Tout le dossier Tout le dossier
-
Economie numérique
Les 7 règles d'or du RGPD, le règlement qui change tout
-
Economie numérique
Pourquoi le RGPD s'impose à vous
-
Economie numérique
[Facebook] "Le RGPD définit un standard mondial", tranche Gilles Babinet
-
Cybersécurité
[RGPD] La cybersécurité imposée à tous
-
Economie numérique
[RGPD] La publicité ciblée en première ligne
-
Cybersécurité
Entreprises, comment vous mettre en conformité avec le RGPD
-
Cybersécurité
Anonymiser les données personnelles... pour alléger les contraintes
[RGPD] La cybersécurité imposée à tous
En faisant des entreprises les garantes des données personnelles, le règlement européen les oblige à entrer de plain-pied dans la sécurité informatique.
Pas de RGPD sans cybersécurité ! Avec le règlement général sur la protection des données, les entreprises doivent garantir le respect de la vie privée des personnes dont elles possèdent les données. La loi les obligeant à se prémunir contre le vol ou la fuite des données personnelles qu’elles détiennent, la mise en place de dispositifs de cybersécurité (chiffrement, étanchéité des réseaux, authentification…) s’impose. Et ce, quelles que soient leur taille et leur sensibilité au cyber-risque. Les entreprises devront même être capables de détecter les intrusions pour les signaler aux autorités.
La force de la loi joue à plein. "C’est la peur du gendarme et des amendes, dont le niveau a été extrêmement relevé [jusqu’à 4 % du chiffre d’affaires, NDLR], qui pousse les entreprises à se mettre en conformité. C’est un comportement très français", constate Patrick Blum, le vice-président de l’AFCDP, l’Association française des correspondants à la protection des données à caractère personnel. Le travers ne serait toutefois pas uniquement hexagonal : moins de 100 jours avant l’entrée en vigueur du texte, seulement un quart environ des entreprises européennes s’estimaient être totalement conformes avec le texte, selon une étude du cabinet Forrester de février 2018.
L’atonie des entreprises en matière de cybersécurité a souvent poussé les États à prendre les devants, à coups de réglementations contraignantes. La France a été pionnière dans le domaine avec l’adoption, dès 2013, de la loi de programmation militaire (LPM). Son article 22 a imposé aux 200?entreprises les plus stratégiques du pays, qualifiées d’opérateurs d’importance vitale, de muscler la sécurité de leurs systèmes informatiques critiques. Les instances européennes lui ont embrayé le pas en adoptant, en juillet 2016, la directive NIS (Network and information security) sur la sécurité des réseaux et des systèmes d’information. En France, sa transposition, effective depuis février, pourrait concerner plusieurs milliers d’entreprises jugées essentielles pour l’activité économique et sociétale du pays.
Les PME et TPE elles aussi concernées
C’est l’Agence nationale pour la sécurité des systèmes d’information (Anssi) qui sera chargée de mettre en œuvre la directive NIS. "La transformation numérique ne se fera pas sans confiance", explique son directeur général, Guillaume Poupard. Ces acteurs seront soumis à des contrôles de sécurité et devront informer l’agence de tout incident susceptible d’avoir un impact significatif sur la continuité de leurs services. Selon l’agence qui doit encore en arrêter la liste, bon nombre d’entre eux demeurent encore très vulnérables aux attaques informatiques. Que dire alors des PME et TPE, ces grandes oubliées de la cybersécurité ? "Certaines sont dépassées. Elles pensaient qu’elles n’étaient même pas concernées par le RGPD, car elles n’étaient pas équipées de logiciels de CRM pour la gestion de la relation client", indique-t-on au Medef. L’instance patronale a mis en place un site internet dédié pour sensibiliser ses adhérents.
La prise de conscience de l’importance de la cybersécurité a cependant progressé. Le risque cyber a changé de nature. La cyberattaque en 2017 par le virus Wannacry, qui a touché en un temps record plus de 300 000 ordinateurs ainsi que le fléau des rançons par logiciels, a eu un effet d’électrochoc. Et pas uniquement pour les victimes. Selon le baromètre mondial des risques 2018 réalisé par l’assureur Allianz, les incidents de cybersécurité seraient la deuxième source de risques pour les entreprises après les interruptions d’activité et avant les catastrophes naturelles. Du fait de l’impact potentiel sur le business et sur la réputation de l’entreprise, les directions générales commencent à s’emparer du sujet. "Le risque cyber n’est plus perçu comme uniquement un risque technique qui doit être uniquement traité par la direction informatique, se félicite-t-on du côté de l’Amrae, l’Association pour le management des risques et des assurances de l’entreprise. C’est un risque qui a des composantes juridiques, RH, et organisationnel. Il doit être traité de manière transverse, collégiale et au plus haut niveau de l’entreprise."
Un critère de sélection pour les clients
Associée jusqu’ici à l’idée de contrainte et de dépenses, la cybersécurité pourrait être considérée comme un atout compétitif, un investissement productif. La conformité au RGPD pourrait devenir un critère de sélection pour des clients soucieux à l’idée de confier des données personnelles sensibles. Signe qui ne trompe pas les entreprises seraient prêtes à investir davantage dans leur sécurité informatique. C’est le résultat d’une étude réalisée en janvier dernier auprès d’une centaine de grandes entreprises françaises appartenant au club des experts de la sécurité de l’information et du numérique. Elles sont 64 % et 62 % à indiquer leur intention d’augmenter leurs budgets alloués respectivement à la protection contre les cyber-risques, et au recrutement d’experts dans ce domaine. Le RGPD, l’allié qui manquait à la cybersécurité.
Les pirates préfèrent les rançons-logiciels
Près de quatre entreprises sur cinq soulignent avoir subi une ou des cyberattaques en 2017. Dans un cas sur deux, les attaques ont des impacts concrets sur le business (indisponibilité du site internet, arrêt de la production…). L’année 2017 a été celle des rançons-logiciels, des opérations très lucratives pour les pirates informatiques. Les attaquants exigent une forte somme d’argent à l’entreprise victime d’une cyberattaque en échange du remède pour faire redémarrer son outil informatique.
La cyber-assurance décolle
Des PME qui mettent la clé sous la porte après une attaque informatique, une facture en millions d’euros pour reconstruire des systèmes informatiques compromis par un code malveillant… Les préjudices d’une cyberattaque peuvent être considérables. Conscientes que le risque zéro n’existe pas en informatique, les entreprises n’hésitent plus à souscrire une cyber-assurance. En 2017, 40 % des grands groupes en France bénéficiaient d’une telle protection contre 26 % l’année précédente selon le Cesin. Les clients s’assurent avant tout contre la perte de données personnelles et le vol de la propriété intellectuelle.
SUR LE MÊME SUJET
PARCOURIR LE DOSSIER