Malgré une réglementation plus stricte et des cybermenaces omniprésentes, le niveau de sécurité des données en entreprises ne progresse pas. Pire, les entreprises sont encore plus nombreuses à exposer leurs données sensibles, qu’il y a un an !

Tel est le constat fait par le rapport Global Data Risk Report que vient de publier le spécialiste de la gouvernance et de la sécurité des données Varonis qui est assez largement confirmé par le Vulnerability and Threat Trends Report de Skybox.

Le 25 mai prochain, l’Union européenne célébrera la première année d’entrée en vigueur du Règlement général pour la protection des données, qui a tant fait parler de lui. Ce règlement, qui vise à renforcer et unifier la protection des données pour les individus au sein de l’Union européenne, est aujourd’hui un texte de référence en matière de protection des données à caractère personnel. Et si ce dernier a permis de renforcer la protection des données personnelles de chaque individu, il a aussi eu un impact retentissant sur les entreprises.

Déjà alarmant l’an passé, le nouveau rapport démontre que les entreprises sont encore plus nombreuses à exposer (laisser en accès libre en interne) leurs données sensibles (informations personnelles, données de santé, bancaires, identités, etc.). En moyenne, 22% des fichiers d’une entreprise sont accessibles à l’ensemble des employés, et dans 53% des entreprises, ce sont au moins 1000 fichiers contenant des données sensibles qui sont laissés en accès libre à tous les employés. Le cap des 1000 fichiers ne concernait que 41% des entreprises il y a un an… 

Autre fait marquant, les mots de passe utilisateur qui n’expirent jamais et qui permettent aux pirates de disposer de davantage de temps pour compromettre des sessions utilisateurs : une proportion significativement plus élevée qu’il y a un an.

Les dossiers sensibles obsolètes augmentent le risque d’amendes, en vertu du RGPD, de la California Consumer Privacy Act (CCPA), de l’HIPAA. Près de neuf des entreprises sur dix ont plus de 1 000 dossiers contenant des données sensibles dont elles n’ont plus l’utilité.

Les utilisateurs « fantômes » donnent aux anciens salariés et sous-traitants (qui ont quitté l’entreprise ou ne sont plus en relation avec elle) ont un accès inutile à des informations sensibles : 50 % des comptes d’utilisateurs ne sont plus actifs.

Des différences selon les secteurs

Les habitudes en matière de protection de leurs informations les plus sensibles, différèrent selon les industries, et la zone géographique. Les entreprises du retail semblent être les « meilleurs élèves » puisqu’elles ont le plus petit nombre de fichiers sensibles exposés. Malgré leur prise de conscience de longue date des problématiques de cybersécurité, les entreprises de services financiers se révèlent faire partie des « mauvais élèves » en matière de données exposées, les secteurs où le plus grand nombre de fichiers sensibles exposés a été trouvé sont la santé, la pharmaceutique et la biotechnologie.

De nouveaux risques ? 
Selon le Vulnerability and Threat Trends Report, en 2018, le nombre de vulnérabilités a dépassé celui de l’année précédente, avec une augmentation de 12 % du nombre total de vulnérabilités publiées en 2017.Les entreprises ne doivent donc pas baisser la garde. Bien au contraire. L’hameçonnage et les malwares demeurent courants et les cybercriminels évoluent constamment dans leurs tactiques d’attaques.

Ainsi, la mise en conformité au RGPD est primordiale. Mais les entreprises doivent redoubler de vigilance : il n’est pas question de délaisser tous les processus et politiques de sécurité en place pour répondre uniquement aux besoins du RGPD. Il est nécessaire d’adopter une stratégie globale, intégrant le RGPD. En effet, la mise en conformité peut apporter son lot d’exigences et créer un capharnaüm dans toutes les politiques de sécurité à mettre en place : une aubaine pour les cybercriminels !

SOURCE