Moins de la moitié des décideurs se sentent concernés par le RGPD

0

Nombre de décideurs dans le monde entier ne perçoivent pas les implications futures du Règlement Général sur la Protection des Données (RGPD) ou d’autres normes réglementaires comme PCI-DSS ou ISO 27001/2. C’est des conclusions du rapport Risque-Valeur 2017 de NTT Security mené auprès de 1 350 décideurs hors fonction IT (35 % de cadres dirigeants).

En effet, un cadre sur cinq ignore ses obligations réglementaires en matière de cybersécurité. Premier point notable, seuls 40 % des sondés estiment que le RGPD concerne leur entreprise. Chiffre plus inquiétant encore : 19 % confient ne pas connaître leurs obligations réglementaires en matière de cybersécurité. Ainsi, au Royaume-Uni, seuls 39 % des cadres interrogés sont conscients de leurs obligations de conformité au regard du RGPD, alors que 20 % avouent être dans le flou.

Sans surprise, les décideurs hors UE sont encore moins au fait des ramifications du RGPD. Bien qu’il s’applique à toute entreprise collectant des données de citoyens européens, un quart seulement des cadres américains se sentent concernés par le nouveau règlement. L’Australie (26 %) et Hong Kong (29 %) ne font guère mieux.

Le 25 mai 2018 marquera l’entrée en vigueur du RGPD. Les entreprises ont donc moins d’un an pour se mettre au diapason des nouvelles règles de sécurité et de confidentialité des données. En cas de non-respect, les régulateurs prévoient des sanctions sans précédent : 20 M€ ou 4 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé. 

Alors que les questions de gestion et de stockage des données sont au cœur du RGPD, le rapport Risk:Value révèle qu’un tiers des sondés ignorent où se trouvent leurs données. Autre chiffre inquiétant, seuls 47 % affirment que toutes leurs données critiques sont à l’abri. Parmi ceux qui connaissent l’emplacement de leurs données, moins de la moitié (45 %) se disent « parfaitement conscients » de l’impact du RGPD sur leurs politiques de stockage. Fait intéressant : ce sont les secteurs de la banque/finance et de l’informatique/high-tech qui obtiennent les meilleurs scores sur ces questions.

Pour Garry Sidaway, VP Security Strategy & Alliances chez NTT Security, la situation est claire: « Dans un monde rempli d’incertitudes, une chose est sûre : les entreprises à vocation internationale feraient bien de noter la date du 25 mai 2018 dans leur calendrier. Même si le RGPD est une initiative européenne, son impact se fera sentir dans le monde entier pour tous les acteurs collectant ou conservant des données personnelles de citoyens européens. Notre rapport montre clairement qu’une part considérable de décideurs ignorent ou ferment les yeux sur ce nouvel enjeu. Malheureusement, trop d’entreprises ne voient dans la conformité qu’un exercice coûteux sans réelle valeur ajoutée. Or, faire l’impasse sur ces questions, c’est justement s’exposer à des pertes de chiffre d’affaires ainsi qu’à de lourdes sanctions financières. »

Réputation, chiffre d’affaires, démissions…

Bien peser les conséquences 

  • Un sondé sur huit estime qu’une mauvaise sécurité de l’information représente le risque n° 1 pour son entreprise. La « perte de parts de marché » reste toutefois le principal risque évoqué (28 %).
  • 57 % des sondés sont convaincus que leur organisation subira tôt ou tard une violation de données.
  • Interrogés sur les conséquences d’une violation, les sondés citent d’abord des pertes financières à court terme puis, à plus long terme, une entrave au développement de l’entreprise. Ils mentionnent également la perte de confiance du client (55 %), l’atteinte à la réputation (51 %), l’impact financier (43 %) et, dans une moindre mesure, le départ de collaborateurs (13 %) et de cadres dirigeants (9 %).
  • Entre 2015 et 2017, le coût moyen de rétablissement des activités a grimpé de 907 000 dollars à 1,35 million de dollars.
  • Entre 2015 et 2017, l’impact sur le chiffre a reculé de près de trois points (de 12,51 % à 9,95 %). Il reste néanmoins considérable.
  • 56 % des cadres interrogés affirment que les questions de cybersécurité sont régulièrement débattues aux réunions de direction. Du chemin reste encore à parcourir pour que les dirigeants s’impliquent davantage dans ces questions.
  • En moyenne, les entreprises ne consacrent que 15 % de leur budget informatique à la sécurité de l’information, même si ce chiffre est en hausse par rapport à 2015 (13 %) et 2014 (10 %). Une part considérable de sondés affirment privilégier la R&D (31 %), le commercial (28 %) ou le marketing (27 %).

L’importance d’une culture axée sur la sécurité 

  • 56 % des sondés affirment disposer d’une politique formelle de sécurité de l’information, contre 52 % en 2015. Un peu plus du quart (27 %) se disent en phase d’implémentation, tandis que 1 % ne possèdent ni ne prévoient d’instaurer une politique de sécurité.
  • Parmi les participants ayant mis en place une politique formelle, 79 % déclarent en avoir communiqué le contenu de façon active auprès de tous les collaborateurs. Sur ce terrain, l’Allemagne et l’Autriche décrochent la palme (85 %), talonnée par les États-Unis (84 %) et le Royaume-Uni (83%). Néanmoins, seuls 39 % des sondés assurent que leurs collaborateurs connaissent réellement le contenu de ces politiques.
  • La mise en place d’une politique de sécuriré de l’information varie fortement d’un pays à l’autre. Alors que certains pays comme la Suède (30 %) traînent des pieds, d’autres comme le Royaume-Uni prennent les devants (72 %).
  • Si l’on procède à une analyse par secteur, la santé émerge en tête de peloton, avec 69 % des entreprises possédant une politique formelle de sécurité de l’information. La finance suit de près avec 66 %.
  • Moins de la moitié des entreprises (48 %) disposent d’un plan d’intervention sur incidents, même si 31 % affirment qu’un plan est en cours d’implémentation Toutefois, seuls 47 % des décideurs en connaissent précisément le contenu.

About Author

Globb Security France

Leave A Reply