Alors que nous célébrons le premier anniversaire du RGPD (règlement général de protection des données s’appliquant à tous les citoyens européens), Raphael Bousquet VP Europe du Sud chez de Palo Alto Networks appelle les sociétés à profiter de ce règlement européen pour améliorer leurs capacités à identifier les vulnérabilités informatiques et à s’en défendre.
En ce qui concerne l’approche consistant à ne rien changer (ou « business as usual ») de nombre d’entre elles.
Le sérieux avec lequel les entreprises ont appliqué la nouvelle réglementation varie énormément. Alors que certaines sociétés ont utilisé le RGPD pour aller encore plus loin et s’assurer que leurs pratiques en matière de cybersécurité étaient bien optimales ; beaucoup d’autres, bien trop, ont préféré continuer comme avant.
À l’approche de ce premier anniversaire, il est plus que temps de rappeler aux sociétés qu’elles doivent mesurer les progrès faits l’an dernier, et le travail qu’il reste à accomplir.
En exemple, la récente étude gouvernementale réalisée en Angleterre sur les failles de sécurité informatique démontre qu’un tiers des entreprises britanniques avaient changé leurs pratiques en matière de cybersécurité en raison du RGPD, même si un peu de progrès vaut mieux que rien du tout. En France, la CNIL a enregistré quant à elle, une hausse des plaintes de 32% en 2018 (11 000 au total).
Certains pourront être surpris de voir des amendes liées au RGPD en raison de pertes de données. Les autorités semblent examiner avec soin les pertes potentielles, et je suppose que dans ces tout premiers cas il doit y avoir des allers-retours pour éclaircir certains points. Il est également bon de se souvenir que ces amendes dans le RGPD étaient prévues pour être un filet de sécurité pour lutter contre de graves délits.’ La CNIL de son côté a prononcé 49 mises en demeure dont 13 publiques, infligeant même à 10 reprises des amendes pour 1,2 million d’euros.
En ce qui concerne le manque de compétences et comment l’automatisation de la sécurité peut y pallier.
Malheureusement, trop de sociétés n’ont toujours pas les moyens d’identifier et de colmater les fuites de données à temps et de façon efficace. Cela se confirme chaque jour avec les fuites de données en cours, et la façon dont les entreprises affectées ont du mal à mesurer l’étendue des dégâts. ‘Si les entreprises n’arrivent pas à surmonter le manque crucial de moyens humains en cybersécurité en adoptant une solution automatisée de cybersécurité, nous devons nous attendre à voir le fossé entre les besoins et les capacités à y répondre s’élargir de jour en jour.
Aller au-delà : la directive NIS et la 5G
Il est également crucial que les entreprises considérées comme des opérateurs de services vitaux et les prestataires de services numériques n’oublient pas la directive NIS, qui est passée au second plan avec la vague de commentaires autour du RGPD.
En réalité, virtuellement toutes les entreprises s’apprêtent à être encore plus numérisées. Avec la 5G en approche, le volume de services de données interconnectés va croître de façon exponentielle.
Avec toujours plus d’informations numérisées et plus d’entreprises cherchant à tirer parti de leurs données, l’échelle des risques ne peut qu’aller croissant.