Règlement européen sur la protection des données : peu sensibilisées, les entreprises françaises s’exposent à de lourdes sanctions financières – Etude Trend Micro

Failure Concept

Deux ans après l’annonce de la réforme du régime de protection des données de l’Union Européenne (GDPR – General Data Protection Regulation) Trend Micro dévoile les résultats d’une étude sur le ressenti des DSI français face à cette nouvelle réglementation 

Officiellement adopté le 14 avril dernier, le GDPR entrera en vigueur en France en 2018. Il sera applicable à toutes les entreprises européennes et non européennes fournissant des biens et services et détenant des informations personnelles de citoyens européens. Quel est le niveau de connaissance des entreprises à ce sujet ? Sont-elles conscientes des enjeux, de ce qu’elles encourent en cas de non-conformité et des politiques à mettre en place pour y remédier ? Trend Micro fait le point sur la situation.

Les entreprises françaises encore peu préparées à la nouvelle réforme

Il ressort de l’étude qu’en 2016, 31% des DSI français ignorent toujours l’existence de cette nouvelle réglementation et ce, alors même que celle-ci a été adoptée en avril dernier. Par ailleurs, 1 décideur sur 10 pense toujours que cette réforme ne s’applique pas à son organisation.

Parmi les DSI les mieux informés, la très grande majorité (90%) connaît les conditions imposées par le GDPR. Cependant, quand un tiers d’entre eux pense avoir entre 6 à 12 mois pour s’y conformer, près de 7% pense plutôt avoir entre 2 et 3 ans pour le faire !

Si un peu moins de la moitié des DSI interrogés (44%) sont conscients que des sanctions leur seront appliquées en cas de non-respect, ils ignorent toutefois à quels types d’amendes ils devront faire face. Une situation d’autant plus alarmante qu’1 DSI sur 10 ignore l’existence même de sanctions applicables.

« Les entreprises surprises en situation de non-conformité s’exposent à une amende pouvant s’élever à 4% de leur chiffre d’affaires ou jusqu’à 20 millions d’euros* », rappelle Loïc Guézo, Stratégiste Cybersécurité Europe du Sud, Trend Micro. « Au vu de tels chiffres, Il est donc primordial que l’ensemble de l’organisation prenne conscience du défi que représente la confidentialité des données ». 

Mise en conformité : où en est-on ?

Deux ans après l’annonce de la nouvelle réglementation, seule une petite proportion des DSI (5%) affirme ne pas connaître les étapes nécessaires pour se conformer à cette nouvelle directive. Ils ne sont en effet que 23% à être conscients de devoir recruter un délégué à la protection des données.

En ce qui concerne la mise en conformité, 38% des personnes interrogées pensent que le chef d’entreprise est responsable, quand 33% estiment que la responsabilité incombe à l’ensemble de l’entreprise.

L’étude a également cherché à mettre en lumière les facteurs considérés comme des obstacles majeurs à la mise en conformité. Pour ¼ des personnes sondées, le premier facteur cité est le faible niveau de sécurisation des données. Suivent ensuite : le manque d’outils de sécurité performants (23%), les restrictions  liées au système informatique (22%) et le manque de ressources financières (19%). 

Sécurité informatique et protection des données

L’étude montre que le stockage des données reste un enjeu prioritaire pour les DSI. Ainsi, 60% d’entre eux souhaitent plus de transparence afin de pouvoir appréhender ce sujet de façon plus sereine.

Par ailleurs, 69% des sondés déclarent qu’un processus officiel a été mis en place au sein de leur entreprise afin que les autorités en charge de la protection des données soient informées dans les 72h suivant une faille. Dans cette optique et suite aux failles de données de grande ampleur comme chez TalkTalk ou Sony, 87% des sondés avouent avoir revu leur stratégie de protection des données. Presque 50% d’entre eux ont ainsi mis en place de nouveaux processus.

En termes de « droit à l’oubli », la moitié des personnes interrogées considère que leur organisation a déployé les processus et technologies adéquats pour adresser cette problématique. Un chiffre en demi-teinte qui prouve qu’il reste encore beaucoup à faire pour assurer la protection des informations des individus.

« Dans un contexte de multiplication et de sophistication des attaques, il est primordial que les DSI commencent dès aujourd’hui à mettre en place une stratégie de gestion des risques efficace et adaptée », explique Loïc Guézo. « Cette étude montre que la prise de conscience est bien réelle, mais qu’il reste cependant du chemin à parcourir ».

Selon le GDPR le responsable de l’entreprise est tenu de garantir une sécurité optimale tenant compte des risques encourus et de la nature des données à protéger. Parmi les organisations en mesure d’assurer un tel niveau de sécurité, ¼ d’entre-elles estime que les solutions dans lesquelles elles investissent doivent être testées par des organismes indépendants comme NSS Labs ou AV Test. 20% considèrent qu’elles doivent être recommandées par des cabinets d’analystes tels que Gartner, IDC ou Forrester.

Enfin, constat rassurant : une grande majorité (71%) des sondés ont confiance en leur entreprise lorsqu’il s’agit de protection des données !

Related Topics
Author
By
@coesteve1
Related Posts

Readers Comments


Add Your Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

In The News

Règlement européen sur la protection des données : peu sensibilisées, les entreprises françaises s’exposent à de lourdes sanctions financières – Etude Trend Micro

Failure Concept 20th mai, 2016

Deux ans après l’annonce de la réforme du régime de protection des données de l’Union Européenne (GDPR – General Data Protection Regulation) Trend Micro dévoile les résultats d’une étude sur le ressenti des DSI français face à cette nouvelle réglementation 

Officiellement adopté le 14 avril dernier, le GDPR entrera en vigueur en France en 2018. Il sera applicable à toutes les entreprises européennes et non européennes fournissant des biens et services et détenant des informations personnelles de citoyens européens. Quel est le niveau de connaissance des entreprises à ce sujet ? Sont-elles conscientes des enjeux, de ce qu’elles encourent en cas de non-conformité et des politiques à mettre en place pour y remédier ? Trend Micro fait le point sur la situation.

Les entreprises françaises encore peu préparées à la nouvelle réforme

Il ressort de l’étude qu’en 2016, 31% des DSI français ignorent toujours l’existence de cette nouvelle réglementation et ce, alors même que celle-ci a été adoptée en avril dernier. Par ailleurs, 1 décideur sur 10 pense toujours que cette réforme ne s’applique pas à son organisation.

Parmi les DSI les mieux informés, la très grande majorité (90%) connaît les conditions imposées par le GDPR. Cependant, quand un tiers d’entre eux pense avoir entre 6 à 12 mois pour s’y conformer, près de 7% pense plutôt avoir entre 2 et 3 ans pour le faire !

Si un peu moins de la moitié des DSI interrogés (44%) sont conscients que des sanctions leur seront appliquées en cas de non-respect, ils ignorent toutefois à quels types d’amendes ils devront faire face. Une situation d’autant plus alarmante qu’1 DSI sur 10 ignore l’existence même de sanctions applicables.

« Les entreprises surprises en situation de non-conformité s’exposent à une amende pouvant s’élever à 4% de leur chiffre d’affaires ou jusqu’à 20 millions d’euros* », rappelle Loïc Guézo, Stratégiste Cybersécurité Europe du Sud, Trend Micro. « Au vu de tels chiffres, Il est donc primordial que l’ensemble de l’organisation prenne conscience du défi que représente la confidentialité des données ». 

Mise en conformité : où en est-on ?

Deux ans après l’annonce de la nouvelle réglementation, seule une petite proportion des DSI (5%) affirme ne pas connaître les étapes nécessaires pour se conformer à cette nouvelle directive. Ils ne sont en effet que 23% à être conscients de devoir recruter un délégué à la protection des données.

En ce qui concerne la mise en conformité, 38% des personnes interrogées pensent que le chef d’entreprise est responsable, quand 33% estiment que la responsabilité incombe à l’ensemble de l’entreprise.

L’étude a également cherché à mettre en lumière les facteurs considérés comme des obstacles majeurs à la mise en conformité. Pour ¼ des personnes sondées, le premier facteur cité est le faible niveau de sécurisation des données. Suivent ensuite : le manque d’outils de sécurité performants (23%), les restrictions  liées au système informatique (22%) et le manque de ressources financières (19%). 

Sécurité informatique et protection des données

L’étude montre que le stockage des données reste un enjeu prioritaire pour les DSI. Ainsi, 60% d’entre eux souhaitent plus de transparence afin de pouvoir appréhender ce sujet de façon plus sereine.

Par ailleurs, 69% des sondés déclarent qu’un processus officiel a été mis en place au sein de leur entreprise afin que les autorités en charge de la protection des données soient informées dans les 72h suivant une faille. Dans cette optique et suite aux failles de données de grande ampleur comme chez TalkTalk ou Sony, 87% des sondés avouent avoir revu leur stratégie de protection des données. Presque 50% d’entre eux ont ainsi mis en place de nouveaux processus.

En termes de « droit à l’oubli », la moitié des personnes interrogées considère que leur organisation a déployé les processus et technologies adéquats pour adresser cette problématique. Un chiffre en demi-teinte qui prouve qu’il reste encore beaucoup à faire pour assurer la protection des informations des individus.

« Dans un contexte de multiplication et de sophistication des attaques, il est primordial que les DSI commencent dès aujourd’hui à mettre en place une stratégie de gestion des risques efficace et adaptée », explique Loïc Guézo. « Cette étude montre que la prise de conscience est bien réelle, mais qu’il reste cependant du chemin à parcourir ».

Selon le GDPR le responsable de l’entreprise est tenu de garantir une sécurité optimale tenant compte des risques encourus et de la nature des données à protéger. Parmi les organisations en mesure d’assurer un tel niveau de sécurité, ¼ d’entre-elles estime que les solutions dans lesquelles elles investissent doivent être testées par des organismes indépendants comme NSS Labs ou AV Test. 20% considèrent qu’elles doivent être recommandées par des cabinets d’analystes tels que Gartner, IDC ou Forrester.

Enfin, constat rassurant : une grande majorité (71%) des sondés ont confiance en leur entreprise lorsqu’il s’agit de protection des données !

By
@coesteve1
backtotop