Le rapport 2020 sur le risque et la sécurité des données de Netwrix montre que les organisations ne disposent pas d’une politique de sécurité capable de renforcer leur pérennité et la conformité. Le constat est accablant pour les entreprises françaises.
En mai prochain, le Règlement général sur la protection des données aura deux ans (rappelons qu’il a été validé en… avril 2016). Le bilan est loin d’être positif. Plusieurs études ont montré que les organisations n’étaient pas en conformité avec le RGPD.
Si Rome ne s’est pas fait en un jour, le RGPD reste souvent au point mort ou presque dans les entreprises. Si beaucoup d’entre elles ont entamé (ou du moins, l’affirment) des processus visant à respecter les grandes lignes de ce texte européen, il y a encore du travail à faire. Car beaucoup sont dans le brouillard.
C’est le constat que l’on peut tirer de la lecture du « 2020 Data Risk & Security Report » de Netwrix, un éditeur de logiciels spécialisé dans la sécurité et la gouvernance des données sensibles.
En octobre 2019, Netwrix a lancé une enquête en ligne auprès des professionnels de l’IT du monde entier pour découvrir comment leur organisation traite les données à chaque étape de leur cycle de vie et pour d'identifier les lacunes en matière de sécurité qui peuvent mettre en danger les données en danger.
Cette enquête comprenait 53 questions à choix multiples qui permettaient également aux répondants de fournir leurs propres réponses. Netwrix a recueilli les points de vue de 1045 répondants.
Premièrement, la majorité des organisations ne disposent pas d'une politique de collecte des données qui soit claire. La majorité (64 %) des personnes interrogées ont déclaré qu'elles ne savaient pas si elles recueillaient et stockaient que la quantité minimale de données sur les clients qui est requise.
Rappelons en effet que le RGPD insiste sur un point : ne conserver que le strict nécessaire à son activité. Or, 77 % des entreprises françaises ne savent pas si elles ne traitent que les informations « utiles » ou obligatoires (d’un point de vue RH notamment)…
La majorité des DSI (71 %) et des RSSI (73 %) interrogés reconnaissent que cette faible visibilité présente un risque en matière de cybersécurité et de conformité.
L'écrasante majorité des organisations (91 %) prétendent qu'elles stockent des données sensibles et réglementées que dans des lieux sécurisés. Une affirmation qui doit être relativisée : un quart d'entre elles a admis avoir découvert, l’an passé, des données en dehors des lieux sécurisés désignés…
Environ la moitié des organisations (54 %) estiment que leurs employés ne partagent pas les données en utilisant des moyens de communication inconnus de l'équipe informatique. Le fameux shadow IT…
Malheureusement, la plupart d'entre eux ne peuvent pas le prouver, car un tiers ne suit pas le partage des données des employés.
C’est un risque plus important en France qu’ailleurs selon Netwrix. 22 % des répondants ont vécu un incident de sécurité dû à un partage non autorisé de données durant les 12 derniers mois. Un tiers (33 %) d'entre eux pensent que les employés de leur organisation partagent des données via des applications dans le cloud qui échappent au contrôle ou aux connaissances des services informatiques.
Or, aucune des organisations françaises n'a de processus automatisé pour suivre le partage des données entre les employés. Investir dans les solutions automatisées de surveillance de l'activité des utilisateurs peut pourtant minimiser le risque d'un partage de données non sécurisé.
Concernant les archives, le constat est préoccupant puisque 74 % des personnes interrogées ont admis qu'elles ne révisaient pas régulièrement les droits d'accès aux données archivées. Un tiers ne le fait jamais !
Au final, cette étude confirme que peu d’entreprises ont mis en place une politique de sécurité qui assure leur pérennité et leur conformité. Seuls 17 % sont capables de mesurer l’efficacité de leurs initiatives en matière de cybersécurité.
Parmi les organisations qui n'ont pas d’indicateurs, seuls 39 % s'attendent à ce que leur budget informatique augmente. Comment dans ce cas mesurer le retour sur investissement… Source : Netwrix