Google a annoncé la fermeture de son réseau social Google+ suite à une erreur logicielle ayant conduit à l’exposition de données de près de 500 000 utilisateurs. Selon le Wall Street Journal, Google était au courant de la faille en mars dernier mais ne l’a pas déclarée à ce moment-là, en raison d’une note interne qui aurait indiqué que cela aurait conduit à des pénalités financières immédiates de la part des régulateurs.

Il n’est malheureusement pas rare qu’une organisation essaie de dissimuler un incident par crainte d’être soumise à un contrôle règlementaire ou de subir un préjudice sur sa réputation. D’un côté, les entreprises tardent à déclarer rapidement les failles de données dont elles sont victimes en raison de procédures strictes et d’amendes conséquentes qui leur sont infligées pour non-respect des règles de conformité. Or, si les organisations dissimulent les incidents de sécurité jusqu’au moment où elles sont obligées de les déclarer, les régulateurs et gouvernements n’auront pas d’autre choix que de renforcer les pénalités et de définir des standards encore plus contraignants.

A l’heure du RGPD, de tels comportements peuvent conduire à des amendes substantielles. Pour éviter cela, les entreprises doivent avoir le contrôle sur leurs données – incluant une vision claire sur les activités internes dans l’environnement informatique et une connaissance précise de l’endroit où se trouvent les données sensibles et des personnes ou machines qui peuvent y accéder. En outre, elles doivent également mettre en place un plan exhaustif et éprouvé de réponse à incident, ainsi qu’une stratégie de communication interne et externe afin de préserver au maximum leur image et leurs fonds.

__________
Pierre-Louis Lussan est Country Manager France chez Netwrix