Juridique

RGPD : les entreprises peinent toujours à se mettre en conformité

RGPD : les entreprises peinent toujours à se mettre en conformité
L’étude Tanium montre que les décideurs IT redoutent davantage les conséquences sur la réputation et les clients que les sanctions financières.

Alors que le règlement général sur la protection des données (RGPD) va fêter ses deux ans, une enquête de l'éditeur Tanium révèle qu'une majorité d'entreprises demeurent vulnérables face aux enjeux de conformité associés, malgré des efforts et des investissements importants.

PublicitéL'enquête, réalisée auprès de 750 décideurs informatiques par le cabinet Vanson Bourne, montre que les multinationales ont entrepris des efforts conséquents pour se mettre en conformité. En moyenne, les répondants indiquent en effet avoir dépensé 70,3 millions de dollars dans ce but au cours des 12 derniers mois. Par ailleurs, 81% des entreprises ont embauché de nouveaux talents, 85% ont investi dans la formation de leurs collaborateurs et 82% se sont équipés de solutions supplémentaires pour veiller à la conformité. Néanmoins, les organisations s'estiment toujours vulnérables face aux risques de violation de données, comme en témoigne les investissements massifs dans les assurances en responsabilité civile informatique : 87% des entreprises ont souscris de tels contrats, et le montant moyen s'élève à 185 millions de dollars.

Les répondants semblent conscients que le niveau de risque résiduel reste élevé, malgré les efforts entrepris. Plus du tiers d'entre eux (37%) pointent notamment un manque de visibilité et de contrôle sur leurs environnements informatiques. 94% des sondés ont déjà découvert dans leur organisation des postes ou des serveurs dont ils n'avaient pas connaissance, et pour 71% des DSI interrogés, ce type d'événement se produit toutes les semaines, voire au quotidien.

Collaboration insuffisante et éparpillement des solutions

Interrogés sur les causes du manque de visibilité, les décideurs estiment qu'il provient notamment d'un manque de collaboration entre les équipes de sécurité et de production (39%), un enjeu auquel des démarches comme DevSecOps peuvent apporter des réponses. Des problématiques techniques sont également mentionnées, comme le manque de moyens pour la gestion du parc (31%) et la présence d'outils trop anciens pour fournir les informations nécessaires (31%). Les sondés évoquent aussi le phénomène bien connu du Shadow IT, avec l'installation d'outils à l'insu de la direction informatique (29%). Enfin, ils sont 29% à déplorer une absence de rationalisation des outils utilisés dans l'entreprise, qui conduit à une multiplication des solutions : en moyenne, les entreprises recensent en effet 43 outils de sécurité et d'exploitation différents.

Au total, 91% des décideurs interrogés reconnaissent que des points faibles subsistent dans leurs organisations, qui les empêchent d'obtenir une visibilité globale. Dans ces conditions, difficile de pouvoir identifier rapidement des violations de données, alors que faire preuve de réactivité est essentiel pour limiter l'impact de tels incidents. Une fois ceux-ci constatés, rappelons par ailleurs  que le RGPD préconise de les signaler dans un délai de 72 heures. Paradoxe de l'étude, si 90% des répondants se disent confiants dans leur capacité à répondre à cette exigence, 47% déclarent dans le même temps ne pas avoir une visibilité totale sur leur environnement.

PublicitéL'absence de visibilité fait courir de nombreux risques

Avec le recours massif au télétravail dans le contexte actuel, souvent mis en place dans l'urgence, ces enjeux risquent d'être exacerbés. Plus de la moitié des répondants (53%) redoutent une exposition de leur entreprise aux cyberattaques, et 39% pointent également les risques en matière de réputation. Un tiers (33%) s'estiment dans l'incapacité de quantifier les risques pour leur entreprise, et 31% redoutent de perdre des clients en cas de violation de données. Enfin, les amendes pour non-conformité n'inquiètent que 23% des sondés, montrant que les répondants sont davantage sensibles aux répercussions à long terme pour leur organisation qu'aux sanctions financières.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Pouvez-vous facilement étendre les capacités de vos infrastructures (réseau, VPN, systèmes de sécurité…) ?