DIGITAL SOLUTIONS
Du GDPR à Game of Thrones : ‘l’hiver vient’, un présage également pour les responsables sécurité ?
Chez 57% des entreprises interrogées, la direction (CEO et autres cadres supérieurs) ne veut pas assumer la moindre responsabilité en matière de GDPR.
October 20, 2017
Résultats pour le moins stupéfiants de notre enquête GDPR auprès de cadres dirigeants, en Europe et aux Etats-Unis : la plupart des dirigeants y brillent par leur arrogance et leur ignorance. Par ailleurs, une info toute aussi incroyable, l’été dernier, pour tous les inconditionnels de Game of Thrones : la fin de la saison 7 de cette série épique était déjà disponible en ligne avant même d’avoir été diffusée. Ces deux informations n’ont rien à voir entre elles, pensez-vous ? Et pourtant elles sont bien plus intimement liées que vous ne pourriez l’imaginer. – Par Steven Heyde, directeur régional Benelux chez Trend Micro
Commençons par notre enquête… Voici quelques résultats en vrac. Chez 57% des entreprises interrogées, la direction (CEO et autres cadres supérieurs) ne veut pas assumer la moindre responsabilité en matière de GDPR. 42% des sociétés ignorent que l’e-mail marketing implique des PII (personally Identifiable Information) ou données personnelles identifiables et qu’une protection s’impose dès lors à ce niveau, aux termes de la réglementation GDPR. Et pourtant, 79% des sociétés sont convaincues que leur sécurité est parfaitement étanche… S’ajoute encore à cela que 22% des entreprises estiment qu’une amende pour cause d’infraction à la réglementation GDPR ne leur porterait pas préjudice.
Chacun de ces chiffres me fait froncer les sourcils. Les directions générales semblent en effet avoir trop peu conscience du fait que la protection et l’utilisation légitime des données peuvent avoir un bien plus grand impact sur la gestion de l’entreprise qu’un signalement comme incident insignifiant ou qu’une petite amende qui n’aurait que des conséquences mineures. Je connais peu de sociétés qui ne seraient pas sérieusement affectées par une amende qui peut aller jusqu’à 4% du chiffre d’affaires. Mais ce qui est encore plus inquiétant est le fait qu’un grand nombre d’entreprises semblent ne pas (encore) connaître précisément la portée du GDPR et que les risques d’infraction sont dès lors bien plus grands qu’elles se l’imaginent.
Virus et Marcheurs Blancs : à ne pas prendre à la légère
J’espère que des résultats tels ceux qu’ont livrés notre enquête feront office de signal d’alarme pour les entreprises et les pousseront à passer à l’action afin de définir une stratégie globale en matière de protection des données et d’utilisation adéquate de celles-ci. Le GDPR n’est par ailleurs pas la seule source de préoccupation pour les entreprises. HBO en a à nouveau fait l’expérience à l’occasion de la fin de saison de “Game of Thrones”.
Quelques semaines avant que les derniers épisodes soient diffusés, la chaîne payante HBO a reçu un message provenant d’un groupe de hackers l’avertissant qu’ils avaient mis la main sur 1,5 To de données appartenant à la chaîne et, parmi elles, les scripts des épisodes de “Game of Thrones” devant encore être diffusés. Ils menaçaient de les publier en-ligne si HBO ne leur versait pas une “rançon” de plusieurs millions de dollars. Toute cette affaire s’est finalement bien terminée mais elle illustre une fois encore que le véritable danger, lors d’opérations de piratage et de vol de données, n’est pas forcément l’épée de Damoclès du GDPR. Plus vos activités se déroulent dans un contexte Internet, plus grand sera le danger qui pèsera sur elles et sur votre chiffre d’affaires. Dans le cas de HBO, les pirates informatiques prétendaient d’ailleurs détenir toutes les coordonnées de contact et d’autres informations au sujet d’acteurs et d’autres collaborateurs de séries HBO. Toutes informations qu’ils menaçaient aussi de rendre publiques. Voilà un épisode qui ressemble beaucoup à la fuite qu’a subi Sony Pictures et qui a fini par coûter sa place au patron de Sony.
Quiconque a regardé “Game of Thrones” comprendra aisément le titre que nous avons donné à ce billet de blog. “L’hiver vient” pour tous ceux qui ne sont pas encore sortis de leur torpeur et qui ne sont pas encore passés à l’action. Ceux qui tournent les dangers en dérision pourraient fort bien s’en mordre les doigts. Les virus ont certes un air moins sinistre que le Marcheur Blanc lambda mais ils ont un pouvoir de destruction tout aussi ravageur. La situation n’en est pas désespérée pour autant. Contrairement à l’arrivée imminente de l’hiver dans “Game of Thrones”, les entreprises ont encore la possibilité d’éviter la menace.
Ceci n’est pas une charge opérationnelle mais une pratique métier durable
Les CEO seraient bien inspirés d’accorder plus d’attention au GDPR en particulier et à la protection des données en général. Une violation de données et une utilisation illégitime de données peuvent avoir d’énormes conséquences – depuis la démission pour le CEO jusqu’à des préjudices irréparables pour l’entreprise. La réglementation GDPR imposée par l’Europe est en fait l’occasion idéale pour remettre de l’ordre dans les affaires et de rehausser le degré de sécurité.
“Il est plus que temps que les entreprises envisagent les investissements qu’elles consentent dans du matériel à la pointe de la technologie et dans des politiques robustes de protection de données comme des pratiques commerciales durables et non plus comme une charge opérationnelle”, relevait, avec un gros soupir, Rik Ferguson, notre vice-président Security research, à la lecture de ces résultats. Je ne peux qu’approuver son point de vue en y ajoutant cette réflexion supplémentaire: espérons que nous n’enregistrerons pas, l’année prochaine, des pourcentages du même acabit mais qui pointeraient cette fois vers des responsables qui auraient encouru leur première amende GDPR. Ou des pourcentages encore plus mauvais…