Les enjeux :
Une fois que l’information a été validée, elle doit être mise à la disposition de ceux qui en ont besoin dans l’entreprise avec un souci de sécurisation.
Dans la mesure où l’acquisition d’informations a un coût (temps passé pour la collecter notamment), que ces informations ont une valeur (maintien d’un avantage concurrentiel, possibilité de gains de parts de marché…), la diffusion au sein de l’entreprise ne doit pas être toujours réservée à quelques « heureux élus», mais elle ne doit pas non plus être réalisée « tous azimuts ».
Pour que chacun puisse toujours avoir accès aux informations nécessaires et utiles pour ses activités, l’information doit être partagée, comprise et facilement accessible.
Classification de l’information en fonction de son degré de sensibilité
La classification des informations (documents, application métier, messagerie, information non formalisée…) qui seront diffusées dans l’entreprise est nécessaire :
- Elle permet d’éviter que des informations sensibles, confidentielles soient diffusées volontairement ou non à l’extérieur de l’entreprise ce qui pourrait porter préjudice à son activité ;
- Elle permet à l’inverse de ne pas restreindre inutilement l’accès à des informations qui sont ou pourraient être utiles aux collaborateurs dans le cadre de leur travail. La sécurité de l’information est nécessaire, mais il ne faut pas non plus la surprotéger au risque de nuire à l’efficacité de l’activité de l’entreprise.
Classifier les informations revient à affecter un degré de sensibilité aux informations. On peut s’appuyer sur des questions simples pour mesurer la sensibilité de telle ou telle information : « cette information, sur mon activité, sur mes projets ou sur mon environnement concurrentiel, est-elle déjà connue de manière générale ou doit-elle rester exclusive » ? « Si mon concurrent prend connaissance aujourd’hui ou demain de telle information, cela me sera-t-il préjudiciable (perte de part de marché par exemple) » ?
Généralement, on classifie la sensibilité des informations internes selon trois niveaux :
- L’information est générale, ouverte à l’ensemble du personnel, et en cas de divulgation en dehors
de l’entreprise les conséquences sont nulles ou minimes : il s’agit de la majorité des
informations (décision interne de procéder au recyclage du papier ou de limiter la cylindrée des
automobiles de fonction) ; - L’information est restreinte car sa divulgation peut nuire de façon importante à l’entreprise : la
divulgation d’informations concernant les clients par exemple peut se traduire par une perte de
confiance de ces derniers et ainsi à terme par des pertes de part de marché au profit de
concurrents… ; - L’information est strictement confidentielle car sa divulgation porterait lourdement préjudice à l’entreprise (secrets de fabrication, stratégie de l’entreprise…) : pertes financières élevées, graves atteintes à la notoriété / image de marque de l’entreprise …
Une même information peut être requalifiée au cours du temps : ainsi une information strictement confidentielle
(mise au point d’un nouveau procédé, d’une nouvelle technologie) pourra quelques mois plus tard devenir
ouverte (après la réalisation de toutes les démarches nécessaires à sa protection par un brevet par exemple).
Identification des personnes qui doivent avoir accès à l’information
Pour permettre à son entreprise de fonctionner efficacement (pas de divulgations d’informations sensibles, faire
disposer ses collaborateurs des « bonnes informations au bon moment »), le chef d’entreprise doit identifier les
personnes qui doivent avoir accès aux différentes informations afin de les valoriser au mieux.
En effet, l’accès aux différents types d’information doit être défini car elle peut nuire à l’activité de l’entreprise :
- Surprotéger des informations en les sur-qualifiant de sensibles et ne les divulguer qu’à quelques
privilégiés risque de créer un climat de méfiance et peut nuire à l’activité de l’entreprise puisque
l’information ne sera pas accessible au collaborateur qui en aura besoin et qui saura la valoriser ; - De même permettre et encourager un accès large à toutes les informations peut également nuire à l’activité de l’entreprise : outre les risques de fuite d’informations sensibles, la mise à disposition à
l’ensemble du personnel d’informations trop nombreuses, inutiles pour leur activité, n’est pas un
gage d’efficacité.
Les différents canaux de transmission de l’information peuvent permettre au chef d’entreprise de diffuser vers des
personnes identifiées : listes de destinataires prédéfinies dans la messagerie, niveau d’accès informatique restrictif
ou non donné aux collaborateurs…
Définir les supports de diffusion de l’information
Les supports sont nombreux et offrent un niveau de partage et de circulation de l’information plus ou moins large :
- Les réunions : il convient de définir précisément qui peut et doit y participer, préparer les
documents qui y seront diffusés et en préciser le statut (par exemple : peuvent ils circuler au-delà
des seuls participants ? Si oui à destination de qui ?). Lorsque la taille de l’entreprise le permet, la
tenue régulière de réunions d’information internes permet une bonne circulation de l’information et
l’échange d’idées de haut en bas, de bas en haut et également entre les différents services. - Les comptes-rendus de visites, rapports de mission : les destinataires, le degré de confidentialité les modalités de stockage (Où les stocker? Comment : formats papier, numérique ?…), les
conditions d’accès aux informations (Qui peut y accéder ?) mais également les conditions de leurs
exploitations devront être définis. - Les lettres d’information régulières (newsletter) et les journaux internes : la politique éditoriale
doit être définie préalablement et préciser notamment ce que l’on peut écrire (il convient de
prendre en compte la facilité de retransmission qui est associée à ce type de support lorsqu’il est
réalisé sous format électronique), qui sont les destinataires, quelle périodicité… - La messagerie électronique internet est un support de diffusion de l’information très utilisé qui
présente plusieurs avantages : simplicité d’utilisation, ciblage aisé des destinataires… L’utilisation
de ce support doit toutefois s’effectuer dans un cadre sécurisé : utilisation des logiciels et matériels
de sécurité (antivirus, anti-spyware, pare-feu, anti-spam…) pour les serveurs et postes
informatiques (avec une mise à jour automatique et régulière) et sécurisation des échanges par le
chiffrement des données les plus sensibles. Des règles d’usage sont également à prévoir :
n’envoyer le courrier électronique qu’aux personnes concernées, le titre du message doit être bref et
clair… - L’intranet est un outil qui permet de diffuser et de partager de l’information au sein de
l’entreprise : mise à disposition du personnel de tout type de documents, accès centralisé
d’informations parfois dispersées dans différents services de l’entreprise (capitalisation des
connaissances et mémoire de l’entreprise), possibilité de mise en place de forums… Comme pour
la messagerie, ce support doit être utilisé dans un cadre sécurisé et l’information mise à disposition
doit être encadrée (structuration autour de rubriques et espaces clairement définis, mise à
disposition d’informations utiles…).
Si les supports de communication de l’information sont nombreux et souvent simples d’utilisation, la circulation et le partage de l’information ne se feront pas sans une réelle implication de la direction de l’entreprise (développer la
culture du « feed back », création d’occasions pour échanger…). Au-delà du contenant, les informations doivent
demeurer simples, claires, compréhensibles et facilement comprises par le personnel pour être efficaces.