Pour 46% des entreprises européennes, la responsabilité des risques liés aux informations est de l’unique ressort des services IT, nous apprend une étude de PwC. Une pratique appropriée autrefois, mais le niveau des risques aujourd’hui nécessite une responsabilité à l’échelon le plus élevé de la hiérarchie.
Assigner la responsabilité de la protection des informations aux personnes appropriées est un facteur clé de prévention contre les risques de pertes d’information, et permet de garantir à la fois que les personnes appropriées sont impliquées et que des responsables performants ont été désignés pour coordonner la réponse appropriée de l’entreprise. Mais évident. Ce qui l’est moins, c’est le contexte. Il a profondément changé,
Viser le seul responsable de la sécurité au sein du département ICT ne fait plus sens. Une telle pratique pouvait éventuellement être appropriée autrefois, mais les risques liés à la gestion des informations sont aujourd’hui un enjeu à facettes multiples couvrant divers domaines et types de risques, qu’il s’agisse du personnel ou des procédures, des comportements ou des pratiques professionnelles. Bref, analyse Iron Mountain, la responsabilité de ces risques devrait, désormais, toujours être assignée à l’échelon le plus élevé de la hiérarchie, chacun des employés ayant quant à lui un rôle individuel à jouer en matière de protection des informations de l’entreprise.
On a tous en tête l’affaire Target en tête -dont l’issue a été la démission du président de la compagnie, cinq mois après qu’il fut découvert que cette entreprise avait été victime d’une violation de données majeure avec la perte d’environ 40 millions de numéros de cartes de paiement et d’informations personnelles susceptibles de concerner 70 millions de clients.
Ceci démontre une fois de plus à quel point il est important que la direction générale supervise ce domaine et assume personnellement la responsabilité de la mise en place et du contrôle de procédures de sécurité performantes.