Varonis Systems, Inc. (NASDAQ : VRNS), l’un des principaux éditeurs de solutions logicielles de protection des données contre les menaces internes et les cyberattaques, publie les résultats d’une étude indépendantei visant à évaluer les comportements vis-à-vis du règlement général européen sur la protection des données (GDPR) qui entrera en vigueur dans un an.
Menée auprès de 500 décideurs informatiques au Royaume-Uni, en Allemagne, en France et en Amérique du Nord, cette étude révèle que 75 % des entreprises auront des difficultés à se préparer en vue de cette échéance. 42 % indiquent qu’il ne s’agit pas d’une priorité pour elles en dépit des risques de sanctions financières qui pourraient leur coûter jusqu’à 4 % de leur chiffre d’affaires mondial ou 20 millions d’euros (selon le montant le plus élevé des deux).
74% des entreprises françaises interrogées expliquent qu’elles devront faire face à de sérieux défis pour être en conformité avec le GDPR. 58 % déclarent avoir déjà procédé à une évaluation de l’impact sur les données, ou à un audit interne pour déterminer qui a accès aux informations d’identification personnelle détenues par leur entreprise. Mais 42 % des entreprises françaises disposent de moins d’un an pour effectuer cette évaluation et remédier à des accès trop permissifs. De plus, les résultats des entreprises ayant réalisé une évaluation montrent que les normes en matière de réglementation des données font cruellement défaut dans la mesure où plus des deux tiers (69 %) des entreprises ont identifié au moins un cas d’accès trop permissif aux informations d’identification personnelle. Cela fait écho aux niveaux tout aussi alarmants d’accès trop permissifs aux données relevés dans le rapport 2017 de Varonis sur les risques liés aux données qui indique que, dans près de la moitié des entreprises, au moins 1 000 fichiers sensibles contenant des informations d’identification personnelle sont accessibles à n’importe quel employé.
Interrogés sur les secteurs les plus susceptibles d’être sanctionnés, si une entreprise venait à être victime d’une violation de données, les décideurs informatiques français citent les secteurs de l’informatique, des technologies et des télécommunications (19 %), devant le secteur financier (18 %). Lorsque la question porte sur le pays, 58 % (contre 68 % des Britanniques) sont d’accord ou entièrement d’accord pour dire qu’une entreprise du Royaume-Uni sera sanctionnée pour l’exemple en cas d’infraction d’une disposition quelconque du règlement GDPR de l’UE du fait du Brexit.
Les difficultés de nombreuses entreprises à se préparer au GDPR figurent parmi les principaux constats de l’étude :
55 % avouent avoir des difficultés à appliquer l’article 17 du règlement, le « droit à l’oubli », selon lequel elles doivent être capables de localiser et de cibler des données spécifiques afin d’automatiser leur suppression à la demande du consommateur.
52 % peinent à localiser les informations d’identification personnelle sur leur réseau, à déterminer qui y a accès et y accède, et à savoir à quel moment ces données peuvent et doivent être supprimées conformément à l’article 30, « Registre des activités de traitement ».
50 % ont des problèmes avec l’article 32, « Sécurité du traitement », en vertu duquel elles doivent mettre en œuvre des privilèges d’accès « a minima », instaurer un système de responsabilité, avec des détenteurs désignés des données, et produire des rapports attestant que les politiques et processus adéquats sont actifs et efficaces.
« La conclusion la plus inquiétante est qu’une entreprise sur quatre ignore où résident ses données sensibles », commente Christophe Badot, Directeur Général France de Varonis. « Pour ces entreprises, le réveil risque d’être brutal dans un an. À défaut d’une parfaite visibilité sur l’emplacement de leurs données sensibles, et sur les personnes qui y ont accès et y accèdent, leurs chances de se conformer au règlement sont minces, ce qui les place en tête de liste des entreprises qui s’exposeront à des sanctions. »
« Les entreprises du secteur public sont manifestement celles qui ont le plus de mal à se conformer au règlement : elles sont beaucoup plus susceptibles de manquer de budget (26 % des entreprises du secteur public disposent d’un budget distinct prévu à cet effet, contre 41 % dans le secteur privé) », poursuit Christophe Badot. « Nous avons reçu un nombre considérable d’appels d’organismes du secteur public craignant de ne pas disposer des fonds ni des compétences nécessaires pour assurer leur mise en conformité dans les délais impartis. À moins d’un changement avant l’échéance fixée au mois de mai de l’année prochaine, la CNIL pourrait très bien infliger des sanctions financières à des organismes publics déjà à court d’argent et affaiblis par une avalanche de cyberattaques, telles que le récent rançongiciel WannaCry. »
_____________________________________________
[1] Conclusions d’une étude indépendante commandée par Varonis et réalisée par VansonBourne. L’étude porte sur un panel de 500 décideurs informatiques issus d’entreprises comptant plus de 1 000 employés (100 personnes interrogées au Royaume-Uni, en France et en Allemagne, et 200 en Amérique du Nord). Elle a été menée entre le 17 avril et le 9 mai 2017.
Menée auprès de 500 décideurs informatiques au Royaume-Uni, en Allemagne, en France et en Amérique du Nord, cette étude révèle que 75 % des entreprises auront des difficultés à se préparer en vue de cette échéance. 42 % indiquent qu’il ne s’agit pas d’une priorité pour elles en dépit des risques de sanctions financières qui pourraient leur coûter jusqu’à 4 % de leur chiffre d’affaires mondial ou 20 millions d’euros (selon le montant le plus élevé des deux).
74% des entreprises françaises interrogées expliquent qu’elles devront faire face à de sérieux défis pour être en conformité avec le GDPR. 58 % déclarent avoir déjà procédé à une évaluation de l’impact sur les données, ou à un audit interne pour déterminer qui a accès aux informations d’identification personnelle détenues par leur entreprise. Mais 42 % des entreprises françaises disposent de moins d’un an pour effectuer cette évaluation et remédier à des accès trop permissifs. De plus, les résultats des entreprises ayant réalisé une évaluation montrent que les normes en matière de réglementation des données font cruellement défaut dans la mesure où plus des deux tiers (69 %) des entreprises ont identifié au moins un cas d’accès trop permissif aux informations d’identification personnelle. Cela fait écho aux niveaux tout aussi alarmants d’accès trop permissifs aux données relevés dans le rapport 2017 de Varonis sur les risques liés aux données qui indique que, dans près de la moitié des entreprises, au moins 1 000 fichiers sensibles contenant des informations d’identification personnelle sont accessibles à n’importe quel employé.
Interrogés sur les secteurs les plus susceptibles d’être sanctionnés, si une entreprise venait à être victime d’une violation de données, les décideurs informatiques français citent les secteurs de l’informatique, des technologies et des télécommunications (19 %), devant le secteur financier (18 %). Lorsque la question porte sur le pays, 58 % (contre 68 % des Britanniques) sont d’accord ou entièrement d’accord pour dire qu’une entreprise du Royaume-Uni sera sanctionnée pour l’exemple en cas d’infraction d’une disposition quelconque du règlement GDPR de l’UE du fait du Brexit.
Les difficultés de nombreuses entreprises à se préparer au GDPR figurent parmi les principaux constats de l’étude :
55 % avouent avoir des difficultés à appliquer l’article 17 du règlement, le « droit à l’oubli », selon lequel elles doivent être capables de localiser et de cibler des données spécifiques afin d’automatiser leur suppression à la demande du consommateur.
52 % peinent à localiser les informations d’identification personnelle sur leur réseau, à déterminer qui y a accès et y accède, et à savoir à quel moment ces données peuvent et doivent être supprimées conformément à l’article 30, « Registre des activités de traitement ».
50 % ont des problèmes avec l’article 32, « Sécurité du traitement », en vertu duquel elles doivent mettre en œuvre des privilèges d’accès « a minima », instaurer un système de responsabilité, avec des détenteurs désignés des données, et produire des rapports attestant que les politiques et processus adéquats sont actifs et efficaces.
« La conclusion la plus inquiétante est qu’une entreprise sur quatre ignore où résident ses données sensibles », commente Christophe Badot, Directeur Général France de Varonis. « Pour ces entreprises, le réveil risque d’être brutal dans un an. À défaut d’une parfaite visibilité sur l’emplacement de leurs données sensibles, et sur les personnes qui y ont accès et y accèdent, leurs chances de se conformer au règlement sont minces, ce qui les place en tête de liste des entreprises qui s’exposeront à des sanctions. »
« Les entreprises du secteur public sont manifestement celles qui ont le plus de mal à se conformer au règlement : elles sont beaucoup plus susceptibles de manquer de budget (26 % des entreprises du secteur public disposent d’un budget distinct prévu à cet effet, contre 41 % dans le secteur privé) », poursuit Christophe Badot. « Nous avons reçu un nombre considérable d’appels d’organismes du secteur public craignant de ne pas disposer des fonds ni des compétences nécessaires pour assurer leur mise en conformité dans les délais impartis. À moins d’un changement avant l’échéance fixée au mois de mai de l’année prochaine, la CNIL pourrait très bien infliger des sanctions financières à des organismes publics déjà à court d’argent et affaiblis par une avalanche de cyberattaques, telles que le récent rançongiciel WannaCry. »
_____________________________________________
[1] Conclusions d’une étude indépendante commandée par Varonis et réalisée par VansonBourne. L’étude porte sur un panel de 500 décideurs informatiques issus d’entreprises comptant plus de 1 000 employés (100 personnes interrogées au Royaume-Uni, en France et en Allemagne, et 200 en Amérique du Nord). Elle a été menée entre le 17 avril et le 9 mai 2017.
Autres articles
-
Les règles du jeu des partage et réutilisation des données personnelles à l'ère du numérique
-
EQS Group entre en négociations exclusives pour l'acquisition de Data Legal Drive
-
La dernière étude du ministère du Travail réalisée par l’AFPA, avec le soutien de la CNIL et l’AFCDP souligne de nouvelles tendances dans l’exercice du métier de DPO
-
Podcast : Données personnelles, reprenons le contrôle, avec Cécile Petitgand
-
L’AFCDP poursuit son engagement pour accompagner les DPO dans leur quotidien