Où qu’elles soient dans le monde, les entreprises ont encore devant elles six mois avant que la General Data Protection Regulation (GDPR ; en français RGPD) n’entre définitivement en application. Toutes les entreprises sont encore loin d’y être pleinement préparées, notamment en raison d’une zone grise dans le RGPD. Une enquête récente menée par Trend Micro Incorporated, le numéro un mondial dans le domaine des solutions de cyber-sécurité, révèle qu’énormément d’incertitudes continuent de prévaloir concernant ce Règlement général européen sur la protection des données. C’est ainsi que le concept d’exigences de sécurité tenant compte de “l’état des connaissances” (“state of the art”, dans la version anglaise) provoque pas mal de confusion.

L’enquête de Trend Micro révèle que les 1.000 responsables IT interrogés dans le monde entier donnent des définitions différentes de ce concept de sécurité “state of the art”.

- Alors que 30 % des sociétés interrogées estiment qu’elles répondent aux exigences en ayant acheté une solution de sécurité auprès d’un chef de file réputé du marché, 26 % pensent remplir les conditions exigées en utilisant des produits qui sont validés par des tierces-parties indépendantes.

- Par ailleurs, 16 % des sociétés interrogées pensent que ce concept d’“état des connaissances” s’applique à des produits qui obtiennent de bonnes évaluations dans les rapports d’analystes tandis que 14 % croient que le concept fait référence à des start-ups qui proposent des technologies innovantes.

- Phénomène plutôt inquiétant, 12 % des responsables IT se préoccupent plus du prix des produits de sécurité que de savoir si ces produits sont conformes à la réglementation RGPD.

- 9 % des personnes interrogées semblent être totalement incapables de donner une définition du concept de sécurité “conforme à l’état des connaissances”.

 

L’Europe doit clarifier l’“état des connaissances”

“Pour être réellement conformes aux exigences du RGPD, les entreprises doivent surmonter plusieurs obstacles”, indique Rik Ferguson, vice-président Recherche en sécurité chez Trend Micro. “Déterminer ce que signifie réellement “état des connaissances” n’est qu’un obstacle parmi bien d’autres. Les autorités de régulation devraient clarifier davantage ce que signifie précisément “état des connaissances”, de telle sorte que les entreprises ne s’exposent pas à des amendes en mai 2018.”

 

Abus de confiance

Un autre obstacle auquel les entreprises font face concerne les nouveaux délais qu’elles doivent respecter pour signaler des fuites de données auprès des autorités ainsi qu’aux clients qui en ont été victime.

- Quatre sociétés sur dix (37 %) n’a encore défini aucun protocole visant à informer les clients en cas de fuite de données.

- En total porte-à-faux par rapport aux directives du RGPD, 21 % des sociétés disposent bel et bien d’un protocole visant à avertir les autorités d’une fuite de données mais pas pour en informer leurs clients.

- Par ailleurs, de nombreuses entreprises ne sont actuellement pas à même de respecter le droit d’un client à l’oubli et ce, en dépit du fait que près de trois entreprises sur quatre (64 %) indiquent que leurs clients demandent davantage de transparence en ce qui concerne leurs données.

- 77 % des entreprises disposent d’un protocole en matière de droit à l’oubli lorsqu’il s’agit de données qu’elles ont elles-mêmes collectées. Mais seulement 64 % de ces entreprises sont en mesure de satisfaire à ce genre de requête lorsqu’elle s’applique à des données collectées par des partenaires.

- Ajoutons encore que seulement 63 % traitent les requêtes ayant trait à des données qui sont stockées par leurs prestataires de services cloud et que 60 % peuvent pas donner suite à des requêtes portant sur des données qui sont stockées par des tiers.

 

Au-delà de la technologie, sensibilisation et charte sont également cruciales

Le problème dépasse largement le champ de la technologie. L’arrivée du RGPD a également pour effet de faire de l’investissement dans les connaissances une priorité absolue. Le fait est que les collaborateurs demeurent le maillon le plus faible. A cet égard, l’enquête de Trend Micro révèle que 63 % des entreprises ne sensibilisent pas encore leurs collaborateurs! Par ailleurs, seulement 33 % d’entre elles ont dès à présent défini une nouvelle charte en matière de protection des données. Alors qu’elles auraient dû commencer par là…

“La formation des collaborateurs et la mise à jour de la politique interne en matière de protection des données représentent une évolution positive. Par contre, lorsque les mesures de sécurité adéquates pour éviter les fuites de données font défaut, on ne peut pas parler de stratégie de cyber-sécurité”, ajoute encore Rik Ferguson. “Il n’y a pas de potion magique en matière de cyber-sécurité: plusieurs techniques doivent être appliquées pour faire face aux cyber-menaces. Chaque société qui n’en prend pas pleinement conscience ne se conforme tout simplement pas à la réglementation RGPD.” 

 

Communiqué par Trend Micro


Publié le 04 décembre 2017