Analyses, Conflictualité, Etudes de cas, Europe, Facteur humain, France, Gestion des risques, IT, Pays, Sécurité

Sécurité des données en France: facteur humain et facteur culturel

Share

Incidents IT : réalité et perception du risque en France

Les Echos ont publié le 24 décembre dernier un article intitulé Les entreprises françaises ne protègent pas assez leurs données. Le journaliste reprend les résultats d’une étude sur la sécurité des données IT effectuée par le cabinet PricewaterhouseCoopers auprès de 7200 responsables en entreprises dans 130 pays. Vous pouvez télécharger cette étude ici.

Deux enseignements nous intéressent ici. D’une part, d’un point de vue global, les attaques visant les données des entreprises dans le monde ont augmenté de 44% en 2009. La perte financière moyenne est évaluée à 1 million de dollars…

D’autre part, d’un point de vue culturel, un résultat à propos de la France attire particulièrement l’attention. En effet, il y a en France un hiatus entre la réalité du risque et sa perception : alors que les attaques ont augmenté de 44% dans le monde, les responsables français se disent moins touchés par le vol de données (-20% en 2009) et surtout 60% des répondants ne peuvent pas dire s’ils ont subi ou non des incidents de sécurité contre 39% dans le monde.

En outre, si 63% des responsables en entreprises dans le monde souhaitent maintenir ou augmenter leur budget sécurité en 2010, ce taux tombe à 35% pour les responsables français.

D’où provient ce hiatus ? Est-ce à dire que les entreprises françaises sont plus à l’abri que les autres concernant les risques d’incidents IT ? Mais alors pourquoi bien plus qu’ailleurs les responsables français ne peuvent pas dire s’ils ont subi ou non des incidents IT ?

Du facteur culturel au facteur humain…

L’entreprise française se vit souvent comme une citadelle assiégée. Le système de sécurité informatique est alors perçu comme le rempart face aux intrusions. La délégation de la sécurité aux DSI permet de se rassurer sur les éventuelles menaces. Or, l’intrusion par le hacking concerne une minorité des incidents IT. Voyez ainsi les statistiques établies par la même étude de PwC concernant l’origine de ces incidents dans le monde en 2008 :

Origine des incidents IT

Outre 42% de ces incidents dont l’origine est inconnue, 50% proviennent d’employés ou d’anciens employés, ce qui nous renvoie immédiatement à la problématique du facteur humain soit en termes de mauvaise manipulation du matériel IT, soit en termes d’intention malfaisante ou de vengeance.

Il y a donc en France une sous-estimation ou méconnaissance du facteur humain comme facteur de risque. Or, c’est là un véritable paradoxe. En effet, on s’attendrait plutôt à une réelle prise en compte de cette vulnérabilité, et ceci notamment pour la raison suivante :

Selon le baromètre TNS-Sofres de la confiance politique établi en décembre 2009 (consultable ici), 78% des Français déclarent ne pas faire confiance aux autres. Ce résultat est l’un des plus élevés au monde et constant depuis une vingtaine d’années, ainsi que le rappellent Yann Algan et Pierre Cahuc dans leur livre La société de défiance (voir l’article Construire une société de confiance).

Le paradoxe est le suivant : le niveau élevé de méfiance perçue entre Français s’accompagne d’un niveau élevé de négligence réelle de la part des entreprises quand il s’agit de prendre en compte le facteur humain dans les questions liées à la sécurité des organisations.

… et du facteur humain au facteur culturel

Du fait de cette méfiance généralisée, on pourrait donc s’attendre à ce qu’il y ait en France une conscience claire de la vulnérabilité des hommes. Or, ce n’est pas le cas. On l’a vu récemment avec la gestion calamiteuse de la part de France Telecom de la crise liée aux suicides de salariés et de la campagne médiatique qui en a suivie. On le voit avec la crise de représentativité des syndicats et le dialogue toujours conflictuel entre salariés et responsables. Crise de la confiance (voir les conséquences néfastes du paternalisme dans Entreprises, je vous hais), démotivation (quel exemple pour les salariés lorsque le top management de leur entreprise vend ses actions ?… voir L’A380, décollage de l’entente franco-allemande ?), augmentation du stress (voir mes commentaires de l’article Le stress au travail, une prise de conscience tardive en France), etc.

Tous ces facteurs qui indiquent une grande difficulté à prendre en compte en France le facteur humain dans le facteur économique se retrouvent dans le palmarès des entreprises où il fait bon travailler établi par l’institut Great Place to Work, consultable par année et par pays ici.

Ce classement évolue fortement par année et selon les performances des entreprises. Si les critères de classement peuvent être sujets à caution, le comparatif avec d’autres pays est cependant significatif. Ainsi que le note Thomas Philippon dans son livre Le capitalisme d’héritiers, sur les vingt premières entreprises où les salariés déclarent aimer travailler en France, seulement sept sont françaises en 2004, et cinq en 2005. Aucune n’est dans le top 3. Au Danemark, on trouve onze entreprises danoises dans les vingt premières en 2004 (dont trois entreprises danoises dans le top 3), et en Allemagne dix allemandes (dont une dans le top 3).

Pour illustrer cette situation, voici un document issu d’une étude menée par l’Observatoire International des Salariés de TNS/SOFRES (également cité sur ce blog dans l’article Cultures nationales, culture d’entreprise). Elle porte sur les problématiques du travail dans les principaux pays occidentaux et en Chine sur la période 1997-2007. Le document en question concerne la comparaison entre les salariés français selon qu’ils travaillent pour une entreprise française ou pour la filiale d’une entreprise étrangère implantée en France. Le résultat est sans appel :

C’est donc qu’il y a en France un sérieux problème de management marqué par une hiérarchisation trop rigide, une trop grande personnalisation du pouvoir, une réticence à déléguer l’autorité, un manque de reconnaissance individuelle, une absence de confiance entre managers et subordonnés.

Conséquence : le risque de voir des employés ou anciens employés saboter leur outil de travail par vengeance envers leur propre entreprise est bien plus grand qu’au Danemark ou en Allemagne. Or, ce risque a des conséquences sur la qualité de la relation client (voir l’article Le CRM à la française: un problème culturel?) et sur les relations des salariés entre eux si l’on en croit les résultats d’une enquête sur le plagiat au travail qui montrent que 25% des salariés français avouent  s’approprier fréquemment le travail de leurs collègues contre seulement 9% au niveau mondial, 6% des salariés canadiens et britanniques.

Un dangereux manque de civisme

L’incivisme au travail reste malheureusement en France aussi fréquent que mal appréhendé par les organisations. Or, pour revenir aux incidents IT, cela peut être une réelle menace pour les entreprises. Je conclurai donc par une anecdote que rapporte Guy Gweth dans son excellent blog, Intelligence stratégique et Diplomatie économique.

Il raconte ainsi avoir avec un ami volontairement « égaré » deux clés USB dans une entreprise. Trois quarts d’heure plus tard, revenant dans cette entreprise, ils constatent que ces clés USB ont disparu. Voici la suite :

« Une connexion internet et deux e-mails plus tard, nous savions presque tout du pôle juridique de TUSAURAS SA. L’idée qu’une clé USB tombée du ciel pouvait être introduite dans un ordinateur sans autre forme de procès avait flatté plus d’un salarié, nous ouvrant au passage une artère intelligente au cœur de l’entreprise. »

Cette histoire peut bien évidemment se passer n’importe où dans le monde. Mais la France est bien le seul pays où plus qu’ailleurs les responsables français se disent moins touchés par le vol de données, où plus qu’ailleurs ils ne savent pas s’ils ont subi des incidents de sécurité et où moins qu’ailleurs ils souhaitent maintenir ou augmenter leur budget sécurité en 2010…

Quelques suggestions de lecture:

6 Comments

  1. Pingback: Tweets that mention Sécurité des données en France: facteur humain et facteur culturel | Gestion des Risques Interculturels -- Topsy.com

  2. Bonjour,

    Merci tout d’abord pour l’ensemble de vos articles fournis et documentés.
    Je me permettrai de rajouter une chose néanmoins concernant les relations manager-salarié. Les raisons du malaise me semblent en effet moins évidente qu’un mauvais management ou qu’une défiance vis-à-vis de la hierarchie. Il ressort en effet de nombreuses études concernant le vol en entreprise (http://docs.google.com/fileview?id=0B2bNFlc0_L-hYTcwMzFhMTEtZTY4OS00MTI5LWE2NGYtNWQzNTEzM2M5Yjc3&hl=fr) et la fraude d’une manière générale (http://docs.google.com/fileview?id=0B2bNFlc0_L-hN2EwYzhiYTYtNTllZS00OGE0LThiYzktYTc0OGM1ZDAwMjA2&hl=fr), démontrent que les cadres sont également concernés par ces déviances (employés : 42%, middle management : 42% et top management : 14%contre 26% en 2007).
    Ce n’est donc pas un problème de management qui explique qu’un cadre dirigeant fraude mais plus un délitement général des valeurs.

    Bien cordialement,

    Emmanuel Soreau

  3. Benjamin PELLETIER

    Bonjour Emmanuel,

    Merci pour ce retour de lecture et pour partager ces références intéressantes que je m’empresse d’archiver (et merci également pour l’interview de Bernard Besson sur votre blog que j’avais lu à sa publication). Ceci dit, elles abordent (la première référence notamment) surtout le vol en interne en général, avec une insistance sur le vol de biens matériels. L’élément central de l’article concerne ici moins le vol matériel que le vol ou le sabotage de données immatérielles. Mais il serait en effet naïf de penser que cela ne toucherait pas tous les niveaux hiérarchiques…

    Comme vous le dites à propos des valeurs en crise, il faut en revenir à ce qui est évoqué en dernière partie de l’article sous le titre “Un dangereux manque de civisme”…

    A rapprocher de l’article Des conflits au travail à géométrie variable où j’évoque les résultats d’une étude montrant que les Français sont les champions de la malhonnêteté au bureau.

  4. quels sont les enjeux du sujet pour le management des entreprises aux Etats-Unis, en France ou Internationales ??

  5. Benjamin PELLETIER

    @falbala – Fraude, incivisme et malhonnêteté au bureau concernent au plus point le management. Ils peuvent révéler un malaise, une démotivation, un désengagement des collaborateurs, un manque de reconnaissance de la part des supérieurs, un déficit de confiance entre salariés, une absence de solidarité entre salariés et d’esprit d’équipe, une indifférence aux risques, une culture déficiente de la sécurité, etc. C’est de tout façon le symptôme d’un état critique des organisations et des relations humaines.

  6. Le facteur humain, c’est d’abord la méconnaissance des risques, et les négligences associées. Ainsi les failles sont elles créées en majeure partie par des salariés mal informés. Pour les sensibiliser, il faut
    mobiliser large. Nous avons déployé le “serious game” agent surefire :

    http://www.agentsurefire.fr

    Et nous avons d’excellents résultats quant à la mobilisation des collaborateurs. Mais ce ne sera sûrement pas suffisant… répéter, rabacher, expliquer… Tel es notre rôe!

Leave a Comment

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*