Échos et points de vue

Faits récents et informations utiles

La sécurité de l’information s’améliore malgré les difficultés

Un nombre croissant d’organisations reconnaît que la sécurité de l’information ne se limite pas nécessairement à la simple protection des actifs d’une entreprise.

Le 10^e sondage Global Information Security Survey (GISS)de Ernst & Young, pour lequel on a interrogé près de 1300 cadres dirigeants de plus de 50 pays, montre que l’efficience en matière de technologie de l’information (TI) et de fonctionnement ainsi que l’amélioration de la performance globale de l’entreprise sont maintenant considérées comme des objectifs primordiaux. Les initiatives axées sur la conformité demeurent le principal moteur de la sécurité de l’information, mais près de 45 % des répondants ont classé la réalisation des objectifs de l’entreprise parmi les trois éléments moteurs les plus importants de la sécurité de l’information.

« Ces dix dernières années, nous avons observé une évolution positive du rôle de la sécurité de l’information, dit Paul van Kessel, responsable mondial des services de Ernst & Young portant sur les risques liés à la technologie et à la sécurité. De nombreuses organisations voient maintenant la sécurité de l’information comme un facteur essentiel de la réalisation des objectifs de l’entreprise, et ce rapport plus étroit avec la direction des organisations et les autres parties prenantes clés produit des améliorations significatives de la performance. Cet alignement a un effet positif sur le résultat net, et la sécurité de l’information cesse d’être une fonction axée sur le déploiement de la technologie pour devenir un impératif stratégique. »

De nombreux services de sécurité de l’information travaillent activement à établir un équilibre entre leur fonction traditionnelle, qui consiste à gérer les risques, et l’importance accrue accordée à l’amélioration de la performance; cette lutte est exacerbée lorsque la sécurité de l’information n’est pas étroitement liée à la haute direction et à la prise de décisions stratégiques. Et selon le sondage de Ernst & Young, la rareté des ressources expérimentées est une autre difficulté non négligeable.

« Le sondage confirme également que les organisations ont toujours de la difficulté à trouver des personnes compétentes, capables de donner forme aux projets axés sur la sécurité de l’information, ajoute Ed Napoleon, responsable mondial de l’élaboration de solutions en matière de sécurité de l’information. Ce problème n’est pas près de disparaître et il faut que les dirigeants cherchent d’autres solutions de dotation en personnel. Ils doivent ainsi se tourner vers d’autres services de l’organisation, comme la vérification interne, pour combler leurs besoins en personnel et recourir à des tiers de la façon la plus rentable et la plus productive possible. »

Le sondage a aussi révélé que la sécurité de l’information est maintenant mieux intégrée à la gestion globale des risques, 82 % des répondants faisant état d’au moins certains niveaux d’intégration.

Plus de deux tiers (69 %) des personnes sondées considèrent maintenant que la sécurité de l’information améliore l’efficience de la TI et du fonctionnement. Ce résultat tranche considérablement avec les résultats des années précédentes, alors que la sécurité de l’information était vue comme un obstacle.

La conformité est toujours le moteur principal de l’amélioration de la sécurité de l’information et un important facteur de son intégration à la gestion des risques. Pour une troisième année consécutive, les répondants (64 % en 2007) ont indiqué que la sécurité de l’information visait la conformité, d’abord et avant tout. Et selon 82 % des personnes interrogées, la sécurité de l’information s’est améliorée en raison de son rôle dans les initiatives portant sur la conformité.

La protection des renseignements personnels et des données est aussi un élément moteur qui prend de plus en plus d’importance. La médiatisation des vols d’identité et des pertes de renseignements personnels ont sensibilisé les consommateurs et, par ricochet, amené les dirigeants à se sentir responsables de la protection des données. La protection de l’information personnelle et des données comptent parmi les trois principaux moteurs pour plus de 58 % des répondants (contre 41 % en 2006).

Le plus grand obstacle à la mise en œuvre des projets sur la sécurité de l’information réside dans la pénurie de personnel expérimenté et bien formé. Plus de la moitié des répondants ont mentionné qu’avec l’importance accrue de la sécurité de l’information, ils se heurtent à la difficulté de trouver des ressources expérimentées et compétentes, capables de mettre les projets en oeuvre. En conséquence, plus de 60 % des répondants externalisent certains éléments de la sécurité de l’information.

Pour prendre connaissance du rapport, visitez le site www.ey.com.

Les conditions météorologiques exceptionnelles affectent les petites entreprises

Les résultats préliminaires d’un sondage mené à l’échelle mondiale par l’organisme World Chambers of Commerce World Network Consortium (WCN), établi à Paris, semblent indiquer que les bouleversements météorologiques affectent considé-rablement le résultat net des PME.

Le rapport The Impact of Unusual Weather Events on Small and Mid-sized Enterprises présente les résultats d’un sondage aux fins duquel on a demandé à des PME quelle incidence les événements environnementaux inhabituels ont eu sur leurs activités, selon leur expérience des vingt dernières années.

Roslyn Kunin, Ph.D., agrégée supérieure de recherche et membre du conseil du bureau de Vancouver de Canada West Foundation, le partenaire canadien de WCN, précise qu’il n’est pas directement question de notions comme le réchauffement climatique, mais plutôt de conditions locales qui font partie du système climatique mondial. On s’intéresse ainsi au coût imputable aux conditions climatiques exceptionnelles.

Près de 48 % des répondants ont indiqué que les événements environnementaux inhabituels survenus dans leur région ont affecté leurs activités, et 63 % de ce groupe (soit 30 % de l’ensemble des répondants) ont fait état de plus d’un événement environnemental inhabituel. Les deux conditions les plus souvent citées étaient les vents et les inondations. Près de 72 % des répondants (même ceux qui n’ont pas mentionné une incidence directe des conditions climatiques exceptionnelles sur leurs activités) ont précisé que des événements inhabituels avaient entraîné une hausse de leurs coûts, notamment des coûts de l’énergie, des assurances et même, dans certains cas, l’imposition de taxes « relatives à des changements environnementaux ». Il ressort clairement du sondage que même les changements environnementaux qui surviennent ailleurs affectent les coûts d’exploitation des entreprises, notamment les coûts de l’essence ou de l’électricité.

Les inondations présentent un problème majeur. De nombreux répondants ont mentionné qu’elles ont nui à leurs activités, directement ou indirectement, en interrompant l’approvisionnement ou le transport. Le Royaume-Uni, l’Allemagne, le centre des États-Unis et certains pays d’Afrique ont fait état de graves inondations qui ont souvent eu des résultats dévastateurs.

En comparaison avec la moyenne internationale, les répondants canadiens ont rapporté un nombre légèrement inférieur de « conditions climatiques exceptionnelles », soit 43 % contre 48 %.

Selon Roslyn Kunin, la section des commentaires remplie par les Canadiens était très révélatrice. « Des tempêtes d’une intensité inhabituelle ont frappé la côte ouest du Canada à de multiples reprises au cours de l’hiver 2006/2007, interrompant dans certains cas l’électricité et le transport pour de longues périodes. Ces tempêtes ont occasionné des coûts divers pour les entreprises, y compris pour le secteur du tourisme où des entreprises ont dû remplacer des quantités importantes d’aliments congelés perdus, et où certaines n’ont pu fonctionner de façon optimale pendant la traditionnelle période de Noël (génératrice de revenus importants) ».

Les résultats seront mis à jour en avril 2008.

Pour en savoir davantage, communiquez avec Roslyn Kunin, à l’adresse kunin@cwf.ca.

Fusion de Deloitte & Touche avec Mintz & Partners

Les cabinets de services comptables et professionnels Deloitte & Touche, SENCRL, et Mintz & Partners ont convenu d’unir leurs forces.

Mintz & Partners est depuis longtemps reconnu pour son engagement envers le perfectionnement du personnel. « Fort d’une expérience de près de soixante ans et d’une solide culture d’entrepreneuriat, Mintz & Partners a en place des pratiques et des valeurs d’affaires qui complètent bien les nôtres », explique Alan MacGibbon, associé directeur général et chef de la direction de Deloitte.

« Nous sommes très enthousiastes à l’idée de nous joindre à Deloitte », déclare Bryan A. Tannenbaum, associé directeur. Nous avons initialement été attirés par Deloitte parce que nous partageons les mêmes valeurs, en particulier lorsqu’il s’agit d’attirer et de perfectionner des professionnels de talent.  De plus, nous avons toujours été impressionnés par la vigueur de Deloitte à Toronto, au Canada et dans le monde, en particulier par sa détermination à servir les sociétés privées entrepreneuriales et les sociétés ouvertes en croissance rapide. »

Une équipe de 150 personnes, dont 18 associés provenant de Mintz & Partners, se joindra à la pratique des Services aux sociétés privées du Grand Toronto de Deloitte. Cette fusion permettra à Deloitte d’améliorer ses services aux sociétés entrepreneuriales de Toronto et d’accélérer sa stratégie d’expansion sur ce marché.

Les conseils d’administration et la gestion des risques de l’entreprise

Selon un rapport du Conference Board, de plus en plus de conseils d’administration demandent la mise en place d’un programme de gestion des risques de l’entreprise mais, malgré les progrès, cette gestion des risques n’est pas encore intégrée aux activités courantes de la plupart des entreprises. Le rapport parrainé par Oliver Wyman, un important cabinet de services-conseils en gestion d’envergure mondiale, est le résultat d’un sondage effectué auprès des directeurs financiers, du risque et de la vérification de 200 sociétés provenant de divers secteurs, dont les secteurs de la fabrication, des services financiers, des soins de santé, de l’énergie et des services publics, du gros et du détail, des communications, des transports et de l’entreposage ainsi que des services professionnels et des services-conseil en gestion.

Pour 55 % des participants au sondage, le conseil d’administration est le principal catalyseur de leur programme de gestion des risques de l’entreprise, une hausse par rapport à 49 % il y a deux ans. Pourtant, la gestion des risques de l’entreprise, une méthode stratégique de compréhension et de gestion des risques, n’est pas encore intégrée à la culture des entreprises. Les progrès observés concernent principalement les premières étapes de la gestion des risques, comme le processus d’identification et d’évaluation des risques. En fait, il semble que la plupart des entreprises ne voient pas encore les avantages d’une gestion de l’ensemble du profil et du portefeuille de risques.

Parmi les autres constatations importantes, on note des différences considérables dans l’état d’avancement des programmes de gestion des risques selon les secteurs : les secteurs des services financiers, de l’énergie et des services publics ont une longueur d’avance sur les autres secteurs. Cependant, on observe depuis quelques années une évolution rapide dans le domaine des soins de santé.

À l’extérieur de l’Amérique du Nord, les sociétés sont plus nombreuses à avoir mis plus rapidement en place des processus, qui sont déjà opérationnels.

Il faut généralement de trois à cinq ans pour mettre en œuvre un programme de gestion des risques, et les entreprises doivent remettre plusieurs fois leur cadre de gestion des risques sur le métier avant de trouver celui qui leur convient.

Parmi les participants exerçant des fonctions fondamentales (directeurs juridiques, directeurs financiers, directeurs généraux), on semble s’entendre de façon générale sur l’importance de la gestion des risques; près d’un tiers des participants de chacun de ces groupes considère que la gestion des risques est primordiale.

« Une fois en place et adoptée dans l’ensemble de l’entreprise, la gestion des risques devient partie intégrante des activités, explique Ellen Hexter, l’auteure du rapport. Il faut surtout faire prendre conscience de l’équilibre entre les risques et les avantages, susciter une réflexion sur le risque et favoriser une gestion appropriée des risques au sein de l’ensemble de l’entreprise. »

Haut