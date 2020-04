Deux ans après le RGPD, les entreprises ne sont toujours pas conformes à la réglementation, malgré les dizaines de millions dépensés pour la mise en conformité

avril 2020 par Tanium

Tanium dévoile les résultats de sa dernière étude, à l’approche du deuxième anniversaire du RGPD, menée auprès de 750 décideurs informatiques. Cette dernière révèle un décalage entre les investissements réalisés par les entreprises pour leur mise en conformité avec les nouvelles réglementations sur la protection des données et les résultats obtenus. Plus précisément, alors que les entreprises dépensent des dizaines de millions pour se conformer à la réglementation, 91 % d’entre elles présentent des faiblesses informatiques fondamentales qui les rendent vulnérables et potentiellement non conformes.

L’autre enseignement tiré de cette étude est le montant dépensé par les multinationales pour assurer leur mise en conformité avec les différentes règlementations sur la protection des données. En effet, ces dernières déclarent y avoir dédié en moyenne 70,3 millions de dollars de dépenses durant les 12 derniers mois. De plus, une majorité d’entreprises ont embauché de nouveaux talents (81%), investi dans la formation (85%) et introduit de nouveaux logiciels ou services (82%) pour assurer une conformité continue. Enfin, elles sont 87% à avoir provisionné ou augmenté leur assurance en responsabilité civile informatique - d’une moyenne de 185 millions de dollars chacune - pour faire face aux conséquences potentielles d’une violation de données.

Toutefois, malgré ces investissements massifs, les entreprises se sentent toujours mal préparées pour faire face à l’évolution du paysage réglementaire. Pour preuve, elle sont plus d’un tiers (37%) à affirmer que le manque de visibilité et de contrôle sur les postes de travail et serveurs[1] représente le principal obstacle au maintien de la conformité aux réglementations telles que le RGPD.

Ces résultats laissent penser que la transition rapide vers le télétravail généralisé n’a fait qu’aggraver les problèmes de conformité auxquels sont confrontées les entreprises.

Malgré des investissements massifs, les entreprises sont toujours aussi vulnérables

Ce manque de visibilité des entreprises sur leurs infrastructures physiques, virtuelles et cloud pose des problèmes majeurs. En fait, l’étude révèle que 71% des DSI découvrent quotidiennement ou hebdomadairement des nouveaux postes de travail et serveurs dans leur organisation. Lorsque la conformité au RGPD repose sur la compréhension des outils utilisés, la connaissance des terminaux connectés et la visualisation des données détenues dans l’organisation, ces lacunes de visibilité sont potentiellement dangereuses.

5 causes majeures à ce manque de visibilité ?

Quant aux raisons de ce manque de visibilité sur leur environnement informatique, les responsables dénoncent 5 causes majeures. En premier lieu, c’est le manque de collaboration entre les équipes de sécurité et de production pour 39% des répondants. Ensuite, c’est respectivement le manque de moyen pour gérer efficacement leur parc informatique (31%), des systèmes trop anciens qui ne donnent pas les bonnes informations (31%), des départements qui installent leurs propres outils sans en informer la direction informatique (29%), et enfin, l’utilisation d’un trop grand nombre de solutions dans l’entreprise (29%). En effet, ce dernier point est illustré par un autre chiffre tiré de cette étude : les entreprises ont mis en place en moyenne 43 outils de sécurité et d’exploitation distincts pour gérer leur environnement informatique !

Enfin, la majorité (91 %) des personnes interrogées ont reconnu des points faibles fondamentaux au sein de leur organisation qui empêchent d’obtenir une vision globale de leur parc informatique. Le télétravail généralisé et l’utilisation massive d’appareils personnels par les employés sont susceptibles d’exacerber encore ces problèmes, élargissant la surface d’attaque des entreprises.

Les dirigeants du secteur technologique s’inquiètent des conséquences

Le RGPD et le CCPA ne sont que les prémices d’une nouvelle ère complexe de réglementations rigoureuses en matière de protection des données. Les entreprises incapables de gérer et de sécuriser les données circulant dans leur parc informatique seront confrontées à de sérieux risques pouvant impacter leur réputation mais aussi leurs résultats.

De fait, les dirigeants expriment plusieurs inquiétudes dues à cette absence de visibilité : Ils sont plus d’un sur deux (53%) à craindre que leur entreprise soit vulnérable aux cyberattaques. 39% mentionnent les dangers induits par ce manque de visibilité sur la réputation de la marque. Viennent ensuite l’incapacité à quantifier les risques de l’entreprise pour 33% d’entre eux suivi de la perte de clients pour 31%. Enfin, (seulement) 23% s’inquiètent des amendes pour non-conformité.

L’une des dispositions notables du RGPD est l’article 33, qui oblige les entreprises à signaler toute violation de données dans un délai de 72 heures à l’autorité de compétence. Pour ce faire, l’entreprise doit être en mesure d’identifier les données touchées et informer les autorités, tout cela dans un délai très court. Une tâche compliquée pour laquelle 90% des dirigeants interrogés se disent pourtant confiants. Paradoxalement, ils sont 47% à déclarer qu’ils n’ont pas une visibilité totale sur leur architecture informatique… Une confiance mal placée puisqu’un seul poste de travail ou serveur manqué pourrait entraîner une non-conformité.

"Il est encourageant de voir les entreprises mondiales investir pour assurer leur conformité aux réglementations sur la confidentialité des données. Cependant, cette étude révèle des manquements importants à un principe de base de la sécurité IT : sans véritable visibilité et contrôle de leurs actifs informatiques, les entreprises laissent une porte ouverte aux acteurs malveillants". Précise Dagobert Levy, Vice-President South EMEA de Tanium, avant de conclure “Il est inutile d’acquérir et de déployer de nouvelles solutions informatiques sans une maîtrise préalable de son parc informatique. La première étape d’une gestion efficace de la sécurité informatique consiste à obtenir une visibilité en temps réel de ces postes de travail et serveurs, une condition essentielle à l’amélioration de l’hygiène informatique, à la gestion efficace des risques et à la conformité réglementaire. Avec beaucoup d’équipes travaillant aujourd’hui en télétravail avec leurs propres appareils, cela n’a jamais été aussi important".

Le rapport complet est disponible ici.

[1] En raison de la fragmentation de leur patrimoine informatique.