Les entreprises européennes, et plus particulièrement les entreprises françaises, sont très loin de la conformité exigée par le RGPD. Tel est le constat établi par la firme Gemalto, filiale du groupe Thales spécialisée dans la sécurité numérique des données, dans son dernier rapport.
Ainsi, plus de la moitié d’entre elles sont incapables de localiser les données qu’elles traitent ! C’est un problème car pour ce qui est des données sur des supports physiques, il est plus facile de contrôler ce qui en est fait et éventuellement procéder à la destruction de documents confidentiels. En revanche, lorsque vos données sont stockées sur des serveurs, que ce soit dans vos locaux ou dans le cloud, il est difficile de savoir où se trouvent exactement vos données les plus sensibles.
Failles de sécurité : ces entreprises qui ignorent où sont stockées leurs données
La cinquième édition annuelle du Data Security Confidence Index, nom de l’étude réalisée par Gemalto auprès de 1 050 décideurs informatiques et quelque 10 500 consommateurs partout dans le monde, dresse un bilan inquiétant. En effet, tandis que la gestion des données est essentielle à l’ensemble des démarches sécuritaires, nombre d’entreprises semblent ne pas s’en soucier — ou n’ont du moins pas mis en œuvre les moyens suffisants pour entrer en conformité avec le Règlement Européen sur la Protection des Données.
L’étude de Gemalto tire quatre conclusions. D’une part, uniquement 54 % des entreprises savent où est stocké l’ensemble de leurs données sensibles. Mais les entreprises ont d’autres failles :
- 65 % d’entre elles ne savent pas analyser/catégoriser les données clients qu’elles collectent ;
- 68 % des responsables informatiques et des délégués à la protection des données estiment que leur entreprise ne met pas en place toutes les procédures conformément au RGPD.
La moitié des entreprises doutent de la sécurité de leurs réseaux et infrastructures
En outre, l’étude de Gemalto démontre qu’un grand nombre d’entreprises a peu confiance en la sécurité de leurs données sensibles. Celles-ci sont près de 68 % à penser que des utilisateurs non autorisés peuvent accéder à leurs réseaux.
En règle générale, les responsables informatiques se montrent peu confiants quant à la sécurité de leurs données une fois que les pirates sont à l’intérieur du réseau utilisé par l’entreprise. Le récent cas de la start-up française Spliiit le confirme.
Pour information, le 05 juillet 2021, Spliiit avait omis de protéger une partie des données sensibles de ses clients. Victime d’une cyberattaque, Spliiit n’avait pas renforcé la protection du logiciel qu’elle utilise pour construire son application web : Laravel. Ainsi, un hacker est parvenu à extraire une base de données renfermant l’adresse email, le nom et parfois le numéro de téléphone de quelque 200 000 clients ! En possession des accès de la start-up, le pirate informatique a ensuite envoyé un phishing au quart des clients de l’entreprise.
De la nécessité de protéger les données sensibles
Pour éviter que les données de votre entreprise ne soient compromises en cas de brèche, il est indispensable de mettre en place un chiffrement des données. Dans le cas contraire, les données que votre entreprise traite peuvent facilement être exposées si un hacker arrive à mettre la main dessus.
Il est également primordial de savoir exactement où sont stockées vos données les plus sensibles. En effet, ces données sensibles pourraient être stockées sur un serveur sécurisé avec un chiffrement, mais qui pourrait être victime d’un vol physique (vol de disques durs).
En outre, Il peut être judicieux de sauvegarder vos données dans plusieurs endroits au cas où les serveurs seraient victimes d’un accident tel qu’un incendie. Vous pourriez alors perdre toutes vos données les plus importantes.
Enfin, pour ce qui est de la sécurité des données contenu sur le matériel informatique dont vous vous défaites, le plus judicieux reste de passer par un service de destruction d’archives. C’est le type de service que nous offrons chez Destrudata, le tout en conformité avec toutes les normes du RGPD.