Marc Delhaie, président-directeur général d’Iron Mountain France et Suisse détaille les bonnes pratiques en matière de gouvernance des informations.
La gouvernance des informations (GI) est un cadre pluridisciplinaire que les entreprises peuvent employer pour encourager la mise en œuvre de mesures adéquates et pour inciter des comportements appropriés concernant la façon dont les informations sont valorisées, gérées et utilisées par l’organisation.
Voici ce qu’apporte la gouvernance : elle permet aux entreprises de faire ce qu’elles ne peuvent pas faire aujourd’hui, et de saisir les opportunités offertes par l’économie numérique. Engagez un dialogue avec les principales parties prenantes de l’entreprise, afin d’élaborer une stratégie de gestion des informations susceptible de favoriser l’instauration et la promotion d’une culture professionnelle ouverte et fondée sur l’échange, tout en maintenant un bon niveau de protection des actifs d’informations importants.
L’essence de la GI consiste à comprendre quelles informations vous détenez, où vous les détenez et quelle est leur valeur, que ce soit pour vous, vos employés, vos clients ou vos concurrents, ainsi qu’à déterminer comment elles circulent à travers l’entreprise et où se situent les points les plus vulnérables. Elle consiste à s’assurer que la gestion des informations et des risques associés représente une préoccupation constante du conseil d’administration, et qu’elle est appuyée par des mesures mises en œuvre par des équipes transversales composées d’un personnel compétent et doté des moyens nécessaires à son travail.
Sept étapes pour une bonne gouvernance de l’information
1. « Cet enjeu n’est pas uniquement du ressort du service des technologies de l’information » : ce service ne peut pas protéger les informations si le marketing les utilise pour créer les profils de préférence de ses clients sans que personne ne soit officiellement responsable de leur sécurité. Le conseil d’administration ne peut se permettre de fermer les yeux sur un risque susceptible de nuire de manière significative à la notoriété de la marque, à la confiance de la clientèle, à la conformité à la loi et à tout avantage concurrentiel de l’entreprise. Dans une entreprise, chacun doit assumer sa part de responsabilité concernant ces informations.
2. « Dressez un tableau sans complaisance de la réalité actuelle concernant ces risques » : identifiez les lieux où se trouvent vos informations les plus vitales et les plus vulnérables en réalisant une analyse des risques dans l’ensemble de l’entreprise. Utilisez les questions formulées par tous ceux qui ont intérêt à ce que ces risques soient bien gérés, y compris le personnel de sécurité du service des technologies de l’information, le service de gestion des risques, le service de la conformité et le service des affaires juridiques, ainsi que les unités clés de l’entreprise et le service des archives. Pensez notamment aux adresses IP, ainsi qu’aux informations hautement visées par la réglementation et fréquemment auditées. Utilisez les résultats de ce travail pour concentrer vos ressources de protection contre les risques liés à la gestion des informations sur les domaines les plus essentiels. Réexaminez cette procédure à intervalles réguliers, car le degré de risque varie dans le temps.
3. « Libérez vos informations, afin de les mettre à profit par l’analyse et à travers l’innovation» : ne craignez pas vos informations. Les entreprises de taille moyenne doivent adopter une stratégie plus holistique et proactive en matière d’extraction de la valeur de leurs informations. Ceci implique de faire circuler ces informations plus librement, à condition qu’elles ne soient pas confidentielles ou privées, dans toute l’entreprise afin qu’elles soient le moteur de la créativité, de l’innovation et de la croissance.
4. « Demandez à vos employés qu’ils s’impliquent » : toute gestion performante des risques liés à la gestion des informations dépend du personnel de plusieurs manières différentes :
· L’augmentation rapide des volumes, de la vélocité et de la variété des données, ainsi que le besoin croissant d’extraire de la valeur et des connaissances de l’ensemble de ces informations, ont des implications significatives en matière de compétences. Les entreprises avant-gardistes emploient toutes des analystes de données. Si ceci est hors de votre portée, envisagez de former à ces questions d’autres fonctions de votre organisation afin que ces dernières acquièrent des compétences en matière de science de l’analyse des données.
· Deuxièmement, encouragez l’instauration d’une culture du respect des informations, et veillez à ce que votre personnel possède la formation, les moyens de communication et l’assistance dont il a besoin pour gérer vos informations de manière responsable et pour réduire les risques associés.
· Troisièmement, mettez en place une procédure robuste en matière de protection d’informations en cas de départ d’employés.
5. « Ne laissez pas traîner des documents papier contenant des informations » : le fait que les documents papiers soient perçus comme un risque de sécurité majeur est un enjeu qui peut et doit être confronté de manière urgente. Mettre en œuvre des procédures structurées en matière de scanning numérique et d’archivage et d’extraction de documents n’est pas difficile, et un prestataire de service externe chevronné pourrait vous aider à vous familiariser avec ce travail et à le gérer.
6. « Créez des indicateurs mesurant l’efficacité de vos mesures » : quelles que soient les mesures que vous décidiez d’adopter, celles-ci doivent atteindre leurs objectifs pour en valoir la peine, ce qui signifie qu’il est indispensable de déterminer si elles produisent les résultats escomptés. Définissez vos indicateurs de performance clés, vérifiez que votre personnel les connaît et les comprend. Désignez une personne responsable de réévaluer ces indicateurs à intervalles réguliers.
7. « Sachez quoi faire quand tout va mal » : que ferez-vous si, en dépit de tous vos efforts, vous êtes victime d’un incident ? Que ce soit dans le contexte d’une restauration de données, de plans de continuité des activités, de la gestion de crises ou de la production des rapports de violation de données, la façon dont vous gérez la situation et en parlez pourrait être absolument déterminant. Certaines organisations sortent renforcées d’un tel incident, et sont parfois jugées encore plus fiables qu’auparavant. D’autres, par contre, ne s’en sont jamais remises.