Ceux qui ne seront pas totalement conformes au RGPD s’exposent à des sanctions financières et aux risques d’une compromission et de préjudice pour leur réputation.

Les résultats de l’étude montrent que les professionnels des services IT et d’autres services chargés de la sécurité des données dans les PME et les entreprises manquent d’information au sujet du RGPD, qu’ils ne sont pas prêts et qu’ils n’envisagent pas d’être mieux préparés d’ici la date d’entrée en vigueur.
• Plus de 80% des sondés ignorent tout ou presque du nouveau règlement sur la protection des données. Moins d’une entreprise sur trois se sent déjà prête à se conformer au règlement GDPR.
• Près de 70% ne sont pas prêts ou ignorent si leur entreprise se prépare pour le RGPD, et 3% seulement de ceux-là disent avoir un plan pour tenir l’échéance.
• 44% des sondés en Allemagne se sentent préparés, alors qu’au Benelux (Belgique, Hollande et Luxembourg) ils ne sont que 26%
• Plus de 75% des sondés en dehors de l’Europe disent qu’ils ne sont pas ou ne savent pas s’ils sont prêts pour le RGPD
• Presque toutes les entreprises (97%) n’ont pas de plan en place pour l’arrivée du RGPD en 2018

Les résultats montrent que les entreprises sont conscientes que leur non-conformité au RGPD aura un impact sur la sécurité des données et sur les résultats de leur entreprise, mais elles ne mesurent pas clairement l’étendue du changement à opérer, ni la gravité des sanctions pour non-conformité et leur incidence sur la bonne marche des affaires. Ils sont 79% à ignorer ou simplement affirmer que leur entreprise n’aurait pas été pénalisée par des sanctions pour ses pratiques de confidentialité des données si le RGPD avait dû entrer en vigueur cette année.

• Sur les 21% de sondés à penser que leur entreprise aurait été sanctionnée si le RGPD était déjà en vigueur, 36% ignorent ce que serait la sanction ou estiment que les mesures de correction seraient simples à mettre en œuvre.
• Près de 50% pensent qu’ils seraient contraints à une sanction financière modérée ou à des mesures de correction relativement simples à gérer.
• Plus de 25% s’attendent à beaucoup de changement de leurs actuelles pratiques de sécurité des données et technologies

D’autres conclusions montrent que la plupart des entreprises ne se sentent pas bien préparées à se mettre en conformité dans toutes les disciplines de sécurité couvertes par le RGPD
o Moins de la moitié des sondés estiment être bien préparés pour l’une ou l’autre des disciplines de sécurité couvertes par le RGPD
o 21% seulement estiment être bien préparés pour se conformer aux règles de gouvernance des accès, discipline phare pour la sécurité du RGPD
o Près de 60% des entreprises sondées en Europe ne sont pas prêtes ou ignorent si elles se préparent pour le RGPD. Près de 70% des PME sondées en Europe ne sont pas prêtes ou ignorent si elles se préparent pour le RGPD.
o Plus de 90% des sondés estiment que leurs pratiques en l’état ne sont pas conformes aux nouvelles exigences du RGPD
o Plus de 80% pensent être bien préparées ou en bonne voie avec leurs actuelles technologies de sécurité des e-mails
o Plus de 60% pensent être bien préparées ou en bonne voie avec leurs actuelles technologies de gouvernance des accès
o Plus de 80% pensent être bien préparées ou en bonne voie avec leurs actuelles technologies de gestion des accès
o 65% pensent être bien préparées ou en bonne voie avec leurs technologies de pare-feu de nouvelle génération (NGFW)

De bonnes pratiques existent et permettent de se conformer aux exigences RGPD et d’éviter les conséquences d’un défaut de conformité
Voici quelques recommandations et stratégies à suivre par les entreprises pour les différentes disciplines de sécurité couvertes par le RGPD, de façon à protéger les informations personnelles de leurs clients, et à éviter des compromissions de leurs données, de lourdes sanctions et un préjudice de réputation en cas de non-conformité :

• Recruter un responsable de la protection des données. Pour cette contrainte imposée par le RGPD, il peut s’agir d’un poste à temps plein ou occupé par un salarié ayant d’autres responsabilités ou d’un besoin confié à un prestataire externe. La bonne nouvelle est que la fonction de responsable de la protection des données peut s’exercer sous forme de service, et donc que des intégrateurs système ou des revendeurs pourraient proposer ce service en plus pour développer leur activité.

• Déployer une solide solution de gouvernance des accès. Les règles de gouvernance des accès aux applications qui donnent accès aux données personnelles des citoyens de l’UE (et en particulier aux données non structurées) constituent un facteur important de la sécurité des données et de la conformité au RGPD. La gouvernance suppose généralement un réexamen périodique des droits d’accès des managers des différents services et la délivrance d’une attestation (ou recertification) selon laquelle les autorisations sont adaptées aux rôles et aux fonctions et qu’elles ne compromettent en rien la sécurité des données. La gamme Dell One Identity de solutions de gestion des identités et des accès offre ce degré de visibilité et de contrôle.

• Contrôler la gestion des accès. Pour satisfaire les exigences du RGPD, les salariés et les sous-traitants doivent avoir des droits d’accès appropriés sans pouvoir sortir de leur périmètre. Les bonnes technologies de gestion des identités et des accès qui permettent un tel niveau de contrôle incluent l’authentification multifactorielle, les accès à distance sécurisés, la sécurité adaptative/basée sur le risque, la gestion granulaire des mots de passe et le contrôle total des identifiants des utilisateurs privilégiés et de leur activité.

• Protéger le périmètre. Il convient de déployer des pare-feu de nouvelle génération (NGFW) pour réduire l’exposition du réseau aux cyber menaces, prévenir les risques de fuites de données pouvant donner lieu à des cas de compromission et à de lourdes sanctions selon le barème du RGPD, et pouvoir produire les preuves de sa conformité et appliquer les mesures correctrices appropriées suite à une faille. Les pare-feu de nouvelle génération Dell SonicWALL protègent contre les menaces émergentes et sont équipés de capacités d’inspection en profondeur des paquets (DPI) ; de capacités de chiffrement et déchiffrement en temps réel des sessions SSL ; d’un service de sandboxing plurimoteur et adaptatif ; et du contrôle total et de la visualisation des applications.

• Faciliter les accès mobiles sécurisés. Les données concernées doivent pouvoir circuler en totale sécurité et les salariés doivent pouvoir accéder aux applications et aux données dont ils ont besoin, comme ils l’entendent, via les terminaux de leur choix. Pour optimiser la sécurité des données (tout en levant les obstructions aux accès), combinez composants d’identité, variables liées aux appareils et facteurs temporels (horaire, lieu, etc.) dans une approche adaptative fondée sur le risque qui garantit systématiquement les bonnes conditions d’accès, mais qui améliore aussi la protection des données et la conformité au RGPD.

• Instaurer la sécurité des e-mails. Pour vous conformer au RGPD, sachez contrôler et bénéficier d’une totale visibilité sur l’activité liée aux e-mails afin de prévenir les menaces de phishing et autres attaques par e-mail d’information protégée, tout en préservant l’échange sûr et conforme des données sensibles et confidentielles.

Pour cette étude, réalisée par Dimensional Research, 821 professionnels des services IT et d’autres services chargés de la protection de la confidentialité des données dans des entreprises ayant des clients européens ont répondu aux questions sur le degré de sensibilisation, de perception et de préparation à se conformer au RGPD, ainsi que sur l’impact pressenti du défaut de conformité au RGPD une fois entré en vigueur en mai 2018. L’étude a été menée aux Etats-Unis, au Canada, en Asie-Pacifique (Australie, Hong Kong, Singapour, Inde), au Royaume-Uni, en Allemagne, en Suède, en Belgique, aux Pays-Bas, en France, en Italie, en Espagne et en Pologne. Des dirigeants d’entreprises de moins de 100 salariés ont été interrogés également.

John Milburn, vice president et general manager, Dell One Identity Solutions :
« Le règlement général de l’Union européenne sur la protection des données est la première mise à jour de la législation européenne de protection des données depuis 1995, lorsque Internet n’en était qu’à ses débuts et que les menaces de cyber-attaques en constante évolution que nous connaissons aujourd’hui n’existaient pas. Ce sondage renforce le manque global de compréhension générale du RGPD, le champ d’application du règlement, et ce que les organisations doivent faire pour éviter des sanctions sévères. Les résultats montrent également que, bien que certaines organisations "pensent" être préparées, elles risquent de se retrouver dans une position difficile si elles subissent une faille ou doivent faire face à un audit et être soumis aux conséquences du non-respect du RGPD ».

Patrick Sweeney, vice president, product management and marketing, Dell SonicWALL : « Ce nouveau règlement établit des droits de protection des données uniformes dans toute l’UE, et, pour se mettre en conformité, les entreprises européennes et en-dehors de l’Europe mais qui y font des affaires doivent adopter une approche de sécurité à plusieurs niveaux, adaptative et centrée sur l’utilisateur qui s’articule autour des axes de prévention, de détection, de réaction et de prévision. Pour se conformer au RGPD, elles ont besoin de solutions de sécurité qui les aident à prévenir et bloquer les attaques, détecter une présence potentiellement dangereuse sur leurs réseaux, réagir promptement en cas de menace, et analyser et rendre compte de l’état de leurs réseaux en temps réel. »

IDC : « Ne différez pas vos préparatifs au RGPD en avançant le prétexte des deux ans de délai. Par son ampleur, sa complexité, son coût et son importance stratégique, la mise en conformité au règlement GDPR prendra (au moins) deux ans aux entreprises. La plupart des entreprises ont intérêt à s’y mettre dès maintenant. »1