RGPD et sécurité informatique: des investissements insuffisants en entreprise
L'échéance du 25 mai approche, et les responsables SI sont loin d'être satisfaits des moyens dont ils disposent pour accompagner la mise en conformité au RGPD. Le chiffrement et la prévention des pertes de données ne figurent visiblement pas au nombre des investissements prioritaires.
Si le RGPD donne des sueurs froides aux dirigeants d'entreprise, pour autant, tous ne sont pas prêts à déployer des moyens pour se mettre en conformité. Seule la moitié des entreprises mondiales (51%) a augmenté ses investissements en matière de sécurité informatique en vue de l'entrée en application du RGPD le 25 mai prochain, selon une étude réalisée par Trend Micro(1), société spécialisée dans les solutions et logiciels de sécurité.
La sensibilisation des collaborateurs reste faible
Alors qu'un quart des décideurs informatiques interrogés estiment que leurs principaux défis face au RGPD sont "une sécurité informatique insuffisante" et "un manque de dispositifs efficaces de protection des données", 25% des organisations reconnaissent que le manque de ressources constitue le principal écueil dans leur démarche de mise en conformité. Et c'est là que le bât blesse: pour les responsables SI, les investissements sont indispensables pour se conformer au nouveau règlement européen sur la protection des données personnelles. Pour l'heure, moins d'un tiers (31%) a pu réaliser des investissements en matière de chiffrement, alors même que ce point est mentionné dans le RGPD. Au-delà des aspects techniques, l'enquête révèle que seules 37% des entreprises mondiales ont investi dans des programmes de sensibilisation de leurs collaborateurs. Situation regrettable, quand on sait qu'en matière de cyber-sécurité, l'humain reste le maillon faible.
Notons que seules 33% des entreprises ont investi dans la prévention des pertes de données et 34% dans des technologies avancées conçues pour détecter les intrusions au sein du réseau. Or le règlement oblige les responsables de traitement, en cas de violation de données, à notifier l'événement aux personnes concernées sous 72 heures. Or seuls 21% des sondés déclarent avoir mis en place un dispositif formel de notification. Toutefois, ces dispositifs n'informent que les autorités de protection des données, et non les propriétaires des données, comme le prévoit le règlement. Pire encore: 6% n'ont mis en place aucun dispositif, et 11% ne savent même pas si une telle solution est prévue au sein de leur organisation. Si cette enquête fait ressortir les inquiétudes des décideurs informatiques, il ne faut pas oublier que loin d'être un sujet limité aux SI, la mise en conformité au RGPD constitue un vrai projet d'entreprise impliquant tous les acteurs qui exploitent, directement ou indirectement, des données personnelles au sein de l'organisation.
(1) Enquête réalisée auprès de 1000 décideurs informatiques travaillant dans des entreprises de plus de 500 collaborateurs au Royaume-Uni, aux États-Unis, en France, en Italie, en Espagne, aux Pays-Bas, en Allemagne, en Pologne, en Suède, en Autriche et en Suisse.
Sur le même thème
Voir tous les articles Réglementation