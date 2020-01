Malgré des investissements massifs, les entreprises françaises peinent à se mettre en conformité avec le RGPD et restent vulnérables

janvier 2020 par Tanium

Ces dernières années, les entreprises ont considérablement investi dans des solutions de sécurité et de gestion de la production, notamment en raison de la mise en application de nouvelles normes et régulations comme le RGPD. Pourtant, il apparaît qu’elles sont toujours aussi vulnérables face aux cyberattaques.

65% des responsables français interrogés découvrent chaque semaine de nouveaux postes de travail et serveurs dans leur organisation

Seuls 22% déclarent se sentir totalement en confiance pour obtenir une visibilité instantanée sur l’architecture informatique de leur organisation.

23% affirment que ce manque de visibilité pourrait induire une amende pour non-conformité.

Quels ont été les montants alloués ? Pour quelles solutions ? Quels sont les freins ? Quelles sont leurs principales craintes ? De quoi les entreprises ont-elles besoin pour relever les défis à venir ?

Pour répondre à ces questions, Tanium, la plateforme de visibilité et de contrôle des postes de travail et serveurs, a mandaté l’institut Vanson Bourne pour mener une enquête mondiale auprès des grandes entreprises. Voilà les principaux enseignements de cette étude menée auprès de 100 dirigeants d’entreprises françaises.

Des investissements considérables réalisés pour le RGPD

L’entrée en vigueur du Règlement Général de la Protection des Données a eu de nombreuses répercussions pour les entreprises françaises. En effet, interrogés sur les investissements réalisés, les dirigeants d’entreprises sont unanimes : les investissements ont été conséquents. A titre d’exemple, ils sont 85% à avoir embauchés de nouveaux talents pour assurer leur conformité et 86% à avoir investi dans la formation pour accompagner leurs employés dans cette démarche. 80% ont fait l’acquisition de nouveaux logiciels ou services pour les aider à localiser leurs données – et pour 39% d’entre eux, cela monte à plus de 10 solutions ! Enfin, 77% se sont équipés de nouveaux logiciels ou service pour classer leurs données.

Pour quel montant ? 66% des dirigeants français interrogés affirment avoir dépensé plus de 1 million d’euros pour assurer leur mise en conformité au RGPD !

Mais des entreprises françaises toujours vulnérables par manque de visibilité

Malgré ces investissements massifs et l’accroissement du nombre de solutions utilisées pour la sécurité informatique, les entreprises françaises manquent toujours de visibilité sur leurs données, les laissant de ce fait vulnérables aux cyberattaques et s’exposant alors à des fuites de données.

En effet, 50% des entreprises interrogées affirment utiliser plus de 40 solutions dédiées à la sécurité et aux opérations. Malgré cette prolifération de solutions, 65% des responsables interrogés déclarent découvrir chaque semaine de nouveaux postes de travail et serveurs dans leur organisation dont ils n’avaient pas connaissance précédemment. Or il est impossible de protéger ce que l’on ne connaît pas.

« Le fait que trois entreprises françaises sur quatre découvrent au moins chaque semaine de nouveaux postes de travail et serveurs dans leur parc informatique est la preuve de leur fragilité. Avec le temps, les architectures informatiques vont devenir de plus en plus complexes et cette situation ne va que s’aggraver. » précise Dagobert Levy, Vice-Président South EMEA de Tanium.

5 causes majeures

Quant aux raisons de ce manque de visibilité sur leur environnement informatique, les responsables dénoncent 5 causes majeures. En premier lieu, c’est le manque de collaboration entre les équipes de sécurité et de production pour 35% des répondants. Ensuite, c’est respectivement le manque de moyen pour gérer efficacement leur parc informatique (33%), l’utilisation d’un trop grand nombre de solutions dans l’entreprise (32%) et des systèmes trop anciens qui ne donnent pas les bonnes informations (27%). Enfin, un quart d’entre eux dénoncent des départements qui installent leurs propres outils sans en informer la direction informatique, le « shadow IT ».

Des risques de manquement aux obligations du RGPD

L’une des dispositions notables du RGPD est l’article 33, qui oblige les entreprises à signaler toute violation de données dans un délai de 72 heures à l’autorité de compétence. Pour ce faire, l’entreprise doit être en mesure d’identifier les données touchées et informer les autorités, tout cela dans un délai très court. Une tâche compliquée pour laquelle 90% des dirigeants français interrogés se disent pourtant confiants. Paradoxalement, ils sont 38% - plus d’un tiers - à déclarer qu’ils n’ont pas une visibilité totale sur leur architecture informatique et 23% à affirmer que ce manque de visibilité pourrait induire une amende pour non-conformité…

En effet, un manquement à cette obligation pourrait avoir de lourdes conséquences financières quand on sait que cela peut monter à 4% du CA total de l’entreprise.

Et des risques de vulnérabilité aux cyberattaques

Au-delà des risques financiers liés à la non-conformité au RGPD, les dirigeants expriment plusieurs inquiétudes dues à cette absence de visibilité : Ils sont près d’un sur deux (47%) à craindre que leur entreprise soit vulnérable aux cyberattaques. Un tiers (34%) mentionnent les dangers induits par ce manque de visibilité sur l’expérience clients et 30% sur la réputation de la marque. Viennent ensuite l’incapacité à quantifier les risques de l’entreprise pour 30% d’entre eux suivi de la perte de clients en raison d’informations insuffisantes (28%).

Malgré ces inquiétudes, seuls 11% des dirigeants interrogés déclarent que la visibilité du nombres croissants des postes de travail et serveurs fait partie de leurs préoccupations pour 2020. Ce résultat révèle le manque de sensibilisation des entreprises aux risques liés au manque de visibilité de leur architecture informatique. En effet, les préoccupations principales pour 2020 sont orientées vers les risques liés à la sophistication de plus en plus importante des cyberattaques (26%) et à la complexité de gérer en même temps des infrastructures physiques, virtuelles et cloud (18%). Puis sont mentionnés les risques internes, comme les employés qui cliquent sur des liens malveillants ouvrant la porte aux logiciels malveillants et attaques de phishing (25%).

« Les entreprises françaises ont fait des efforts considérables pour s’assurer de leur conformité au RGPD. Cependant, cette étude révèle des manquements importants à un principe de base : on ne peut pas sécuriser ce que l’on ne connaît pas. Il est inutile d’acquérir et de déployer de nouvelles solutions informatiques sans une maîtrise préalable de son parc informatique. Si on prend pour exemple certaines attaques récentes, le problème venait plutôt de l’absence de contrôle des équipements inconnus que de l’installation de la nième couche de sécurité sur ceux qui étaient maîtrisés. » conclu Dagobert Levy.

Méthodologie

Tanium a chargé Vanson Bourne, spécialiste indépendant des études de marché, d’entreprendre les recherches sur lesquelles se fonde le présent rapport. Au total, 750 décideurs informatiques responsables de la sécurité des points d’accès - ou ayant des connaissances dans ce domaine - ont été interrogés en septembre/octobre 2019 aux États-Unis, au Royaume-Uni, en Australie, en France, en Allemagne, au Japon, aux Pays-Bas et au Canada. Les personnes interrogées provenaient d’organisations comptant au moins 1 000 employés, de bureaux internationaux et pouvaient être issues de n’importe quel secteur.