Les données semblent être le principal sujet de préoccupation. La gouvernance et l’infrastructure des données sont considérées comme des domaines d’une complexité « inutile et évitable » par une majorité des personnes interrogées au Canada (80 % et 81 %, respectivement, contre 77 % pour les deux à l’échelle mondiale). Les architectures technologiques de la plupart des grandes entreprises, qui comprennent des systèmes patrimoniaux, sont compliquées. Les fusions avec d’autres entités peuvent multiplier les risques en connectant des réseaux et des systèmes déjà complexes.
Les chefs de direction sont les plus préoccupés par toute cette complexité. À l’échelle mondiale, ils attribuent un niveau de complexité de dix à 7 domaines parmi les 11 domaines au sein de leur entreprise. Les chefs de direction ont tendance à se préoccuper davantage des risques liés à la cybersécurité et à la protection des renseignements personnels découlant de la complexité de l’environnement infonuagique, des investissements dans la gouvernance et les technologies, ainsi que du passage des TI aux technologies opérationnelles (TO). Nous avons entendu des préoccupations similaires de la part des chefs de direction et des cadres supérieurs canadiens.
La complexité n’est pas mauvaise en soi. Elle est souvent un sous-produit de la croissance de l’entreprise. Plus une organisation est vaste, plus elle est naturellement complexe, car elle a besoin de plus de personnel et de technologies pour servir une clientèle croissante. Les coûts de la création d’une complexité inutile ne sont pas évidents, et il est difficile de créer une urgence autour de la lutte contre la complexité, jusqu’à ce qu’une attaque se produise.
Lorsqu’on leur a demandé de mettre en évidence les principales conséquences de la complexité opérationnelle, les personnes interrogées au Canada ont choisi les options suivantes :
De l’avis des dirigeants, la complexité ne menace pas seulement la fortune d’aujourd’hui. Elle empêche également les entreprises de créer rapidement de nouvelles opportunités et d’en saisir dans l’avenir.
Les entreprises connaissent les risques liés à la complexité, mais seulement 35 % des personnes interrogées à l’échelle mondiale ont procédé à une rationalisation quelconque de leurs opérations, et un quart d’entre elles déclarent n’avoir rien fait du tout ou ne faire que commencer. Mais un changement semble s’être amorcé.
La simplification d’une organisation prend du temps et nécessite des changements de points de vue et de culture d’entreprise. Ce n’est pas facile, mais les retombées sont considérables. À l’échelle mondiale, les entreprises qui ont obtenu les meilleurs résultats en matière de cybersécurité au cours des deux dernières années (les plus avancées) sont cinq fois plus susceptibles d’avoir rationalisé les opérations à l’échelle de l’entreprise. Nous constatons des résultats similaires parmi les entreprises canadiennes.
De plus en plus de responsables de la sécurité et de chefs de l’information examinent attentivement leurs investissements technologiques et ne se contentent plus d’étudier ou de rechercher les derniers produits des fournisseurs de technologies. Nous assistons à une consolidation des fournisseurs et des applications technologiques pour mettre fin à l’enchevêtrement difficile à gérer et risqué de logiciels et de technologies disparates et vulnérables.
Il faut reconnaitre que la simplification de la cybersécurité peut être un défi. Invitées à établir un ordre de priorité parmi neuf initiatives visant à simplifier les programmes et processus de cybersécurité, les personnes interrogées au Canada ont indiqué une légère préférence pour l’adoption d’une stratégie de technologie d’infonuagique, mais les chiffres étaient par ailleurs très similaires.
Les responsables de la sécurité qui mettent en place des couches de contrôle, pour une défense approfondie, sont bien intentionnés, mais doivent se garder d’augmenter la complexité et les coûts. Un plus grand nombre de contrôles et de technologies de sécurité ne rendent pas toujours une entreprise plus sûre.
Le passage à l’infonuagique peut contribuer à simplifier les processus d’affaires et l’architecture informatique, à apporter de la flexibilité et à accélérer l’innovation. Pourtant, les entreprises gaspillent en moyenne 35 % de leur budget d’infonuagique pour des raisons d’inefficacité. Des technologiques étendues, de nouvelles approches architecturales, des plans de service compliqués, des capacités inutilisées et des facturations et tarifications déroutantes, surtout lorsque les technologies proposées sont en constante évolution, peuvent rapidement donner lieu à une complexité galopante.
Toutefois, si elle est bien menée, la transformation infonuagique peut être sûre, efficace et réussie. La sécurité de l’infonuagique figure parmi les principales priorités d’investissement des personnes interrogées au Canada, ce qui est encourageant, quoique seuls 20 % d’entre elles affirment tirer des avantages de ces investissements (16 % à l’échelle mondiale). Trente-quatre pour cent d’entre elles n’ont pas pleinement profité de leurs investissements dans la sécurité de l’infonuagique (35 % à l’échelle mondiale), et 42 % ne font que commencer ou planifier les leurs (45 % à l’échelle mondiale).
Que vous utilisiez ou non l’infonuagique pour simplifier, réduire et combiner vos technologies et vos processus, cela peut sembler audacieux. La démarche nécessite de se poser des questions difficiles et de garder la simplicité en tête. Pour y parvenir, votre entreprise aura besoin d’un leadership axé sur la sécurité, en commençant par le sommet.
Proportion moyenne des dépenses totales consacrées à la simplification de la cybersécurité
Les entreprises doivent d’abord établir cette bonne fondation que nous appelons données personnelles : gagner la confiance : c’est-à-dire vous assurer que vous utilisez les données de manière responsable, sûre, précise et éthique afin de pouvoir vous y fier pour vos décisions d’affaires. (En plus, lorsqu’il s’agit de données de clients, vous devez vous assurer que les clients savent qu’ils peuvent vous faire confiance pour protéger leurs informations contre un accès non autorisé et une utilisation inappropriée.)
Toutefois, seul le tiers environ des personnes interrogées, tant au Canada qu’à l’échelle mondiale, affirment avoir des processus de confiance numérique établis et entièrement mis en œuvre dans quatre domaines clés : gouvernance, découverte, protection et atténuation. Près d’une personne interrogée au Canada sur cinq (une sur quatre à l’échelle mondiale) affirme n’avoir aucun processus formel de confiance numérique en place. Une fois que vous aurez élaboré votre stratégie de données, la gouvernance – c’est-à-dire les politiques, les procédures et les processus de mise en œuvre de la stratégie – devrait suivre immédiatement.
La sécurisation de vos données contre la falsification et le vol est également essentielle au succès. Or, seul le tiers des personnes interrogées au Canada et à l’échelle mondiale affirment avoir mis en place des processus officiels de sécurité des données, y compris le cryptage et le partage sécurisé des données (30 % au Canada et 34 % à l’échelle mondiale). La vérification et la protection de l’intégrité de vos données sont également essentielles. Ne pas tenir compte de ces deux éléments ressemblerait à embaucher quelqu’un sans vérifier les informations fournies dans son curriculum vitae. Vous ne pouvez pas être certain de la qualité de l’information.
Seulement 36 % des personnes interrogées ont mappé toutes leurs données (35 % à l’échelle mondiale), ce qui signifie qu’elles en connaissent la provenance et la destination. Elles sont encore moins nombreuses - 29 % - à disposer de processus matures de réduction des données (35 % à l’échelle mondiale).
Les deux tiers des entreprises qui n’ont pas mis en œuvre des pratiques formelles de confiance numérique peuvent être en danger à plus d’un titre.
Les deux tiers des entreprises qui n’ont pas mis en œuvre des pratiques formelles de confiance numérique peuvent être en danger à plus d’un titre. Une gouvernance efficace des données est importante non seulement pour la résilience opérationnelle, mais aussi pour la conformité à des règlements tels que le projet de loi 64 au Québec et la réintroduction prévue de la Loi fédérale sur la protection de la vie privée des consommateurs (projet de loi C-11). Ces deux projets de loi introduisent des changements réglementaires importants concernant la protection des renseignements personnels par les entreprises canadiennes et prévoient des amendes élevées en cas de non-conformité. Lorsque quelqu’un vous demande des informations sur ses données – ce que vous conservez et l’utilisation que vous en faites – vous devez être en mesure de répondre rapidement et avec précision.
Pourcentage de répondants affirmant avoir des processus formels entièrement mis en œuvre pour les pratiques de confiance numérique
Demandez : Quel est le plan de cybersécurité pour cette initiative? Vous pouvez déclencher un changement majeur – autant au niveau des opérations que de la culture – simplement en posant cette question à chaque dirigeant d’entreprise chargé d’une transformation ou d’une nouvelle initiative d’affaires. En plaçant la cybersécurité au premier plan, vous éviterez les complexités inutiles et coûteuses qui surviennent après une réflexion ultérieure.
Incluez le chef de l’information et les équipes de sécurité dès le début de la migration et de l’adoption de l’infonuagique, des fusions et acquisitions et d’autres initiatives organisationnelles. Ainsi, chaque dirigeant à la tête d’une initiative commerciale d’envergure sera en mesure de répondre facilement à la question du plan de cybersécurité.
Osez la soustraction. Laissées à elles-mêmes, la technologie et les données ont tendance à se multiplier et à se diviser pour régner sur l’efficacité et la sécurité. Réduisez l’excès en gardant à l’esprit les objectifs de sécurité : évaluez vos magasins de données et éliminez tout ce dont vous n’avez pas besoin dans l’immédiat. Transférez vos applications et solutions disparates dans un environnement infonuagique pour en faciliter la gestion et consolidez, liquidez ou automatisez là où vous le pouvez. Repensez également vos processus d’investissements en technologies et en cybersécurité. Concentrez-vous d’abord sur la simplification là où les avantages sont les plus grands pour l’ensemble de l’entreprise.
Avec les mises à jour réglementaires et les amendes importantes qui se profilent à l’horizon, il est temps d’adopter une approche stratégique pour gagner la confiance en matière de données personnelles. Bâtissez un écosystème qui permettra à votre entreprise de créer, d’utiliser, de partager et de supprimer les données en toute sécurité et transparence. Investissez au besoin pour améliorer l’expérience de vos clients et établir la confiance dont vous aurez besoin pour exploiter la valeur des données. Ce faisant, vous protégerez les renseignements personnels de vos clients et de vos employés et gérerez votre exposition au risque d’atteinte à la vie privée, tout en obtenant l’adhésion nécessaire de l’entreprise et en mettant en œuvre ses priorités stratégiques de gestion des données.
Associé et leader national, Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière, PwC Canada
Tél. : +1 416 815 5306
Associé, Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière et leader national, Cybersécurité, PwC Canada
Tél. : +1 604 806 7603
Associé, leader national du groupe Cybersécurité, Services gérés, PwC Canada
Tél. : +1 416 815 5274