6.4 L'éthique en matière
d'information
L'une des questions qui me semble intéressante est de
déterminer si l'éthique est l'apanage des organisations de grande
taille, de petite taille ou si le comportement éthique ou non en
matière d'information est partagé entre les différentes
typologies d'entreprises.
La question Q2_1 (tableau 7.26) est croisée avec la
question Q7_1 (tableau 7.72) et la matrice de réponses obtenues est la
suivante :
Question Q2_1
Sur Les questions d'éthique, en
matière
d'information, où vous
situez vous ?
|
Nombre de salariés
|
|
1 à 9
|
1 à 19
|
1 à 49
|
1 à 100
|
1 à 200
|
1 à 500
|
|
%
|
n
|
%
|
n
|
%
|
n
|
%
|
n
|
%
|
n
|
%
|
n
|
%
|
Ce thème ne nous intéresse
pas
|
2
|
4
|
-
|
-
|
4
|
8
|
3
|
6
|
2
|
4
|
1
|
2
|
-
|
-
|
Nous comptons nous y intéresser un jour
|
-
|
-
|
1
|
2
|
3
|
6
|
3
|
6
|
2
|
4
|
-
|
-
|
-
|
-
|
Nous possédons une charte
d'éthique et
contrôlons son
respect
|
1
|
2
|
-
|
-
|
-
|
-
|
-
|
-
|
1
|
2
|
-
|
-
|
1
|
2
|
Nous possédons une charte
d'éthique traitant
des
recherches d'informations
|
-
|
-
|
-
|
-
|
-
|
-
|
-
|
-
|
-
|
-
|
-
|
-
|
-
|
-
|
Un début de réflexion a été
mené
|
-
|
-
|
3
|
6
|
4
|
8
|
2
|
4
|
3
|
6
|
1
|
2
|
-
|
-
|
Une réflexion poussée, mais non formalisée
a été menée
|
1
|
2
|
-
|
-
|
3
|
6
|
-
|
-
|
1
|
2
|
1
|
2
|
2
|
4
|
Totaux colonnes
|
4
|
8%
|
4
|
8%
|
14
|
28%
|
8
|
16%
|
9
|
18%
|
3
|
6%
|
3
|
6%
|
Total général
|
45
|
|
Tableau 7.78
L'éthique en matière d'information est une
thématique pour laquelle 24 % des personnes ayant répondu
n'éprouvent aucun intérêt et ne pensent pas s'y
intéresser un jour. En revanche 18 % des personnes sondées ne s'y
intéressent pas, mais pensent s'y intéresser un jour.
Cela signifie qu'au moment où l'enquête a
été soumise aux différents sondés, 42 % des
personnes ayant répondu ne sont absolument pas sensibilisés
à la problématique en matière d'information. Toutes les
tranches d'entreprises sondées sont dans cette dynamique, à
l'exception des entreprises de 200 à 500 salariés.
En revanche, aucune des entreprises sondées ne dispose
d'une charte d'éthique traitant des recherches d'informations.
Pour toutes les entreprises, un début de
réflexion a été mené (réflexion simple ou
poussée). Cela représente 42 % des entreprises sondées.
Seules 6 % des entreprises disposent d'une charte
d'éthique et la taille des entreprises n'a pas d'importance, puisque
nous retrouvons les plus petites d'entre-elles, les intermédiaires et
les plus grosses PME. La faiblesse du nombre de réponses à cette
question ne permet pas de dire si oui ou non les entreprises de grandes taille
sont plus sensibilisées et respectueuses d'une forme d'éthique en
matière de collecte et de diffusion de l'information.
Quel est le degré d'exposition des entreprises
sondées par rapport à des pratiques illégales de
débauchage de cadres, piratage informatique, vol d'informations
stratégiques, la question Q2_2 nous apporte un
éclairage (tableau 7.27). 20 % des entreprises ont subi au moins une
atteinte grave ou mineure et pour une d'entre-elle, une atteinte avec des
conséquences ayant menacé la vie de l'entreprise. Pour les 80 %
restants il n'y a pas eu d'atteinte à la sécurité des
données de l'entreprise, ni à des vols d'informations
stratégiques ou de débauchage de cadres.
La question Q23 (tableau 7.28) nous
permet d'avancer dans l'analyse en abordant l'aspect de la
sécurité de l'information dans l'entreprise. Pour 32 % des
personnes sondées, il existe dans l'entreprise des mesures importantes
(30 %) ou des mesures très importantes (2 %) de sécurisation de
l'information. En revanche, 68 % déclarent n'avoir de aucune mesure
à quelques mesures.
La corrélation de ces deux questions (tableau 7.79)
nous permettra de savoir si les 80 % de personnes estimant n'avoir subi aucune
pratique illégale, représentent également les 32 % des
personnes ayant un système de protection important ou très
important de l'information dans leur entreprise.
Question Q2_2
Avez-vous déjà été
victime
d'une pratique illégale
(débauchage de
cadres,
piratage informatique,
vol
d'information
stratégique...)
|
Question Q2_3
Existe-t-il des mesures de sécurité de
l'information dans votre entreprise ?
|
|
Très peu
de mesure
|
Peu de
mesure
|
Quelques
mesures
|
Des
mesures
importantes
|
Des
mesures très
importantes
|
|
%
|
n
|
%
|
n
|
%
|
n
|
%
|
n
|
%
|
n
|
%
|
Jamais
|
2
|
3,50
|
3
|
5,30
|
1
|
1,75
|
3
|
5,30
|
5
|
8,85
|
-
|
-
|
Pas à ma connaissance
|
2
|
3,50
|
1
|
1,75
|
4
|
7
|
11
|
19,30
|
10
|
17,50
|
1
|
1,75
|
Seulement des tentatives ratées
|
-
|
-
|
1
|
1,75
|
-
|
-
|
1
|
1,75
|
1
|
1,75
|
-
|
-
|
Au moins une atteinte
mineure
|
-
|
-
|
1
|
1,75
|
-
|
-
|
4
|
7
|
-
|
-
|
-
|
-
|
Au moins une atteinte
grave
|
-
|
-
|
4
|
7
|
-
|
-
|
-
|
-
|
1
|
1,75
|
-
|
-
|
Au moins une atteinte
avec des
conséquences
menaçant la vie de
l'entreprise
|
-
|
-
|
-
|
-
|
1
|
1,75
|
-
|
-
|
-
|
-
|
-
|
-
|
Totaux colonnes
|
4
|
7 %
|
10
|
17,55%
|
6
|
10,5 %
|
19
|
33,35 %
|
17
|
29,85 %
|
1
|
1,75 %
|
Total général
|
57
|
|
Tableau 7.79
L'analyse croisée des données nous permet de
mieux comprendre les réponses recueillies. En l'espèce, les
personnes déclarant ne jamais avoir été victimes d'une
pratique illégale (25 % des réponses) dispose de mesures de
protection importantes, pour 8,85 % d'entre-elles et ne disposent d'aucune
mesure à quelques mesures pour 15,85 % d'entre-elles.
Les personnes se situant sur la réponse « pas
à ma connaissance » ne disposent d'aucune mesure à quelques
mesures pour 31,55 % d'entre-elles. 19,25 % des personnes ayant apporté
cette même réponse disposent de mesures importantes à
très importantes. Pour mémoire, les répondants de cette
catégorie représentent 51 % du total.
Le regroupement de ces deux catégories de
réponses qui affirment n'avoir « jamais » et «
pas
à ma connaissance » avoir été victime d'une
pratique illégale, dont le total cumulé représente
76
%, disposent à 28,10 % de mesures de protection jugées
importantes à très importantes
alors que 47,40 % des répondants affirment ne disposer
d'aucune mesure de protection à quelques mesures de protection.
La distorsion existante dans le croisement de ces
informations indique que les entreprises concernées n'ont pas conscience
d'avoir été exposées à une menace interne ou
externe oübien que le manque de mesures de protection n'a pas
permis de déceler une mise en danger du système d'information de
l'entreprise.
Le croisement des réponses aux questions Q2_4
(l'information commerciale de votre entreprise est :) avec la
question Q2_5 (quel est le niveau de contrôle sur la
diffusion de l'information commerciale à l'intérieur de votre
entreprise) apporte une lecture du niveau de contrôle et sur la
protection de la diffusion de l'information commerciale à
l'intérieur de l'entreprise.
Question Q2_4
L'information commerciale
de votre entreprise est
|
Question Q2_5
Quel est le niveau de contrôle sur la diffusion de
l'information commerciale à l'intérieur de
votre
entreprise.
|
|
Très peu
contrôlée
|
Peu
contrôlée
|
Moyenmt
contrôlée
|
Très
contrôlée
|
Diffusée
uniquement
aux pers.
habilitées
|
|
%
|
n
|
%
|
n
|
%
|
n
|
%
|
n
|
%
|
n
|
%
|
Sans protection
|
2
|
3,50
|
1
5
|
1,75
|
-
2
|
-
|
-
1
|
-
|
-
|
-
|
-
-
|
-
|
Très peu protégée
|
-
|
-
|
|
|
|
-
|
-
|
|
Peu protégée
|
3
|
5,30
|
3
|
5,30
|
7
5
|
12,30
|
2
8
|
3,50
|
-
|
-
|
-
|
-
|
Moyennement protégée
|
1
|
1,75
|
4
|
7,00
|
|
|
2
|
3,50
|
-
|
-
|
Très protégée
|
-
|
-
|
-
|
-
|
-
|
-
|
1
1
13
|
1,75
|
3
1
|
5,30
|
1
4
|
1,75
|
Accessible uniquement
par les
personnels
habilités
|
-
|
-
|
-
|
-
|
-
|
-
|
|
|
|
Totaux colonne
|
6
|
10,55
|
13
|
22,85
|
14
|
24,60
|
|
6
|
10,55
|
5
|
8,75
|
Total général
|
57
|
|
Tableau 7.80
Le zone située entre les deux segments de droite
parallèle montre une parfaite corrélation entre les
réponses données par les personnes sondées (tableau 7.80).
Les entreprises qui prétendent que l'information commerciale est
très protégée à accessible uniquement par les
personnels habilités, confirme leur affirmation par le niveau de
contrôle sur la diffusion de l'information commerciale et à
l'inverse, les entreprises qui ne protègent pas leur information
commerciale, ne font aucun contrôle sur la diffusion de celle-ci. Il est
également intéressant de constater que les extrêmes
s'équilibrent et les masses intermédiaires se compensent. Aucun
contrôle pour 10,55 % des personnes sondées et 8,75 %
d'information diffusée uniquement aux personnels habilités. 45,45
% de niveau de protection faible pour 33,30 % de niveau de protection
moyennement à très contrôlée.
Le croisement des réponses aux questions Q2_4
(l'information commerciale de votre entreprise est :) avec la
question Q2_6 (quel est le niveau de contrôle sur la
diffusion de l'information commerciale à l'intérieur de votre
entreprise) apporte une lecture du niveau de contrôle et sur la
protection de la diffusion de l'information commerciale à
l'extérieur de l'entreprise.
Question Q2_4
L'information commerciale
de votre entreprise est
|
Question Q2_6
Quel est le niveau de contrôle sur la diffusion de
l'information commerciale à l'extérieur de
votre
entreprise.
|
|
Très peu
contrôlée
|
Peu
contrôlée
|
Moyenmt
contrôlée
|
Très
contrôlée
|
Diffusée
uniquement
aux pers.
habilitées
|
|
%
|
n
|
%
|
n
|
%
|
n
|
%
|
n
|
%
|
N
|
%
|
Sans protection
|
2
|
3,50
|
-
|
-
|
1
|
1,75
|
-
|
-
|
-
-
|
-
|
-
|
-
|
Très peu protégée
|
2
|
3,50
|
4
|
7,00
|
1
|
1,75
|
-
|
-
|
|
-
|
-
|
Peu protégée
|
2
|
3,50
|
4
|
7,00
|
5
|
8,75
|
3
|
5,30
|
1
|
1,75
|
-
|
-
|
Moyennement protégée
|
1
|
1,75
|
3
|
5,30
|
2
|
3,50
|
9
|
16,00
|
5
|
8,75
|
-
|
-
|
Très protégée
|
-
-
|
-
|
-
|
-
|
-
|
|
-
|
-
|
3
|
5,30
|
2
3
|
3,50
|
Accessible uniquement par les personnels habilités
|
|
-
|
-
|
-
|
|
1
|
1,75
|
2
|
3,50
|
|
Totaux colonne
|
7
|
12,25
|
11
|
19,30
|
9
|
17,55
|
13
|
23,05
|
11
|
19,30
|
5
|
8,80
|
Total général
|
57
|
|
Tableau 7.81
Le croisement des réponses aux questions Q2_4 et Q2_6
démontre la parfaite corrélation entre les réponses
données aux deux questions.
Les entreprises qui prétendent que la diffusion de
l'information commerciale à l'extérieure est « très
contrôlée » à « diffusée uniquement aux
personnes habilitées », ont un niveau de protection de leur
données commerciales très élevée et les entreprises
ne contrôlant pas ou peu la diffusion de l'information ont une politique
de protection de l'information très faible.
Les entreprises qui contrôlent la diffusion de
l'information commerciale représentent 28,10 % alors que les entreprises
qui n'établissent aucun contrôle à peu de contrôle
représentent 49,10 % des réponses.
Les questions Q27 et Q28 sont
axées sur le niveau de contrôle de la diffusion des données
commerciales et sur l'intérêt que représente cette
information pour l'entreprise. Le croisement de ces deux questions permettra de
mettre en évidence si le niveau de contrôle sur la diffusion de
l'information commerciale est en adéquation avec l'intérêt
que l'entreprise porte à son information.
Question Q2_7
Vous avez mis en place des
moyens de contrôle
de
diffusion de l'information
commerciale
|
Question Q2_8
Dans votre entreprise, l'information commerciale
représente
|
|
Peu d'intérêt
|
Un intérêt
moyen
|
Un intérêt
majeur
|
Un intérêt
stratégique
|
|
%
|
n
|
%
|
n
|
%
|
n
|
%
|
n
|
%
|
Aucun moyen de
contrôle
|
3
|
5,50
|
2
|
3,60
|
3
|
5,50
|
3
|
5,50
|
3
|
5,50
|
Très peu de moyens de
contrôle
|
1
|
1,80
|
-
|
-
|
4
|
7,30
|
5
|
9,05
|
1
|
1,80
|
Peu de moyens de
contrôle
|
-
|
-
|
1
|
1,80
|
5
|
9,05
|
3
|
5,50
|
-
|
-
|
Moyens de contrôle
normaux
|
-
|
-
|
1
|
1,80
|
5
|
9,05
|
7
|
12,70
|
3
|
5,50
|
Moyens de contrôle
étendus
|
-
|
-
|
-
|
-
|
-
|
-
|
2
|
3,60
|
-
|
-
|
Toute diffusion de
l'information
est
contrôlée
|
-
|
-
|
-
|
-
|
1
|
1,80
|
1
|
1,80
|
1
|
1,80
|
Totaux colonne
|
4
|
7,30
|
4
|
7,20
|
18
|
32,70
|
21
|
38,15
|
8
|
14,60
|
Total général
|
55
|
|
Tableau 7.82
L'information commerciale, pour 52,75 % des sondés
représente un intérêt majeur à stratégique.
Les moyens de contrôle mis en place concernant la diffusion de cette
information sont renforcés à contrôlés pour 7,20 %
des personnes ayant répondus. Cela signifie que pour plus de la
moitié des responsables d'entreprises ou cadres en charge de la
sécurisation de l'information, moins d'un dixième mettent en
oeuvre les moyens nécessaires pour garantir l'intégrité et
la sécurité de ce qui est considéré comme
très important pour l'entreprise.
Dans ce contexte, le manque de moyens déployés
ne permet pas d'avoir l'assurance raisonnable que l'information commerciale de
l'entreprise est utilisée dans le but de créer de la valeur pour
l'entreprise, mais que sa destination peut-être toute autre.
Le manque de moyens de contrôles peut engendrer pour
l'entreprise une perte de valeur forte ou une absence de création de
valeur (ce qui rendra indétectable la fuite d'information pendant un
laps de temps qui pourra être très long) et de fait,
grèvera plus ou moins fortement la compétitivité de
celle-ci.
Toute catégorie confondue en matière
d'intérêt porté à l'information porté
à l'information commerciale de l'entreprise, 61,9 % des personnes ayant
répondu déclarent n'avoir mis aucun à très peu de
moyens de contrôle sur leur système d'information.
6.4.1 Conclusion de la série de questions sur
l'éthique en matière d'information
Un constat est de rigueur. L'information commerciale est
considérée comme revêtant un intérêt majeur ou
stratégique.
En revanche, la démarche des entreprises
sondées en la matière (à l'exception de 8,75 %
d'entre-elles qui mettent des moyens de contrôle sur la diffusion de
l'information) est totalement inverse à l'intérêt
porté à ce type d'information.
Dès lors, il est raisonnable de penser que si les
mesures de protection ne sont pas en adéquation avec l'enjeu de
protection de l'information commerciale, il semble difficile de prendre les
mesures ou contre-mesures qui protègeront le système
d'information des intrusions externes ou des tentatives de détournement
de l'information en interne.
Un second constat peut être réalisé, sur
l'analyse du tableau 7.79 où 50,80 % des personnes en chargent de la
gestion du système d'information de l'entreprise déclarent
n'avoir pas déjà été, à leur
connaissance, victimes d'une pratique illégale.
Seule la mise en oeuvre d'outils d'analyses, de
sécurisation et de reporting en relation avec le suivi de
l'activité anormale sur les fichiers, bases de données de
l'entreprise, permettrait de déterminer précisément quel
est le degrés d'accès non autorisé à l'information
commerciale de l'entreprise.
|
|
