in

Etude Trend Micro : les entreprises rechignent à effectuer les investissements de sécurité informatique nécessaires pour être conformes aux exigences du RGPD

Selon une enquête Trend Micro, plus de 20 % des organisations ne respectent pas la réglementation en ce qui concerne la notification des violations de données.

Selon une étude réalisée par Trend Micro, entreprise japonaise et leader mondial de solutions et logiciels de sécurité,  63 % des entreprises mondiales ont mis en place un dispositif pour notifier leurs clients des violations de données, tandis que la moitié d’entre elles seulement (51 %) a augmenté ses investissements en matière de sécurité informatique en vue de l’entrée en vigueur du RGPD, et ce en dépit des demandes des équipes techniques.

Trend Micro a effectué cette enquête auprès de 1 000 décideurs informatiques travaillant dans des entreprises de plus de 500 collaborateurs au Royaume-Uni, aux États-Unis, en France, en Italie, en Espagne, aux Pays-Bas, en Allemagne, en Pologne, en Suède, en Autriche et en Suisse.

Mise en conformité

Les résultats révèlent que moins d’un tiers des personnes interrogées (31 %) déclare avoir réalisé des investissements en matière de chiffrement, point pourtant mentionné dans le RGPD. De même, peu d’entreprises ont investi dans la prévention des pertes de données (33 %) ou dans des technologies avancées conçues pour détecter les intrusions au sein du réseau (34 %).

Pour un quart des sondés, « une sécurité informatique insuffisante » (25 %) et « un manque de dispositifs efficaces de protection des données » (24 %) représentent les principaux défis liés à la mise en conformité. 25 %  des organisations considèrent par ailleurs que le manque de ressources constitue le défi numéro 1 en matière de mise en conformité. Plusieurs raisons peuvent être avancées quant à ce manque d’investissements.

« Le RGPD stipule clairement que les entreprises doivent adopter des technologies de pointe pour mieux contrer les cyber-menaces et protéger leurs systèmes et leurs données sensibles. Le fait que les leaders informatiques ne disposent pas des fonds nécessaires ou qu’ils ne soient pas capables d’identifier les outils correspondants pour assurer leur mise en conformité est particulièrement préoccupant », estime Bharat Mistry, Principal Strategist chez Trend Micro. « Les entreprises ont besoin d’un système de défense structuré qui soit basé sur un éventail d’outils et de techniques cross-générationnels, des Endpoints jusqu’au réseau et à l’environnement Cloud hybride. »

Outre le manque d’investissement en matière de sécurité, l’enquête révèle également que seules 37 % des entreprises mondiales ont investi dans des programmes de sensibilisation de leurs collaborateurs.

Le délai de 72 heures  

L’étude met en évidence le fait que bon nombre d’entreprises ne semblent pas prêtes à notifier une violation de données dans les 72 heures, comme l’impose la nouvelle réglementation. 21 % des sondés affirment avoir mis en place un dispositif formel visant à notifier uniquement l’autorité de protection des données. Toutefois, l’Article 34 du RGPD stipule que les individus doivent également être informés si une violation de données engendre un risque élevé pour leurs droits et libertés.

Environ 6 % des répondants déclarent n’avoir mis en place aucun dispositif. Plus inquiétant encore, 11 % d’entre eux ne savaient même pas si un dispositif avait ou non été prévu au sein de leur organisation.

Un élément essentiel du RGPD, le « droit à l’oubli », suscite des interrogations quant à la capacité des entreprises à garantir sa mise en œuvre.

Si 77 % des entreprises affirment avoir mis en place les dispositifs correspondants pour répondre à toute demande possible des clients concernant l’usage de leurs données personnelles, cela s’applique uniquement aux données traitées en interne. Le constat est toutefois bien différent lorsque les données des clients sont traitées par des tierces parties.

Près d’un tiers des entreprises n’ont pas mis en place de dispositifs ou de technologies – ou ignorent si elles en disposent – pour traiter les demandes relevant du droit à l’oubli concernant les données collectées par des agences tierces (36 %), des prestataires de services Cloud (32 %) ou des partenaires (32 %).

« Ce cadre juridique apporté par le RGPD est une chance ! Que vous soyez grand ou petit, vous avez ici un nouveau levier, un avantage concurrentiel via la protection des données personnelles gérées et qui, à terme, sera synonyme de confiance », conclut Loïc Guézo, CyberSecurity Strategist Europe du Sud pour Trend Micro.

Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.