Par Raphaël Bousquet, Palo Alto Networks, Vice Président Europe du Sud et Russie
Les entreprises sont-elles prêtes à mettre leur cybersécurité en ordre pour les dix prochaines années ?
Le compte à rebours pour l’application du RGPD est lancé… Les entreprises ne disposent plus que de quelques mois pour se préparer et se mettre en conformité avec le Règlement général sur la protection des données (RGPD) ou avec la Directive NIS sur la sécurité des réseaux et des systèmes d’information ― et, dans certains cas, avec ces deux textes qui seront transposés dans les législations nationales des États-membres en Europe, et dont les dispositions seront applicables à partir des 25 et 10 mai 2018 respectivement.
Que vous ayez ou non commencé vos préparatifs de mise en conformité depuis un an, la date-butoir approche à grands pas, et les pressions exercées pour analyser, modifier et tester de nouveaux systèmes de cybersécurité s’intensifient.
Quel est donc, aujourd’hui, l’état d’esprit des responsables de la cybersécurité et des chefs d’entreprise, alors même que le compte à rebours est enclenché ?
36% des responsables Sécurité français sont prêts à adopter de nouvelles méthodes
Selon nos récentes études/recherches, nous constatons que les professionnels de la sécurité informatique à travers l’Europe se montrent généralement optimistes sur la contribution de ces textes dans la lutte contre les fuites de données et les failles de cybersécurité. Ils sont plus indécis, en revanche, sur la facilité avec laquelle les changements s’opèreront. À l’évidence, il existe d’énormes disparités géographiques pour ce qui est de l’ouverture aux idées nouvelles ; les directions générales dans certains pays comme la Suède sont les moins susceptibles (28 %) de se ranger aux suggestions de changements proposées en interne, tandis que leurs homologues en France sont nettement plus enclins à adopter de nouvelles méthodes pour mieux protéger leurs entreprises (36 %).
La peur de l’inconnu demeure un obstacle significatif dans l’année qui vient, et toutes les entreprises ne perçoivent pas l’intérêt du changement. Seul un tiers des professionnels interrogés estiment qu’ils bénéficieront de l’appui indispensable à la mise en œuvre des changements nécessaires, alors que la majorité reste convaincue qu’il faudra surmonter encore bien des obstacles.
Sachant qu’un professionnel sur dix seulement admet que l’obligation impérative qui leur est imposée de se conformer aux nouvelles législations les rendrait plus ouverts aux changements, il faut vraiment que les mentalités évoluent pour acquérir la certitude que les entreprises européennes seront prêtes pour l’échéance de mai 2018.
Notre étude établit que :
- En France, 60% des responsables IT espèrent un impact positif sur leur entreprise suite à l’introduction des nouvelles réglementation (ils sont 68% en Allemagne et 63% au Royaume-Uni),
71% des responsables français inquiets concernant la mise en application du RGPD
En Europe, 43 % des spécialistes en sécurité informatique redoutent que les modifications apportées aux textes de loi ne déclenchent quantité de détournements de données personnelles et de failles de cyber sécurité, jusqu’alors inconnus, qu’ils seront tenus de signaler.
- Egalement, la moitié des professionnels de l’informatique (49 %) admettent se soustraire aux mises à jour ou évolutions de leurs dispositifs de sécurité parce qu’ils jugent le système en place déjà largement sécurisé.
- En France, 52 %des professionnels de la sécurité informatique (contre 65% au Royaume-Uni) estiment que l’entrée en application du RGPD et de la Directive NIS sera compliquée, tant au plan financier qu’au plan opérationnel.
- Les responsables IT françaissont sans doute les plus inquiets puisqu’Ils sont tout même 71% (contre seulement 41% au Royaume-Uni et 59% en Allemagne) à estimer que la nouvelle réglementation exercera une pression accrue sur leur entreprise et donc des tensions en interne.
- 47% d’entre eux(contre 52% en Allemagne) mettent en avant leur inquiétude face à l’exigence de notification des failles de sécurité aux autorités compétentes.
- La législation européenne ne fait qu’accroître les tensions managériales en interne – 41% des professionnels de l’informatique français(contre 56% au Royaume-Uni) s’attendent à des échanges « corsés » avec leur direction concernant ces nouvelles exigences de notification en matière de failles de sécurité. Même si la majorité (63 %) voit d’un bon œil l’impact de cette législation, les participants à l’étude s’inquiètent des coûts et complications supplémentaires induits ainsi que des contraintes opérationnelles que les nouveaux textes risquent d’entraîner (56 %). Si la principale raison avancée aujourd’hui pour ne pas faire état d’une faille de sécurité a trait au caractère insignifiant de celle-ci (30 % des cas) ou au manque de temps du professionnel de l’informatique (27 %), il est évident que d’immense défis restent à relever.
Comment se préparer ?
Ceci dit, les entreprises peuvent se préparer à l’échéance de mai 2018 de plusieurs manières différentes :
- Gagnez en visibilité sur le type d’informations utilisées et les applications via lesquelles celles-ci transitent. Si vous n’analysez pas en permanence la façon dont votre entreprise traite d’ores et déjà l’information par la technologie, vous ne pouvez valider la pertinence du processus, ni l’assortir des contrôles appropriés.
- La cybersécurité s’appuie trop largement sur les technologies en place. Considérez les nouvelles réglementations comme le moyen de « faire le ménage », l’occasion de vérifier que tout est en adéquation avec l’objectif poursuivi, aujourd’hui comme demain, sachant que la cybersécurité continuera à évoluer, et que la pénurie de personnel qualifié dans cette discipline est criante. Réfléchissez à la manière d’appliquer et de gérer un environnement de cybersécurité automatisé et évolutif, capable de fonctionner au rythme de l’assaillant.
- Veillez à disposer d’indicateurs prospectifs et rétrospectifs bien définis, permettant de valider l’efficacité de votre cybersécurité. Pouvez-vous apporter la preuve, en interne notamment, de l’adéquation des bonnes pratiques actuelles aux risques ?
- Mettez vos capacités à l’épreuve – pas uniquement les technologies, mais aussi les ressources humaines et les processus afférents, y compris les équipes métier au sens large.
- Les spécialistes en cybersécurité devront vérifier que leurs mécanismes de cybersécurité sont adaptés au risque encouru et qu’ils mettent à profit les bonnes pratiques du moment, qualifiées « d’état des connaissances », au moyen de processus et de mesures clairement documentés.
Pour en savoir plus sur la manière de préparer votre entreprise aux nouvelles législations à venir, consultez les ressources Palo Alto Networks ci-après
Five Emotional Stages of Preparing for GDPR(Les cinq stades émotionnels ponctuant les préparatifs à l’entrée en application du RGPD).
Raphaël Bousquet, Palo Alto Networks, Vice Président Europe du Sud et Russie
