Gérer les risques
Aujourd'hui et demain

Cybersécurité

RGPD : une majorité d’entreprises potentiellement non conformes

Selon une étude de Tanium, les entreprises souffrent d’un manque de vision globale de leur patrimoine informatique. De fait, elles ont beau avoir investi des millions de dollars pour se conformer au RGPD, elles pourraient bien être pénalisées.

installations-des-postes-de-travail

Un tiers des DSI déplorent que certains départements installent des postes de travail sans même les prévenir.
© Markus Spiske pour Unsplash

Deux ans depuis son instauration, le Règlement général sur la protection des données (RGPD) profite-t-il vraiment aux entreprises ? Non, à en croire les résultats d’une étude de l’éditeur Tanium. Cette plateforme de visibilité et de contrôle des postes de travail et serveurs a interrogé 750 décideurs informatiques. Il en ressort un manque de cohérence inquiétant. Malgré des dizaines de millions de dollars dépensés pour la mise en conformité, les entreprises continuent à présenter des vulnérabilités informatiques. Principale raison, une connaissance imparfaite de leur matériel informatique. 

Des millions de dollars investis

Premier constat, les enquêteurs relèvent un décalage inquiétant entre les investissements réalisés et les résultats obtenus. Près de 90% des entreprises ont investi massivement pour se mettre en conformité. Et les chiffres donnent le vertige. Par exemple, certaines ont provisionné ou augmenté une assurance en responsabilité civile informatique. Ce qui représente une moyenne de 185 millions de dollars en cas de violation de données. D’autres multinationales affirment y avoir consacré en moyenne 70,3 millions de dollars durant les 12 derniers mois. 

Création de nouveaux postes et formation des employés

Et c’est sans compter les enjeux en ressources humaines : une majorité d’entreprises ont embauché de nouveaux collaborateurs (81%). Ils sont également légion à avoir investi dans la formation (85%). Ou encore introduit de nouveaux logiciels ou services (82%) pour assurer une conformité continue. 

Une mauvaise connaissance du matériel informatique

Or, c’était sans compter sur le fait que 91 % d’entre elles souffrent dès le départ de faiblesses informatiques fondamentales.Ces lacunes les rendent vulnérables et susceptibles de demeurer non conformes. Pour les enquêteurs, c’est du côté du matériel informatique qu’il faut chercher : plus d’un tiers (37%) souffrent d’un manque de visibilité et de contrôle sur les postes de travail et serveurs. Un obstacle difficile à franchir pour se conformer au RGPD.  

Le télétravail, talon d’Achille

Concrètement, ce manque de visibilité se traduit par une mauvaise connaissance du patrimoine informatique de l’entreprise. Ainsi, 71% des DSI découvrent très souvent la présence de nouveaux postes de travail et serveurs. Un fait qui pourrait s’expliquer par la migration de nombreux employés vers le télétravail, réalisée trop précipitamment. Or, la conformité au RGPD dépend de la compréhension des outils utilisés, la connaissance des terminaux connectés. Ou encore d’une bonne visualisation des données détenues dans l’organisation.   

Cinq facteurs 

Pour expliquer ces lacunes, les responsables de l’étude ont identifié cinq facteurs déterminants. Il y a tout d’abord le manque de collaboration entre les équipes de sécurité et de production dans 39% des entreprises. Figurent ensuite une mauvaise gestion du parc informatique (31%), et leur vétusté : 31 % des systèmes semblent trop anciens pour donner des informations correctes. 

Un manque de dialogue

Autre cause, le manque de dialogue entre les différentes entités d’une entreprise : certains départements installent leurs propres outils sans prévenir le DSI (29%). Sans compter l’utilisation d’un trop grand nombre de solutions dans l’entreprise (29%). Ainsi, les entreprises interrogées ont mis en place en moyenne 43 outils de sécurité et d’exploitation distincts dédiés au service de la gestion du parc informatique. 

Une menace redoutée

Autant de points faibles qui préoccupent les dirigeants. De fait, 53% sentent que ces lacunes rendent leur entreprise encore plus vulnérables aux cyberattaques. 39% y voient une menace pour l’image de leur organisation. 33% une contrainte pour quantifier les risques, ou le danger de perdre des clients (31%). Enfin, un petit quart, 23%, craignent une amende pour non-conformité.

Ségolène Kahn

Commentez

Participez à la discussion