Les employés qui ne respectent pas les règles de conformité constituent un casse-tête pour les décideurs informatiques, et il leur est difficile de savoir comment remédier à ce problème au mieux. Comment les décideurs informatiques doivent-ils s'y prendre pour trouver le juste équilibre entre donner carte blanche aux employés et les empêcher de commettre des erreurs à tout prix ?
Un déséquilibre peut s'avérer coûteux. En janvier, Amazon a perdu un procès en France et a été condamné à payer une amende de 32 millions d'euros pour avoir mis en place un système de surveillance des employés « excessivement intrusif ».1 Même à un niveau moins extrême, les réglementations peuvent entraver la productivité et peuvent même finir par inciter les employés frustrés à contourner les règles.
Les employés prennent-ils vraiment au sérieux la conformité des données ?
Préoccupation constante des décideurs informatiques
Quelle est l'ampleur du problème ? La nouvelle étude de Canon menée auprès de 1.700 décideurs informatiques offre quelques éclairages. Le Baromètre de la transformation numérique a révélé que la sécurité des informations de l'organisation empêche les décideurs informatiques de dormir la nuit. Ces derniers n'ont jamais abandonné leurs trois responsabilités les plus difficiles et les plus chronophages au cours des cinq dernières années.
En 2023, la situation s'est aggravée. Lorsque nous examinons les principaux défis auxquels sont confrontés les décideurs informatiques, la visibilité et le contrôle des informations de l'entreprise arrivent en première position. La sécurité des informations (33 %) a été classée comme le principal défi, suivi de près par le maintien de la conformité (25 %) et le contrôle sur le Shadow IT (25 %).
Les données suggèrent que le travail hybride et à distance aggrave le problème. Lorsqu'on leur a demandé comment ils envisageaient de peaufiner leur configuration actuelle, de nombreux décideurs informatiques ont déclaré qu'ils souhaitaient une meilleure visibilité sur l'utilisation des logiciels par les employés (43 %), tout en augmentant le contrôle sur le comportement conforme des employés hors site (42 %) et sur le Shadow IT(40 %).
Ces préoccupations sont-elles fondées ?
En un mot, oui. Le Shadow IT a le vent en poupe et, d'ici 2027, on prévoit que 75 % des employés acquerront, modifieront ou créeront des technologies en dehors du champ de vision du service informatique. Il s'agit d'une augmentation considérable par rapport aux 41 % de 20222.
Gartner explique cela par le fait que beaucoup d'entre nous sont « devenus des technologues ». Les employés disposent de plus en plus des connaissances et des capacités techniques requises pour s'inscrire et accéder à des programmes via le cloud, sans demander de l'aide au service informatique.
Le résultat ? La conformité peut facilement être compromise. Comme le rapporte le magazine CSO : « Les salariés ne savent généralement pas si les applications qu'ils achètent comportent des couches de sécurité ou quelles couches de sécurité elles comportent, ni si quelque chose doit y être ajouté pour les rendre plus sécurisées. Et pour couronner le tout, ils intègrent souvent des données sensibles dans ces applications pour accomplir leurs tâches. »3
Pourquoi les employés ignorent-ils les règles ?
Les raisons invoquées pour justifier le non-respect des règles de sécurité de l'entreprise sont variées. Dans de nombreux cas, les employés ne savent tout simplement pas quels sont les protocoles appropriés. Les exigences en matière de gestion de l'information sont complexes et certains employés peuvent ne pas se rendre compte de la manière dont elles s'appliquent concrètement à leur travail au quotidien.
Dans d'autres cas, les processus ou les outils qu'ils doivent utiliser sont tout simplement trop compliqués. Une étude de Harvard4 a révélé que 5 % des tâches étaient délibérément accomplies de manière non conforme. Les trois principales raisons des infractions étaient : « pour mieux accomplir les tâches qui me sont confiées », « pour obtenir quelque chose dont j'avais besoin » et « pour aider les autres à faire leur travail ». Ces trois réponses représentaient 85 % des cas. Pour la grande majorité, enfreindre les règles n'était pas une intention malveillante, mais motivée par un simple désir de faire le travail demandé.
Conseils pour encourager la conformité
Trouver le juste équilibre entre une gestion responsable et une ingérence excessive constitue un défi majeur pour les décideurs informatiques d'aujourd'hui. Au vu des éléments de preuve, les décideurs informatiques ont raison de s'inquiéter du comportement des employés, en particulier en dehors du bureau.
L'objectif ultime devrait être de rendre la gestion des informations et la conformité des données discrètes. Il s'agit avant tout de bien comprendre les besoins des salariés, qui sont fortement influencés par le secteur d'activité et leur rôle au sein de l'entreprise. Les décideurs informatiques peuvent réduire la probabilité que les employés contournent les politiques de l'entreprise en discutant avec les différents secteurs d'activité de leurs workflows et en comprenant quelles politiques sont réellement nécessaires et lesquelles créent plus de problèmes qu'autre chose.
Davantage de contrôle là où c'est nécessaire
Cependant, il s'agit également de créer un environnement avec plus de visibilité et de contrôle. Curieusement, la visibilité des aspects les plus courants de la gestion de l'information constitue un problème, selon l'étude. Environ la moitié des décideurs informatiques tout au plus ont déclaré disposer de capacités permettant de suivre la manière dont les documents étaient gérés à des fins d'audit. Seulement 53 % des décideurs informatiques ont déclaré être en mesure de suivre la manière dont les documents ont été partagés, par exemple. Sans cette visibilité, il est difficile pour les décideurs informatiques de vraiment savoir si les employés respectent les règles de conformité.
L'étude révèle que de nombreux décideurs informatiques prennent des mesures. Les personnes interrogées ont indiqué qu'elles commençaient à mettre en œuvre la gestion des documents numériques afin d'appliquer les meilleures pratiques en matière d'automatisation en automatisant la manière dont les informations de l'entreprise sont gérées. Cela comprend, dans un premier temps, la mise en œuvre de droits d'accès automatiques et la suppression automatique des documents sensibles après une période définie. Pour les organisations plus avancées sur le plan numérique, cela peut consister à introduire l'automatisation de workflows pour garantir qu'un processus métier complet - tel que le traitement des factures - intègre l'automatisation, ce qui permet de garantir que le processus est contrôlé selon un ensemble d'étapes préapprouvées.
Cependant, une grande partie des décideurs informatiques ont également admis qu'ils n'avaient pas encore introduit certaines de ces fonctionnalités rudimentaires. En fait, même la fonctionnalité la plus courante – les droits d'accès automatiques permettant de contrôler qui peut accéder aux documents et aux lieux – n'a été adoptée que par 51 % des personnes interrogées.
Trouver le juste équilibre
La gestion sécurisée et conforme des informations commerciales est une préoccupation majeure pour tout décideur informatique. Toutefois, garantir la conformité représente bel et bien un défi qui repose sur le comportement humain. Pour mettre en place des politiques efficaces, les décideurs informatiques doivent veiller à ne pas entraver le travail des employés ni leur donner carte blanche pour gérer les informations.
Ils doivent commencer par vérifier s'ils disposent des outils adéquats pour voir et contrôler la manière dont les informations sont utilisées. Grâce à ces outils, ils ne seront plus obligés d'avoir les yeux partout dans un environnement où le suivi humain n'est tout simplement pas possible. Commencer à construire une approche de la conformité plus centrée sur l'humain contribuera à éviter les violations accidentelles, mais aussi les cas délibérés de non-conformité causés par des mesures labyrinthiques. Ils permettront également aux décideurs informatiques de mieux dormir.
Consultez le Baromètre de la transformation numérique ici pour obtenir plus d'informations sur l'expérience des décideurs informatiques, de leurs futures priorités en matière d'achats à ce qu'ils pensent réellement de leur rôle.
Téléchargez le rapport
- https://www.hrmagazine.co.uk/content/comment/what-lessons-can-hr-learn-from-amazons-32-million-employee-monitoring-fine/
- Gartner dévoile les huit principales prévisions en matière de cybersécurité pour 2023-2024
- Le Shadow IT prend de plus en plus d'ampleur, tout comme les risques de sécurité connexes | CSO Online
- https://hbr.org/2022/01/research-why-employees-violate-cybersecurity-policies
Aller plus loin
Baromètre de la transformation informatique
Informations partagées par 1700 responsables informatiques de sept marchés de la région EMEA sur l'évolution de leur rôle entre 2019, 2021 et 2023, ainsi que leurs prévisions et priorités pour les trois prochaines années.
Retrouver l'innovation : sortir les responsables informatiques du cycle de résolution
En 2023, les responsables informatiques se sont retrouvés piégés dans un cycle de résolution de problème, les empêchant de laisser place à l'innovation. Il est temps de les sortir de ce cycle pour laisser libre cours au progrès. Découvrez comment.
La transition vers le travail hybride est-elle terminée ?
98 % des décideurs informatiques peaufinent encore leur modèle de travail hybride. Découvrez les domaines qu'ils ont désignés comme prioritaires et pourquoi.