approche équilibrée de prévention des risques liés aux informations, intégrant des mesures portant sur la stratégie, les hommes, la communication et la sécurité.

Iron Mountain a lancé un appel aux entreprises européennes pour qu’elles s’engagent à mettre en place une gestion responsable des informations : il s’agit de s’assurer que les informations sont valorisées et protégées à chaque étape de leur parcours dans l’entreprise, et détruites en toute sécurité à la fin de leur cycle de vie.