Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

PwC : Près de 67% des dirigeants et responsables informatique français considèrent que leur entreprise manque d’une stratégie efficace pour protéger les données clients

avril 2018 par PwC

Dans la société où les données jouent un rôle central, confidentialité, sécurité et fiabilité sont des notions plus vitales et interdépendantes que jamais. Or, les entreprises françaises accusent un léger retard pour préserver la confidentialité des données à l’aube de l’entrée en vigueur du GDPR (Règlement Général européen sur la Protection des Données personnelles).

C’est ce que révèle l’étude du cabinet de conseil et d’audit PwC : « The Global State of Information Security® Survey 2018 », réalisée en collaboration avec les magazines CIO et CSO. Parmi les enseignements clés de l’étude réalisée auprès de 9 500 dirigeants et responsables informatiques de 122 pays :
• Seuls 44% des dirigeants et responsables informatiques français disposent d’un inventaire précis des données personnelles recueillies sur leurs employés et leurs clients,
• Près de 43% d’entre eux soumettent leurs partenaires chargés des données clients et employés à des audits de conformité,
• 44% affirment que les techniques d’authentification avancées contribuent à réduire la fraude et 50% prévoient de renforcer leur investissement dans ce domaine en 2018,
• Seuls 28% déclarent que le conseil d’administration est directement impliqué dans l’évaluation des risques actuels pour la sécurité et la confidentialité,
• Près de 28% des entreprises françaises affirment avoir mené les démarches de mise en conformité au GDPR (Règlement Général européen sur la Protection des Données) en 2017,
• 67% des dirigeants et responsables informatiques français considèrent que leur entreprise manque d’une stratégie efficace pour protéger les données clients.

La confidentialité des données, un prérequis encore non satisfait

Les dirigeants et responsables informatiques interrogés sont conscients des enjeux toujours plus élevés liés à la cyber-insécurité. Dans le 21e baromètre PwC sur l’opinion des dirigeants, les cyber-menaces figurent, pour la troisième année consécutive, parmi les cinq principales menaces pesant sur la croissance : 40 % des CEO se disent extrêmement préoccupés cette année, alors qu’ils n’étaient que 25 % un an plus tôt.

Les dirigeants et responsables informatiques français sont conscients des manquements mais peinent à prendre des mesures correctives. En effet, moins de la moitié des dirigeants et responsables informatiques français (40%) affirment que leur organisation restreint la collecte, la conservation et l’accès aux données personnelles au strict minimum nécessaire pour accomplir la mission initialement prévue. Seuls 43% d’entre eux disposent d’un inventaire précis des endroits où les données personnelles de leurs employés et de leurs clients sont collectées, transmises et stockées. Paradoxalement, ils ne sont que 40% à exiger de leurs collaborateurs qu’ils suivent une formation sur les principes et les pratiques en matière de confidentialité.

Quant aux parties tierces appelées à manier les données personnelles des clients et des employés, moins d’un responsable sur deux (42,7%) affirme que son organisation procède à des audits de conformité pour veiller à la protection de ce type d’information. Ils ne sont pas plus nombreux (41,9%) à dire que leur organisation exige de leurs partenaires qu’ils adhèrent à la politique de l’entreprise en matière de confidentialité.

« L’utilisation innovante des données ouvre la porte à de nouvelles opportunités, mais aussi à de nouveaux risques. Or les entreprises ne sont pas assez nombreuses à intégrer la gestion du cyber-risque et de la confidentialité dans leur transformation numérique. Comprendre les risques les plus élémentaires, notamment l’absence de traçabilité pour les activités de collecte et de sauvegarde des données, est un point de départ pour le développement d’un cadre de gouvernance sur l’utilisation de ces dernières », analyse Jean-David Benassouli, associé responsable de l’activité Data & Analytics chez PwC France et Afrique francophone.

Seuls 28% des dirigeants et responsables informatiques français déclarent que le conseil d’administration est directement impliqué dans l’évaluation des risques actuels pour la sécurité et la confidentialité.

«  Les organisations de toutes tailles doivent intensifier l’engagement de leur conseil d’administration dans le suivi de la gestion du risque informatique. Sans une solide compréhension de ce risque, le conseil n’est pas réellement en position d’exercer ses responsabilités de surveillance des questions de protection et de confidentialité des données  », constate Jean-David Benassouli, associé responsable de l’activité Data & Analytics chez PwC France et Afrique francophone

Les technologies d’authentification au profit de la confiance

Certains chiffres prêtent à l’optimisme : 87 % des dirigeants dans le monde affirment ainsi investir dans la cybersécurité pour renforcer la confiance de leurs clients. Ils sont presque aussi nombreux (81 %) à déclarer œuvrer pour plus de transparence dans l’utilisation et le stockage des données. Cependant, moins de la moitié disent prendre ces mesures «  à grande échelle  » afin de répondre à ce défi.

« Aujourd’hui, la cybersécurité est un sujet central pour les entreprises et les institutions du monde entier. Cette prise de conscience généralisée est néanmoins freinée par une pénurie de compétences qui complique la tâche des dirigeants et responsables informatiques. Des investissements tant sur le plan des ressources humaines que des technologies sont encore largement nécessaires », témoigne Philippe Trouchaud associé responsable du département cybersécurité de PwC.

Dans un climat de défiance des consommateurs envers les entreprises, les experts de PwC prévoient que les améliorations émergentes dans les technologies d’authentification, notamment la biométrie et le chiffrement, vont progressivement aider les dirigeants d’entreprise à rétablir la confiance.

Près de la moitié des répondants français (45%) affirment que l’utilisation des techniques d’authentification avancée a amélioré la confiance de leurs clients et de leurs partenaires commerciaux, envers les capacités de leur entreprise en termes de sécurité informatique et de confidentialité. De même, 44% affirment que ces techniques ont permis de réduire la fraude et 41% disent qu’elles ont amélioré l’expérience client. Enfin, près de 38% prévoient d’intensifier leur investissement en biométrie et techniques d’authentification avancée au cours de l’année.

L’utilisation de données biométriques entraîne toutefois l’application de règles spécifiques en matière de confidentialité ainsi que des préoccupations de la part des consommateurs concernant leur suivi. De leur côté, les techniques d’authentification qui reposent sur une question personnelle (comme demander à un utilisateur le nom de jeune fille de sa mère), exposent les entreprises à une certaine vulnérabilité, en cas de fuite des informations lors d’une attaque isolée par exemple.

Le GDPR et la Directive NIS représentent des opportunités à saisir

En mai 2018, le GDPR (Règlement Général européen sur la Protection des Données), entrera en vigueur obligeant ainsi toutes les structures privées ou publiques qui collectent et traitent les données de citoyens européens, à communiquer les éventuelles violations de la confidentialité de ces données. En 2017, près de 28% des entreprises françaises affirmaient avoir complété les démarches de mise en conformité au Règlement et 35% avoir commencé à se préparer à son entrée en vigueur.

La Directive européenne sur la sécurité des réseaux et des systèmes d’information (Directive NIS), qui vise à booster la cyber-résilience, entrera elle aussi en vigueur en mai 2018. Les entreprises considérées par les États membres comme opérateurs de services essentiels (infrastructures critiques) ainsi que les fournisseurs de services numériques (moteurs de recherche, services de cloud computing et places de marchés en ligne) sont soumis à de nouvelles obligations en matière de sécurité et de signalement des incidents. Le GDPR et la Directive NIS sont assorties de sanctions importantes en cas de non-respect de leurs dispositions.

«  Les dirigeants et responsables informatiques français mais aussi mondiaux devraient considérer le GDPR et la Directive NIS non pas uniquement comme des exercices de mise en conformité, mais aussi comme des opportunités stratégiques pour aligner leur activité et prospérer dans un monde de plus en plus « Data Driven » », conclut Jean-David Benassouli, associé responsable de l’activité Data & Analytics chez PwC France et Afrique francophone


Méthodologie de l’étude
L’étude « Global State of Information Security® Survey 2018 » est une enquête mondiale de PwC et les magazines CIO et CSO, réalisée en ligne du 24 avril au 26 mai 2017. Les résultats présentés ici se basent sur les réponses de 9500 CEO, CFO, CIO, RSSI, OSC, vice-présidents et directeurs de l’information et des pratiques de sécurité de 122 pays. 38% des répondants sont issus d’Amérique du Nord, 29% d’Europe, 18% d’Asie-Pacifique, 14% d’Amérique du Sud, et 1% du Moyen-Orient et d’Afrique. La marge d’erreur est inférieure à 1%.




Voir les articles précédents

    

Voir les articles suivants