Une étude de Redscan indique que les organisations britanniques mettent plusieurs semaines à signaler des fuites de données à caractères personnelles à l’ICO. Principales raisons : un manque de compétences en interne et de solutions capables de détecter les intrusions ou les fuites malveillantes.
Pour les besoins de cette enquête, Redscan (une société spécialisée dans la détection des menaces) a analysé 182 rapports d'atteintes à la protection des données triés par l'ICO. Précisons qu’il s’agit de rapports fournis au plus tard en avril 2018, soit un mois avant que le RGPD ne devienne exécutoire (25 mai 2018).
Cette enquête Freedom of Information (FOI) constate que les entreprises anglaises retardent régulièrement la divulgation des atteintes à la protection des données. Elles omettent de fournir des détails importants à l'ICO.
L’Information Commissioner's Office est un organisme public indépendant britannique créé pour promouvoir l’accès aux informations officielles et protéger les données personnelles.
En moyenne, les entreprises attendent trois semaines après la découverte d'une infraction pour la signaler. L'organisation la plus lente a mis 142 jours ! Par ailleurs, la majorité (91 %) des rapports présentés à l'ICO n'incluaient pas de renseignements importants sur l’impact de la fuite de données et sur l’attaque en elle-même.
Cette enquête Freedom of Information (FOI) relève différents constats :
- En moyenne, il fallait 60 jours aux entreprises pour identifier les victimes d'une atteinte à la protection des données ;
- Après avoir identifié une faille de sécurité, il fallait en moyenne 21 jours aux entreprises pour la signaler à l'ICO ;
- Plus de 9 entreprises sur 10 n'ont pas précisé l'impact sur la vie privée ou ne le connaissaient pas l'impact au moment de la notification ;
- En moyenne, les sociétés de services financiers ont mis 3 jours pour identifier une violation, les cabinets d'avocats 25 jours, tandis que les autres organisations ont mis 138 jours. Ces différences s’expliquent probablement en raison d'une sensibilisation accrue à la réglementation et à la nature des données traitées par certaines entreprises ;
- Près de la moitié des atteintes à la protection des données ont été signalées à l'ICO un jeudi ou un vendredi.
Cette enquête Freedom of Information (FOI) signale aussi que les pirates informatiques s’attaquent aux entreprises principalement pendant le week-end.
"La plupart des entreprises ne disposent pas des compétences, des technologies ou des procédures capables de détecter les infractions lorsqu'elles se produisent et établir un rapport précis. C'était un problème avant le RGPD. C'est encore plus grave maintenant que les exigences en matière de notifications (72 heures, Ndlr) sont plus strictes", constate Redscan.
"Il faut être incroyablement optimiste pour penser que les entreprises sont plus à même de prévenir et de détecter les atteintes à la protection des données depuis l'introduction du RGPD. Malgré la perspective d'une forte amende, beaucoup ont encore du mal à comprendre et à mettre en œuvre les solutions dont elles ont besoin pour se conformer à ce règlement", estime Redscan.