One Identity, spécialiste de la gestion des identités et des accès (IAM), révèle les résultats d’une enquête menée auprès de plus de 300 professionnels de la sécurité. Selon elle la majorité des entreprises stocke désormais la plupart de leurs données sensibles telles que les e-mails, les informations salariales et de rémunération, la propriété intellectuelle et les données clients dans le Cloud (76%). Malheureusement, beaucoup d’entreprises reconnaissent aussi avoir encore du mal à détecter des failles de données ; 2/3 des professionnels avouent qu’ils ne sont pas toujours capables de détecter des comptes piratés ; et lorsqu’ils y parviennent, cela nécessite au moins une heure.

Plus généralement, peu d’entreprises ont réussi à mettre en œuvre des solutions pour détecter des attaques en temps-réel : pour 26% des sondés la principale difficulté étant de détecter des attaquants externes en temps-réel ; pour 24% de mener des investigations poussées sur les attaques ; pour 23% de détecter un attaquant venant de l’intérieur (employé, compromission d’un compte utilisateur légitime) en temps-réel ; pour 13% d’informer les personnes concernées dans un délai de 48h avec un plan de communication clair ; autre difficulté remontée par les professionnels : 33% des incidents de sécurité observés au cours des 2 dernières années ont résulté de menaces inconnues, de menaces persistantes avancées (APT) ou de méthodes de piratage encore inconnues.

Selon l’étude de One Identity, près de 30% des professionnels, le RGPD s’avère inefficace. En fait, 25% d’entre eux n’ont perçu aucune différence avec l’avant-RGPD, alors que 5% pensent même que les failles de données personnelles ont empiré. A l’inverse, 42% des professionnels interrogés jugent le RGPD assez efficace (expliquant par exemple recevoir beaucoup moins de spam), et 29% pensent que leurs données personnelles conservées par leur entreprise sont mieux protégées.

Pour Todd Peterson, évangéliste IAM chez One Identity, « dans la majorité des cas, les failles de données résultent soit d’un attaquant externe ayant escaladé des privilèges après avoir accédé au système de l’entreprise, soit d’un acteur interne abusant de ses permissions d’accès. Partant de ce postulat – que tout professionnel connaît –  il est surprenant qu’autant de professionnels ne soient pas assez préparés pour faire face à ces attaques ». 

Cette situation est préoccupante, surtout à la lumière du Règlement général européen sur la protection des données (RGPD), qui date maintenant de plus d’un an, et qui stipule que les atteintes à la protection des données doivent être signalées dans les 48 heures suivant leur découverte. Toutefois, le délai avant la communication de la preuve est plus susceptible d’être de l’ordre de plusieurs mois – selon le dernier Data Breach Investigations Report de Verizon.

Et Todd Peterson de rappeler que  « le RGPD n’a jamais été conçu pour protéger les données contre les piratages, et le sentiment que les atteintes à la protection des données ont augmenté depuis son introduction est probablement dû au fait que de nombreuses fuites de données qui autrement passeraient inaperçues doivent maintenant être signalées aux organismes de réglementation compétents. Même si le RGPD a permis de sensibiliser un plus large public à la sécurité des données, et a incité les entreprises à réfléchir à l’importance de savoir qui peut accéder aux bases de données d’informations sensibles – et qui peut y avoir accès – l’étude prouve qu’il y a encore du travail pour éduquer l’industrie, particulièrement en ce qui concerne l’assimilation de la conformité à la sécurité ».

Méthodologie : L’étude One Identity Info Security Europe a été réalisé à l’occasion de l’événement européen Info Security. One Identity a interrogé 300 personnes assistant à la conférence entre le 4 et le 6 juin 2019.

Emmanuel Mayega
A propos de l'auteur

Rédacteur en chef du magazine Assurance & Banque 2.0, Emmanuel a une connaissance accrue de l’intégration des technologies dans l’assurance, la banque et la santé. Ancien rédacteur en chef adjoint d’Assurance & Informatique Magazine, il est un observateur affûté du secteur. Critique, il se définit comme esprit indépendant et provocateur, s’il le faut.

Site web : http://www.assurbanque20.fr

Twitter LinkedIn Google+

Newsletter

Vous n'avez pas le temps suivre l'actualité ? Découvrez nos newsletters gratuites, quotidiennes ou hebdomadaires.

Inscription Newsletter


Le Mensuel

Chaque mois, un regard éclairé et sans concession sur l'actualité de l'Assurance, de la Banque et des Services Financiers.

Découvrir le magazine