Blancco Technology Group (LON : BLTG), Leader mondial dans l’industrie de l'effacement de données et de diagnostics de périphériques mobiles, a annoncé les résultats d'une nouvelle étude visant à analyser les risques encourus par les grandes entreprises françaises concernant l’élaboration, la mise en application et la communication aléatoires de leurs politiques de protection de données. Plus précisément, l'étude Data Sanitization : Policy vs. Reality menée par Blancco en partenariat avec Coleman Parkes, révèle que ces politiques ne sont pas suffisamment définies pour une application stricte visant à effacer régulièrement et complètement les données de leurs actifs informatiques tout au long de leur cycle de vie.
Bien que 96 % des 251 sociétés françaises interrogées aient mis en place une politique de nettoyage de données, 51 % ne l'ont pas encore communiquée en interne. En outre, 21 % des sondés estiment que les politiques de leur entreprise ne sont pas encore complètement définies. Dans l’ensemble, les trois quarts (75 %) des sociétés françaises n'ont pas mis en place une politique de nettoyage de données récurrente, ni ne l’ont communiquée clairement à l'ensemble de leurs services. Cette situation les expose à des risques croissants de piratage de données.
L'étude a détecté d'autres disparités entre l’élaboration et la mise en application des politiques de nettoyage de données au sein de ces entreprises :
Absence de responsable direct de l'effacement des actifs informatiques : 15 % des employés sont responsables de la gestion et du contrôle de leurs propres équipements informatique en fin de vie lorsqu'ils quittent l'entreprise. D'autre part, 23 % répondent que cette responsabilité incombe à leur supérieur hiérarchique. En l'absence de politiques de nettoyage de données clairement définie, les risques de fuite de données augmentent considérablement en raison de l’absence de responsable identifié à l’application de l'effacement de données.
Équipements stockés à long terme : la quasi-totalité (98 %) des entreprises françaises admettent ne pas nettoyer immédiatement leurs actifs en fin de vie, tandis que 29 % indiquent tarder plus d'un mois avant de procéder à cette opération. Elles encourent ainsi différents risques, notamment la perte et le vol de matériel, mais aussi le piratage de données.
Recours à l'effacement hors site : 45 % des entreprises françaises font opérer le traitement de l’effacement de leurs PC et leurs ordinateurs portables hors site lorsque ceux-ci arrivent en fin de vie. Le recours à un prestataire externe pour nettoyer des équipements, n'est pas nécessairement dangereux en soi, néanmoins cela présente certains risques, en particulier si les entreprises n’ont pas une visibilité complète sur la chaîne de responsabilité de leurs actifs ni d’un moyen de garantir que les données de leurs actifs n'ont pas été compromises durant leur transport. Les prestataires externes se doivent de fournir des pistes d'audit détaillées de l'ensemble de la chaîne et également de garantir de la réalisation d’un effacement complet et certifié des actifs en fin de vie.
Manque d’identification claire du responsable des politiques de nettoyage de données : bien que 57 % des personnes interrogées en France affirment que le responsable des politiques de nettoyage de données a clairement été défini au sein de leur entreprise, leur réponse diffère quant au responsable de sa mise en œuvre. En effet, 34 % désignent le responsable des opérations, 22 % le responsable des opérations informatiques, 16 % le responsable juridique, contre à peine 6 % pour le responsable de la protection des données et 4 % pour le responsable de la sécurité de l'information (RSI), la proportion la plus faible observée parmi tous les pays de l'étude. Cette absence de responsable clairement identifié pourrait laisser penser que les entreprises considèrent le nettoyage de données comme un simple point d'audit à effectuer de manière à répondre aux exigences opérationnelles ou de conformité, et qu'elles ne prennent pas au sérieux les risques quant à la vulnérabilité des données.
« L'absence d’une réelle politique de nettoyage de données chez les grandes entreprises françaises est inquiétante » indique Fredrik Forslund, vice-président des solutions d'effacement cloud et entreprise de Blancco. « Si elles ne parviennent pas à les formuler et à les communiquer efficacement à chaque stade du cycle de vie des données, elles risquent de mettre en péril une quantité importante de données sensibles. Afin d'atténuer ces risques, il est crucial qu'elles mettent en place des procédures d’applications claires, à savoir nommer un responsable officiel ainsi qu’une piste d’audit définie, sous l'égide de l'équipe dirigeante. »
Autres principales conclusions concernant la France :
Fait inquiétant, 55 % des personnes interrogées au sein des grandes entreprises françaises indiquent ne pas connaître la date de la dernière mise à jour de la politique de sécurité informatique de leur société, tandis que 50 % d'entre elles ne savent pas précisément la teneur de celle-ci.
De même, 39 % estiment que les employés sous contrat temporaire sont les moins susceptibles de respecter les politiques de nettoyage de données, tandis que 43 % jugent que les sous-traitants ou les indépendants ont le moins de chance de comprendre ou de se conformer à la politique de nettoyage de données.
On observe non seulement une absence de responsable identifié de la mise en application des politiques de nettoyage de données, mais également un manque de responsabilisation des grandes entreprises françaises en matière de mise en conformité. Les responsabilités sont réparties entre différents postes et, curieusement, le responsable des opérations est en charge dans 27 % des cas, suivi par le responsable juridique (24 %), le responsable de la conformité (15 %), le responsable des opérations informatiques (14 %) et le responsable de la protection des données (10 %), cette situation étant propice aux non-conformités et aux amendes.
Autres principales conclusions à l’échelle mondiale :
Bien que 96 % des principales entreprises mondiales aient mis en place une politique de nettoyage de données, un tiers d'entre elles (31 %) ne l'ont pas encore communiquée à tous leurs services. À l'échelle internationale, plus de la moitié (56 %) des sociétés n'ont pas mis en place de politique de nettoyage de données régulière et ne l’ont pas communiquée efficacement à l'ensemble de leur organisation.
Par ailleurs, ce qui est préoccupant est la manière dont les multinationales opèrent dans le processus de suppression des données de leurs actifs. Plus d'un tiers (34 %) des personnes interrogées affirment faire prester la suppression des données des ordinateurs, des serveurs et des équipements de leurs centres de données en fin de vie, hors de leur site.
Quant à la question : qui est responsable de gérer et contrôler l'équipement en fin de vie lorsqu'un employé quitte la société ? 22 % indiquent qu'il s'agit de l'employé lui-même. D'autre part, 22 % répondent que cette responsabilité incombe à leur supérieur hiérarchique.
Ce rapport est le deuxième d'une série de trois. Le premier rapport, « Un faux sentiment de sécurité », a révélé que 47 % des entreprises françaises prenaient des risques significatifs quant à leurs (éventuels) modes et processus de nettoyage d'équipements en fin de vie.
Bien que 96 % des 251 sociétés françaises interrogées aient mis en place une politique de nettoyage de données, 51 % ne l'ont pas encore communiquée en interne. En outre, 21 % des sondés estiment que les politiques de leur entreprise ne sont pas encore complètement définies. Dans l’ensemble, les trois quarts (75 %) des sociétés françaises n'ont pas mis en place une politique de nettoyage de données récurrente, ni ne l’ont communiquée clairement à l'ensemble de leurs services. Cette situation les expose à des risques croissants de piratage de données.
L'étude a détecté d'autres disparités entre l’élaboration et la mise en application des politiques de nettoyage de données au sein de ces entreprises :
Absence de responsable direct de l'effacement des actifs informatiques : 15 % des employés sont responsables de la gestion et du contrôle de leurs propres équipements informatique en fin de vie lorsqu'ils quittent l'entreprise. D'autre part, 23 % répondent que cette responsabilité incombe à leur supérieur hiérarchique. En l'absence de politiques de nettoyage de données clairement définie, les risques de fuite de données augmentent considérablement en raison de l’absence de responsable identifié à l’application de l'effacement de données.
Équipements stockés à long terme : la quasi-totalité (98 %) des entreprises françaises admettent ne pas nettoyer immédiatement leurs actifs en fin de vie, tandis que 29 % indiquent tarder plus d'un mois avant de procéder à cette opération. Elles encourent ainsi différents risques, notamment la perte et le vol de matériel, mais aussi le piratage de données.
Recours à l'effacement hors site : 45 % des entreprises françaises font opérer le traitement de l’effacement de leurs PC et leurs ordinateurs portables hors site lorsque ceux-ci arrivent en fin de vie. Le recours à un prestataire externe pour nettoyer des équipements, n'est pas nécessairement dangereux en soi, néanmoins cela présente certains risques, en particulier si les entreprises n’ont pas une visibilité complète sur la chaîne de responsabilité de leurs actifs ni d’un moyen de garantir que les données de leurs actifs n'ont pas été compromises durant leur transport. Les prestataires externes se doivent de fournir des pistes d'audit détaillées de l'ensemble de la chaîne et également de garantir de la réalisation d’un effacement complet et certifié des actifs en fin de vie.
Manque d’identification claire du responsable des politiques de nettoyage de données : bien que 57 % des personnes interrogées en France affirment que le responsable des politiques de nettoyage de données a clairement été défini au sein de leur entreprise, leur réponse diffère quant au responsable de sa mise en œuvre. En effet, 34 % désignent le responsable des opérations, 22 % le responsable des opérations informatiques, 16 % le responsable juridique, contre à peine 6 % pour le responsable de la protection des données et 4 % pour le responsable de la sécurité de l'information (RSI), la proportion la plus faible observée parmi tous les pays de l'étude. Cette absence de responsable clairement identifié pourrait laisser penser que les entreprises considèrent le nettoyage de données comme un simple point d'audit à effectuer de manière à répondre aux exigences opérationnelles ou de conformité, et qu'elles ne prennent pas au sérieux les risques quant à la vulnérabilité des données.
« L'absence d’une réelle politique de nettoyage de données chez les grandes entreprises françaises est inquiétante » indique Fredrik Forslund, vice-président des solutions d'effacement cloud et entreprise de Blancco. « Si elles ne parviennent pas à les formuler et à les communiquer efficacement à chaque stade du cycle de vie des données, elles risquent de mettre en péril une quantité importante de données sensibles. Afin d'atténuer ces risques, il est crucial qu'elles mettent en place des procédures d’applications claires, à savoir nommer un responsable officiel ainsi qu’une piste d’audit définie, sous l'égide de l'équipe dirigeante. »
Autres principales conclusions concernant la France :
Fait inquiétant, 55 % des personnes interrogées au sein des grandes entreprises françaises indiquent ne pas connaître la date de la dernière mise à jour de la politique de sécurité informatique de leur société, tandis que 50 % d'entre elles ne savent pas précisément la teneur de celle-ci.
De même, 39 % estiment que les employés sous contrat temporaire sont les moins susceptibles de respecter les politiques de nettoyage de données, tandis que 43 % jugent que les sous-traitants ou les indépendants ont le moins de chance de comprendre ou de se conformer à la politique de nettoyage de données.
On observe non seulement une absence de responsable identifié de la mise en application des politiques de nettoyage de données, mais également un manque de responsabilisation des grandes entreprises françaises en matière de mise en conformité. Les responsabilités sont réparties entre différents postes et, curieusement, le responsable des opérations est en charge dans 27 % des cas, suivi par le responsable juridique (24 %), le responsable de la conformité (15 %), le responsable des opérations informatiques (14 %) et le responsable de la protection des données (10 %), cette situation étant propice aux non-conformités et aux amendes.
Autres principales conclusions à l’échelle mondiale :
Bien que 96 % des principales entreprises mondiales aient mis en place une politique de nettoyage de données, un tiers d'entre elles (31 %) ne l'ont pas encore communiquée à tous leurs services. À l'échelle internationale, plus de la moitié (56 %) des sociétés n'ont pas mis en place de politique de nettoyage de données régulière et ne l’ont pas communiquée efficacement à l'ensemble de leur organisation.
Par ailleurs, ce qui est préoccupant est la manière dont les multinationales opèrent dans le processus de suppression des données de leurs actifs. Plus d'un tiers (34 %) des personnes interrogées affirment faire prester la suppression des données des ordinateurs, des serveurs et des équipements de leurs centres de données en fin de vie, hors de leur site.
Quant à la question : qui est responsable de gérer et contrôler l'équipement en fin de vie lorsqu'un employé quitte la société ? 22 % indiquent qu'il s'agit de l'employé lui-même. D'autre part, 22 % répondent que cette responsabilité incombe à leur supérieur hiérarchique.
Ce rapport est le deuxième d'une série de trois. Le premier rapport, « Un faux sentiment de sécurité », a révélé que 47 % des entreprises françaises prenaient des risques significatifs quant à leurs (éventuels) modes et processus de nettoyage d'équipements en fin de vie.