Malgré une réglementation plus stricte et des cybermenaces omniprésentes, le niveau de sécurité des données en entreprises ne progresse pas. Pire, les entreprises sont encore plus nombreuses à exposer leurs données sensibles, qu’il y a un an !                                                                        

Tel est le constat fait par le rapport Global Data Risk Report que vient de publier le spécialiste de la gouvernance et de la sécurité des données Varonis qui est assez largement confirmé par le Vulnerability and Threat Trends Report de Skybox.

Le 25 mai prochain, l’Union européenne célébrera la première année d’entrée en vigueur du Règlement général pour la protection des données, qui a tant fait parler de lui. Ce règlement, qui vise à renforcer et unifier la protection des données pour les individus au sein de l’Union européenne, est aujourd’hui un texte de référence en matière de protection des données à caractère personnel. Et si ce dernier a permis de renforcer la protection des données personnelles de chaque individu, il a aussi eu un impact retentissant sur les entreprises.

Déjà alarmant l’an passé, le nouveau rapport démontre que les entreprises sont encore plus nombreuses à exposer (laisser en accès libre en interne) leurs données sensibles (informations personnelles, données de santé, bancaires, identités, etc.). En moyenne, 22% des fichiers d’une entreprise sont accessibles à l’ensemble des employés, et dans 53% des entreprises, ce sont au moins 1000 fichiers contenant des données sensibles qui sont laissés en accès libre à tous les employés. Le cap des 1000 fichiers ne concernait que 41% des entreprises il y a un an…   

Autre fait marquant, les mots de passe utilisateur qui n’expirent jamais et qui permettent aux pirates de disposer de davantage de temps pour compromettre des sessions utilisateurs : une proportion significativement plus élevée qu’il y a un an.

Les dossiers sensibles obsolètes augmentent le risque d’amendes, en vertu du RGPD, de la California Consumer Privacy Act (CCPA), de l’HIPAA. Près de neuf des entreprises sur dix ont plus de 1 000 dossiers contenant des données sensibles dont elles n’ont plus l’utilité.

Les utilisateurs « fantômes » donnent aux anciens salariés et sous-traitants (qui ont quitté l’entreprise ou ne sont plus en relation avec elle) ont un accès inutile à des informations sensibles : 50 % des comptes d’utilisateurs ne sont plus actifs.

Des différences selon les secteurs

Les habitudes en matière de protection de leurs informations les plus sensibles, différèrent selon les industries, et la zone géographique. Les entreprises du retail semblent être les « meilleurs élèves » puisqu’elles ont le plus petit nombre de fichiers sensibles exposés. Malgré leur prise de conscience de longue date des problématiques de cybersécurité, les entreprises de services financiers se révèlent faire partie des « mauvais élèves » en matière de données exposées, les secteurs où le plus grand nombre de fichiers sensibles exposés a été trouvé sont la santé, la pharmaceutique et la biotechnologie.

De nouveaux risques ?

Selon le Vulnerability and Threat Trends Report, en 2018, le nombre de vulnérabilités a dépassé celui de l’année précédente, avec une augmentation de 12 % du nombre total de vulnérabilités publiées en 2017.Les entreprises ne doivent donc pas baisser la garde. Bien au contraire. L’hameçonnage et les malwares demeurent courants et les cybercriminels évoluent constamment dans leurs tactiques d’attaques.

Ainsi, la mise en conformité au RGPD est primordiale. Mais les entreprises doivent redoubler de vigilance : il n’est pas question de délaisser tous les processus et politiques de sécurité en place pour répondre uniquement aux besoins du RGPD. Il est nécessaire d’adopter une stratégie globale, intégrant le RGPD. En effet, la mise en conformité peut apporter son lot d’exigences et créer un capharnaüm dans toutes les politiques de sécurité à mettre en place : une aubaine pour les cybercriminels !

Déjà quelques sanctions

Au cours des douze derniers mois, Google est l’entreprise qui a reçu la plus grosse amende. Les instances de régulation ont donc bien décidé de s’attaquer aux géants de la Tech, mais elles ont commencé petit : l’amende infligée à Google s’est avérée être bien en deçà de la peine maximale. Un maigre sacrifice pour Google, qui aura quand même servi d’exemple sur la première année de mise en conformité.

Parmi les autres entreprises qui ont été condamnées : un hôpital portugais s’est vu infliger une amende de 400 000 euros après que ses employés aient utilisé de faux comptes pour accéder aux dossiers des patients. Une entreprise autrichienne a également été condamnée à une amende de 4800 euros pour avoir installé une caméra de sécurité qui filmait un espace public.

L’information clé qui ressort de cette première année de mise en conformité est que pour la majorité des entreprises ayant été rappelées à l’ordre, il n’y avait pas de violation réelle du règlement, mais plutôt une sorte de négligence ou de manque de respect envers la protection des données.

« Les cybermenaces sont devenues omniprésentes – menace interne, vol de données, malwares/ransomwares, etc. – et pourtant nous constatons que les entreprises sont encore trop peu nombreuses à avoir mis en place des mesures adaptées pour protéger leurs données sensibles. Après un an d’application du RGPD en France, la CNIL vient d’annoncer que le temps de la tolérance touchait à sa fin et que l’Institution allait se montrer beaucoup plus stricte vis-à-vis des entreprises, prévient Norman Girard, VP Europe de Varonis.

« L’application de la RGPD a, depuis un an, changé le paysage de la sécurité en Europe. Nous avons clairement vu une augmentation des notifications et une mise au grand jour de ces sujets qui étaient très souvent « tabous » et peu documentés. On peut donc considérer qu’un an après cette application, le règlement est un succès et une avancée pour l’Europe en termes de sécurité et de notifications, conclut David Grout, Chief Technology Officer EMEA chez FireEye. Dans le même temps, l’adoption de ce règlement aura permis à l’ensemble des organisations de monter en maturité en matière de sécurité.