Article publié dans l'édition Automne 2019 de Gestion

Le partage de l’information est gage de performance. Mais quand les données sont confidentielles, leur circulation pose un risque pour les affaires. Un partage sécuritaire des données stratégiques est-il possible ? Recette d’un équilibre délicat.

Partager en interne les informations d’une entreprise a un effet positif sur la productivité de tous les membres du personnel. En effet, cela leur permet de se constituer des savoirs plus facilement, sans que chacun d’eux ait à les découvrir lui-même au fil de l’expérience. Ce gain de temps et d’énergie bénéficie à la performance générale de l’organisation.

Cette pratique a cependant son revers. Tout partage d’information entre parties prenantes suscite un risque de fuite, volontaire ou non. La faille ainsi créée en matière de sécurité peut avoir des conséquences désastreuses : des renseignements confidentiels peuvent se retrouver entre les mains de concurrents, voire dans les filets de cybercriminels, entraînant ainsi des pertes financières considérables.


LIRE AUSSI : « Dossier Condamnés à la cyberfragilité ? - La fraude à l'ère numérique »


Pour qu’une entreprise prospère, elle doit donc trouver le point d’équilibre entre le partage et la protection de ses données. Autrement dit, elle doit créer un environnement propice à l’échange des connaissances organisationnelles tout en le protégeant par des mesures de sécurité appropriées.

Une question de valeurs

Si le principe est facile à comprendre, sa mise en pratique donne du fil à retordre aux gestionnaires d’entreprise. Certains chercheurs et praticiens préconisent ainsi l’avenue de la culture organisationnelle : utiliser la culture et, plus spécifiquement, les valeurs organisationnelles de l’entreprise pour influencer le comportement du personnel.

Ainsi, un environnement idéal – donc sécuritaire – de partage des connaissances au travail repose à la fois sur certaines valeurs qui ont trait au partage de la connaissance lui-même (valeurs du partage organisationnel) et sur d’autres valeurs plus universelles (valeurs essentielles) qui représentent des conditions essentielles préalables aux premières.

La recherche de cet environnement idéal contribue à l’atteinte d’un point d’équilibre organisationnel entre les exigences de sécurité et de performance.

Les deux valeurs du partage organisationnel

La collaboration

Il s’agit de favoriser, à l’interne, les interactions entre les employés afin qu’ils puissent s’échanger les connaissances qu’ils ont acquises. Cela peut se faire lors de réunions d’équipe ou au moyen de répertoires de type SharePoint.

Ces outils de gestion documentaire en ligne (sur un intranet, par exemple) permettent de consulter des documents ayant trait à la gestion des projets ou aux clients de la firme. Pour être bénéfique, la collaboration doit se faire à tous les niveaux hiérarchiques : entre les employés, entre les employés et les responsables de la sécurité informatique ainsi qu’entre ceux-ci et les dirigeants.

Pour atteindre le point d’équilibre recherché, les accès aux connaissances en ligne doivent être à la fois sécurisés et d’usage assez simple. Par exemple, si un protocole d’accès aux répertoires SharePoint est trop lourd, la recherche d’informations peut en venir à rebuter bien des employés, qui n’ont alors d’autre choix que de réinventer la roue de leur côté.

La formation et la sensibilisation des employés

Il s’agit ici de former les équipes à la géographie des connaissances disponibles au sein de l’organisation. Autrement dit, ils doivent savoir qui fait quoi dans l’entreprise. Il est également essentiel que les employés comprennent les dangers potentiels du partage de données. C’est pourquoi ils doivent reconnaître les données à caractère confidentiel, anticiper les risques et prévoir les mesures appropriées : comment ces données pourraient- elles faire l’objet d’une fuite ?

Que doit-on caviarder dans tel ou tel document ? Quelles sont les mesures de protection recommandées par les responsables de la sécurité (cryptage, chiffrement, utilisation d’un réseau privé virtuel) ?

Profitez d'un rabais de 50% sur l'ensemble des abonnements de la Revue Gestion avec le code de réduction CYBER50

Les conditions essentielles1 au partage sécuritaire de l’information

La formation continue

À la fois valeur et condition fondamentale, elle doit être permanente afin que l’entreprise puisse faire face à l’évolution des menaces et des protocoles de sécurité qui en découlent. Les cyberpirates ont toujours une longueur d’avance sur les organisations, qui sont donc constamment sur leurs gardes. À ce titre, la formation doit sans cesse évoluer et suivre une logique d’amélioration continue.

L’attitude positive des employés par rapport au changement

Dans un environnement d’affaires en évolution constante, la résistance au changement est le grand ennemi de la sécurité. Prenons l’exemple des pratiques d’hameçonnage, qui ont beaucoup évolué depuis quelques années et qu’on reconnaît de plus en plus difficilement.

L’organisation doit donc communiquer avec ses employés afin qu’ils comprennent la nécessité de s’adapter à de nouveaux protocoles de sécurité, par exemple en matière de partage d’information par courriel.

Le respect des procédures et des politiques

Les valeurs d’entreprise sont culturelles. Avec le temps, elles influencent l’attitude et les comportements des employés. Ainsi, lorsque des gestionnaires prennent l’habitude de tourner les coins ronds ou de faire fi de certaines procédures établies, ces pratiques non conformes peuvent rapidement être perçues comme étant acceptables par certains employés, qui se sentiront justifiés de les adopter eux aussi.

Une éthique implacable

Si une organisation accorde de l’importance au partage sécuritaire de l’information, elle doit nécessairement se préoccuper de ce qui est éthiquement admissible et de ce qui ne l’est pas. Or, la définition de l’éthique peut varier beaucoup d’une personne à l’autre, et l’attitude des gestionnaires – qui reflète les politiques adoptées par l’organisation – fait souvent figure de référence. Il est donc capital pour une entreprise de définir et de communiquer clairement les principes éthiques qui l’animent.

Un horizon de planification

Le développement de valeurs organisationnelles et la mise en œuvre de mesures de contrôle pour protéger les connaissances requièrent du temps. De plus, une bonne planification permet à l’entreprise d’anticiper les risques à plus long terme. Mais là aussi, bien des choses sont relatives : avec l’évolution constante des risques, les protocoles de sécurité deviennent obsolètes de plus en plus rapidement. À l’inverse, la nécessité d’être constamment sur ses gardes ne peut pas dicter à elle seule la teneur des politiques de sécurité.


LIRE AUSSI : Fraudes financières et dirigeants d'entreprise : les leçons à tirer »


Une organisation doit pouvoir faire face aux urgences tout en prenant le temps d’instaurer des mesures suffisamment complexes pour retenir et protéger ses données. Ces valeurs agissent en synergie. Les appliquer à la carte ou de façon ponctuelle ne permettra pas à l’entreprise de créer un environnement sécuritaire pour la circulation des connaissances organisationnelles. C’est en intégrant la totalité de ces valeurs à la culture d’entreprise que l’équilibre sera atteint… et que le partage d’information au sein de l’organisation pourra se faire sans crainte.

* Article écrit en collaboration avec Perrine Larsimont, journaliste


Note

1 Dulipovici, A., « Organizational Values Fostering Secure Knowledge Sharing », Proceedings of the 18th European Conference on Knowledge Management, Barcelone, 7 et 8 septembre 2017, p. 275-282. Disponibles en ligne, ces comptes rendus ont été publiés par ACPI Limited (Grande-Bretagne).