in Sécurité

GDPR : 44 % des entreprises échouent dans l’investigation et le signalement des fuites de données dans les temps, selon une étude Balabit

  • Les entreprises vont très rapidement devoir raccourcir les délais de détection et d’investigation pour répondre à l’exigence de signalement des fuites de données sous 72h, instaurée par le Règlement Général sur la Protection des Données personnelles au niveau européen 
  • A défaut, elles s’exposeront à une amende équivalente à 4 % de leur chiffre d’affaires mondial, aux motifs de non protection des données personnelles et d’absence de signalement dans les temps

Balabit, éditeur de technologies de sécurité contextuelle, présente en amont des Assises de la Sécurité, les résultats de son étude CSI sur les investigations de sécurité, réalisée auprès de 108 professionnels lors de la conférence RSA 2016 de San Francisco en mars dernier. 

Principaux enseignements de cette étude :

  • La majorité des entreprises (75 %) se sont fixées un délai limite dans les investigations à mener en interne suite à un incident de sécurité.
  • Malgré leur conformité à la réglementation existante, 44 % des professionnels interrogés déclarent dépasser régulièrement ce délai limite d’investigation.
  • Et 7 % déclarent avoir déjà été condamnés à une amende ou avoir déjà été confrontés à de très sérieuses problématiques de conformité.  

Péter Gyöngyösi, Responsable Produit chez Balabit souligne que : « Balabit a identifié que la première raison à cette incapacité à investiguer rapidement les fuites de données est le fait que les entreprises ne parviennent pas à extraire les informations nécessaires pour enquêter, au sein d’un volume important de données non structurées gérées par leurs outils existants ».

Les entreprises passent en effet à côté d’informations contextuelles importantes qui, avec l’aide de capacités analytiques, leur permettraient de transformer les données en informations de valeur directement exploitables.

L’analyse des résultats établit que malgré la révélation des cas de fuites de données par les médias, la plupart des entreprises cachent – intentionnellement ou par négligence – ce type de failles de sécurité par peur des impacts sur leur réputation et leur business. Posséder des outils de sécurité adaptés n’est pas une fin en soi, ceux-ci doivent a minima être intégrés les uns avec les autres, et les informations agrégées doivent être analysées en temps réel. Faute de quoi, les outils installés assurent la conformité de l’entreprise sans permettre d’identifier et d’être alerté sur les failles. 

GDPR : de nouvelles obligations liées au reporting des incidents

L’enquête Balabit révèle que près d’1/3 des entreprises n’ont pas l’obligation légale de signaler leurs incidents de sécurité. Parmi les 70 % d’entreprises soumises à une obligation de signalement, 1/4 n’ont aucune limite de temps imposée pour signaler l’incident. Cependant, la pression réglementaire croissante va changer la donne. La GDPR – qui sera effective en mai 2018 – va affecter les entreprises qui traitent des données personnelles en Europe, et les entreprises dont l’activité s’étend sur l’Europe.
Afin d’être en mesure de respecter le délai de signalement de 72h défini par la GDPR, les entreprises vont devoir rapidement et considérablement accélérer leurs capacités de détection et d’investigation. A défaut, elles s’exposeront à une amende conséquente pouvant atteindre 4 % de leur chiffre d’affaires mondial aux motifs de la non protection des données personnelles sensibles et de non signalement d’une fuite de données dans le respect de la limite de temps fixée.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.