L'enquête, réalisée auprès de 750 décideurs informatiques par le cabinet Vanson Bourne, montre que les multinationales ont entrepris des efforts conséquents pour se mettre en conformité. En moyenne, les répondants indiquent en effet avoir dépensé 70,3 millions de dollars dans ce but au cours des 12 derniers mois. Par ailleurs, 81% des entreprises ont embauché de nouveaux talents, 85% ont investi dans la formation de leurs collaborateurs et 82% se sont équipés de solutions supplémentaires pour veiller à la conformité. Néanmoins, les organisations s'estiment toujours vulnérables face aux risques de violation de données, comme en témoigne les investissements massifs dans les assurances en responsabilité civile informatique : 87% des entreprises ont souscris de tels contrats, et le montant moyen s'élève à 185 millions de dollars.
Les répondants semblent conscients que le niveau de risque résiduel reste élevé, malgré les efforts entrepris. Plus du tiers d'entre eux (37%) pointent notamment un manque de visibilité et de contrôle sur leurs environnements informatiques. 94% des sondés ont déjà découvert dans leur organisation des postes ou des serveurs dont ils n'avaient pas connaissance, et pour 71% des DSI interrogés, ce type d'événement se produit toutes les semaines, voire au quotidien.
Collaboration insuffisante et éparpillement des solutions
Interrogés sur les causes du manque de visibilité, les décideurs estiment qu'il provient notamment d'un manque de collaboration entre les équipes de sécurité et de production (39%), un enjeu auquel des démarches comme DevSecOps peuvent apporter des réponses. Des problématiques techniques sont également mentionnées, comme le manque de moyens pour la gestion du parc (31%) et la présence d'outils trop anciens pour fournir les informations nécessaires (31%). Les sondés évoquent aussi le phénomène bien connu du Shadow IT, avec l'installation d'outils à l'insu de la direction informatique (29%). Enfin, ils sont 29% à déplorer une absence de rationalisation des outils utilisés dans l'entreprise, qui conduit à une multiplication des solutions : en moyenne, les entreprises recensent en effet 43 outils de sécurité et d'exploitation différents.
Au total, 91% des décideurs interrogés reconnaissent que des points faibles subsistent dans leurs organisations, qui les empêchent d'obtenir une visibilité globale. Dans ces conditions, difficile de pouvoir identifier et signaler des violations de données dans un délai de 72 heures, comme le prévoit le RGPD. Paradoxe de l'étude, si 90% des répondants se disent confiants dans leur capacité à répondre à cette exigence, 47% déclarent dans le même temps ne pas avoir une visibilité totale sur leur environnement.
L'absence de visibilité fait courir de nombreux risques
Avec le recours massif au télétravail dans le contexte actuel, souvent mis en place dans l'urgence, ces enjeux risquent d'être exacerbés. Plus de la moitié des répondants (53%) redoutent une exposition de leur entreprise aux cyberattaques, et 39% pointent également les risques en matière de réputation. Un tiers (33%) s'estiment dans l'incapacité de quantifier les risques pour leur entreprise, et 31% redoutent de perdre des clients en cas de violation de données. Enfin, les amendes pour non-conformité n'inquiètent que 23% des sondés, montrant que les répondants sont davantage sensibles aux répercussions à long terme pour leur organisation qu'aux sanctions financières.
Commentaire