Le RGPD arrive : les responsables de la sécurité IT sous pression

CloudLegislationPolitique de sécuritéProjetsRégulationsRéseauxSécuritéSSII
protection-données-RSSI-RGPD-etude-CESIN

Etude CESIN: Les Responsables de la sécurité des systèmes d’information sont fébriles entre les assauts en nombre et la mise en conformité avec le RGPD.

Les cyberattaques se multiplient à l’approche de l’entrée en vigueur, le 25 mai prochain, du Règlement général sur la protection des données (RGPD) qui constituera en Europe le nouveau cadre de référence  de l’exploitation de la data à l’ère numérique. 

L’activité des Responsables de la sécurité des systèmes d’information (RSSI) et les budgets des entreprises sont directement impactés.

C’est le principal enseignement de la 3e édition du baromètre de la cybersécurité des entreprises du CESIN.

L’enquête a été réalisée par OpinionWay auprès de 142 RSSI de grands groupes français membres du Club des experts de la sécurité de l’information et du numérique.

Selon les résultats de l’enquête, 79% des entreprises ont été touchées par des cyberattaques en 2017. Et leur nombre a augmenté pour près d’une entreprise sur deux.

Les organisations ont le plus souvent été victimes d’attaques de ransomware (73%).

La demande de rançon pour récupérer le contrôle du système compromis devançant largement l’attaque virale générale (38%).

La fraude externe (30%) et la fuite d’informations (30%) figurent également au Top 3 des attaques subies.

Cyberattaques multiples, budgets serrés

Dans un cas sur deux, ces attaques ont un impact concret sur l’activité des entreprises touchées, observe le CESIN.

L’activité des entreprises peut être en partie freinée par : une indisponibilité de leur site Internet (15%), l’arrêt de la production pendant une période significative (12%). Ou encore la perte de chiffre d’affaires (9%) et le retard de livraison auprès des clients (7%).

Pour faire face aux attaques, les entreprises déploient, en plus des antivirus et pare-feu, une dizaine de solutions en moyenne : dont les VPN (85%), le filtrage Web (78%) et l’antispam (75%).

D’autres solutions et techniques, dont le chiffrement et la double authentification, sont considérées comme efficaces. Pourtant, elles sont encore peu utilisées.

Par ailleurs, malgré la prégnance des cyberattaques, la sécurité représente moins de 5% du budget IT des deux tiers des entreprises.

C’est un sujet sensible, tout comme le Règlement général sur la protection des données (RGPD)

RSSI, un DPO en puissance ?

Se conformer au RGPD permettra un réel renforcement de la protection des données personnelles pour 8 répondants sur 10 à l’enquête CESIN.

Mais ils sont plus nombreux encore à redouter son impact sur les budgets des organisations et la charge de travail des RSSI.

Ainsi, 94% des professionnels interrogés pensent que la mise en conformité au RGPD représente un coût supplémentaire pour les entreprises.

Et 89% redoutent une charge de travail supplementaire pour les RSSI.

Le cumul des fonctions de RSSI et de délégué à la protection des données (DPO en anglais) étant considéré comme compatible par plus d’un tiers (39%) des répondants.

Shadow IT redouté

Par ailleurs, 94% estiment que la sécurisation des données hébergées dans le Cloud nécessite des outils spécifiques. Le Shadow IT (les applications et services informatiques qui échappent au contrôle du département informatique) est redouté.

73% des RSSI jugent que les salariés sont sensibilisés aux risques, mais qu’ils restent peu proactifs.

62% des organisations ont donc mis en place des procédures de vérification du respect des recommandations de sécurité par les collaborateurs.

La gestion du cyber-risque passe également par la souscription d’une cyberassurance pour 40% des grandes entreprises. 22% envisagent de le faire. Il reste du chemin à parcourir sur le volet de la couverture.

Par ailleurs, 71% des RSSI pensent que les enjeux de cybersécurité et gouvernance des données sont bien pris en compte par le COMEX.

Enfin, l’entité jugée la plus légitime pour informer les entreprises en matière de cyber-risques est l’ANSSI (Agence nationale de sécurité des systèmes d’information).

Ce qui s’explique par son engagement de longue date auprès d’acteurs des secteurs privé et public. Parallèlement à l’accompagnement des opérateurs d’importance vitale (OIV).

Lire également :

95 000 euros de salaire par an en moyenne pour un RSSI en France

Sécurité : un marché dopé par les cyberattaques et le RGPD

crédit photo © Olivier le Moal-Shutterstock

Auteur : Ariane Beky
Lire la biographie de l´auteur  Masquer la biographie de l´auteur