Une écrasante majorité d'entreprises (90%) ne sont pas capables d'appliquer des règles de conformité et de protéger leur système d'information. Telle est la conclusion des membres de l'IT Compliance Group au vu des résultats d'une enquête conduite auprès de 475 entreprises américaines, dont un tiers réalise un CA supérieur à 1 Md$. Il n'y aucune raison objective pour que les entreprises françaises fassent mieux. Bien au contraire, puisque la loi ne les oblige pas à déclarer leurs failles. Aux Etats-Unis, cette mesure pousse les entreprises à la célérité. La difficulté à la mettre en application explique aussi le nombre d'entreprises qui se déclarent en faute. En effet, comment avoir la certitude que l'on a été victime d'une attaque dont la réussite dépend justement de sa discrétion ? La plupart des entreprises interrogées s'attendent à au moins six incidents graves par an ayant trait aux données ainsi qu'à autant de vols ou de pertes de données. Alors qu'on leur demande la mise en place d'une traçabilité fine de l'accès et de la modification des données, les entreprises en sont encore à tenter de colmater les failles qui les menacent. L'étude montre que, sous la pression légale, les entreprises découvrent qu'elles n'ont quasiment pas de contrôle sur l'ensemble des données sensibles qu'elles manipulent. Ces pertes de données ont un coût. De tels accidents peuvent entraîner une chute de 8% du cours de leur action et la perte d'autant de clients.