Le nouveau rapport 2020 sur le risque et la sécurité des données de Netwrix n’est guère optimiste même s’il traduit en chiffre une impression généralisée qu’en matière de gouvernance et sécurisation des données, tout reste à faire…

Les chiffres du dernier rapport Netwrix « Data Risk & Security 2020 » sont pour le moins éloquents :

77% des entreprises françaises contreviennent au Règlement Général sur la Protection des Données (RGPD) – et s’exposent à des amendes – car elles sont incapables de déterminer si elles conservent un volume de données clients supérieur à ce qui est nécessaire. Un pourcentage très supérieur à la moyenne européenne qui est de 58%.
88% d’entre elles n’ont mis aucun programme en place pour la conservation des données, pourcentage le plus de tous les pays suivis par l’étude.
87% d’entre elles éprouvent des difficultés à identifier les données redondantes, obsolètes et inutiles. Pas étonnant dès lors de constater que 50% des entreprises françaises ne suppriment pas ou rarement ces données « ROT » (Redundant, Old and Trivial). Plus gênant encore, 13% ont supprimé par erreur des données sensibles ou réglementées au cours de l’année écoulée.
33 % des entreprises françaises pensent également que leurs employés partagent des données par l’intermédiaire d’applications dans le cloud qui échappent au contrôle ou aux connaissances des services IT. Parmi ces organisations, aucune ne dispose de processus automatisés permettant de surveiller le partage des données entre les employés. On notera au passage que 100% des entreprises françaises sont pourtant convaincues que le partage non sécurisé des données peut mettre en péril leur transformation numérique.
22 % des responsables français interrogés reconnaissent avoir subi un incident de sécurité dû à un partage de données non autorisé au cours des 12 derniers mois.
11% des entreprises françaises interrogées ont enregistré une utilisation abusive de données sensibles ou règlementées au cours de l’année écoulée.

Un mauvais élève…

Bref, si l’on en croit le rapport Netwrix, la France fait partie des mauvais élèves en matière de gouvernance des données. Les rapporteurs signalent par ailleurs que « 44% des entreprises françaises interrogées ne classent pas les données au moment de la création. Étant donné qu’une exigence fondamentale du RGPD est de collecter uniquement les données critiques de l’entreprise auprès des citoyens de l’UE, de nombreuses organisations françaises courent un risque élevé d’amendes élevées pour non-conformité ».
Selon Netwrix, nos entreprises manquent à la fois de classification des données et d’un programme de conservation des données alors que toutes reconnaissent stocker des données à caractère personnel (PII, Personally Identifiable Information) et que toutes doivent se conformer au RGPD.

« Alors que les responsables IT en France se concentrent actuellement sur la transformation numérique et la cybersécurité, ils négligent les questions internes qui exposent leur organisation à des risques de violation de données ainsi qu’à de lourdes amendes au titre du RGPD, analyse Pierre-Louis Lussan, Country Manager France et Directeur South-West Europe chez Netwrix. Pour réduire les risques en matière de sécurité et de conformité, ils doivent disposer d’une visibilité sur tous les processus internes et sur les activités des utilisateurs qui concernent des données sensibles. Cela suppose de repenser la façon dont une entreprise traite les données et de rechercher des outils faciles à utiliser pour lui permettre non seulement de classer et de gérer automatiquement les données, mais aussi de contrôler la manière dont ses employés les utilisent. »

… dans une Europe à la traîne

En dehors de ce focus sur la France, l’étude donne aussi une vision plus générale de la situation en Europe. Ainsi, près d’une entreprise européenne sur cinq (18%) a découvert durant l’année écoulée que des données sensibles étaient stockées hors des espaces sécurisés alors même que 90% des entreprises étaient persuadées que toutes les données tombant sous le coup du RGPD étaient sécurisées. Dans 60% des cas, les données ont été surexposées durant plusieurs jours. Et 73% des entreprises européennes ayant constaté une mauvaise utilisation des données reconnaissent n’avoir pas suffisamment contrôlé les droits d’accès.

Le plus inquiétant cependant, c’est que selon l’étude, « les chefs d’entreprises européennes sont les moins engagés sur les questions de cybersécurité ». Seuls 23% des équipes de direction auraient demandé davantage de rapports sur l’état de la sécurité des données, le plus bas taux de toutes les régions analysées par l’étude. Et seulement 37% des équipes IT européennes s’attendent à voir augmenter en 2020 leur budget sécurité, là encore le plus faible taux. Et seulement 16% des responsables IT européens communiqueraient des KPI de sécurité à leur Direction Générale.

Très riche l’étude trace également d’autres portraits de la sécurité des données par domaine d’activité (20% des entreprises de la Finance ont connu une brèche de données sur l’année) par exemple ou encore par durée écoulée avant la classification des données. Des informations librement consultables dans le rapport Data Risk & Security Report 2020.