issuhub.com

Les Echos - 09.03.2020

(Steven Felgate) #1

Les Echos Executives


C


ela fera bientôt deux ans. 25 mai
2018 : le couperet de la confor-
mité au règlement européen sur
la protection des données personnelles
(RGPD) est tombé, à partir de cette date,
pour toutes les entreprises. Dotées a
minima d’un responsable des données



  • d’autres profils sont indispensables
    dans les entreprises les plus importan-
    tes (voir page 36) –, il s’agit pour elles
    d’établir un traitement efficace des
    données, de recueillir l’accord des
    clients, d’informer clientèle et salariés
    de leurs droits d’accès, de modification
    et de suppression des informations


collectées, d’assurer la confidentialité

et d’indiquer la durée de conversation

de ces données. Le chantier est vaste.

« Globalement, nous constatons une plus

grande connaissance des principes. Les

entreprises ont pris conscience de l’intérêt

de se mettre en conformité avec le RGPD

et que c’est aussi un argument marketing.

Nous avons vu une évolution ces deux

dernières années », assure Astrid

Mariaux de Rugy, chef du service des

contrôles, affaires économiques, de la

Commission nationale de l’informati-

que et des libertés (CNIL).

Les entreprises le savent, ne pas se

mettre en conformité avec le RGPD peut

coûter cher. En 2019, sur les 300 contrô-

les réalisés (voir page 36), l’autorité

administrative indépendante a sanc-

tionné cinq entreprises. Le groupe

Sergic s’est vu reprocher une « atteinte à

la sécurité des données » et le « non-res-

pect des durées de conservation » par

une amende de 400.000 euros, Union-

trad Company réalisait une « vidéosur-

veillance excessive de ses salariés »

(200.000 euros d’amende) et Furtura

International un « démarchage télépho-

nique illégal » (500.000 euros). De son

côté, Active Assurances n’avait pas

assez sécurisé les données de ses clients

(180.000 euros). La plus grosse amende

a été infligée à Google (50 millions

d’euros) pour « manque de transpa-

rence, information insatisfaisante et

absence de consentement valable pour

la personnalisation de la publicité ».

Danger d’un impact systémique

Au-delà de ces sanctions aux montants

élevés, près de 2.200 violations de don-

nées – dont 10,4 % sont dites « sensi-

bles » – ont été, entre juin 2018 et

juin 2019, notifiées à la CNIL, selon le

premier baromètre Data Breach, animé

par le Forum international de la cyber-

sécurité (FIC) en partenariat avec

PwC et Bessé. Soit une moyenne de

5,1 violations par jour et plus de 1,6 mil-

lion de personnes touchées. Issues en

particulier des secteurs des sciences et

techniques (297 violations), du com-

merce (279), de la finance (275), de

l’administration publique (229), et de

l’hébergement et de la restauration

(202), elles mettent surtout en péril la

confidentialité des données (dans 2.027

cas), avant leur disponibilité (305) et

leur intégrité (178). « L’atteinte à la

confidentialité est perçue, à tort, comme

la plus grave des violations de données.

Or la manipulation illégitime d’un con-

tenu peut aussi avoir de lourdes consé-

quences telles que l’altération d’informa-

tions fiscales comme ce fut le cas en

août 2019, lorsque 2.000 comptes fiscaux

que la directrice des systèmes d’infor-

mation communique sur l’incident de

façon transparente ; ensuite, parce que

la prise de conscience de la menace est

d’autant plus importante qu’il s’agit

d’une PME. L’année dernière, les atta-

ques contre Altran et Norsk Hydro

avaient montré « le danger d’un impact

systémique des rançongiciels sur un

secteur d’activité qui, en ciblant des

entreprises sous-traitantes ou clés du

secteur, pourraient amener un jour à

le déstabiliser », souligne l’Agence natio-

nale de la sécurité des systèmes d’infor-

mation (Anssi) dans son rapport paru le

mois dernier sur l’« Etat de la menace

rançongiciels ».

Car c’est bien par ce biais criminel que

les entreprises voient, le plus souvent,

leurs données leur échapper. Toujours

selon le baromètre Data Breach, 54 %

des fuites proviennent d’un acte de

malveillance – qu’il s’agisse d’un vol

physique, à 15 %, ou d’un piratage en

ligne, à 69,8 % –, avant d’être purement

accidentelles (26 %). Il faut dire que,

bien conscients du trésor qu’elles repré-

sentent, les cyberattaquants redoublent

d’ingéniosité pour s’en emparer (voir

page 37). « Aucun secteur d’activité ni

zone géographique n’est épargné. Toute

entreprise, institution ou personne physi-

que ayant un accès à Internet peut être

infectée par un rançongiciel si elle n’a

pas mis en œuvre des mesures de sécurité

informatique basiques », rappelle

l’Anssi. A savoir : sauvegarde à froid,

sensibilisation à l’hameçonnage, mise à

jour logicielle sur les machines connec-

tées et antivirus obligatoires.

4

À NOTER

Les Pays-Bas sont le pays européen

notifiant le plus les atteintes

à la protection des données.

Entre l’entrée en vigueur du RGPD

en mai 2018 et février 2019,

15.400 notifications y ont été

enregistrées, d’après le cabinet

DLA Piper, contre 1.548 en

France sur la même période.

Cet écart peut s’expliquer

par une plus grande maturité

des sociétés néerlandaises,

qui notifient plus

systématiquement les atteintes.

Source : Baromètre Data Breach

Près de deux ans après l’entrée


en vigueur du règlement général


sur la protection des données


(RGPD) et alors que le nombre


et le niveau de sophistication


des cyberattaques vont croissant,


les entreprises se mobilisent pour


préserver ce bien précieux, sans


toujours y parvenir.


E


n poursuivant votre navigation ou en appuyant
sur “j’accepte”, vous autorisez la collecte de vos
données par l’ensemble des marques de notre
groupe... » : combien sommes-nous à avoir lu cette
phrase et, par flemme ou bien pressés par le temps,
livré avec désinvolture des informations relatives à
notre vie privée? Or voici bientôt deux ans qu’est
entré en vigueur le RGPD, dont le but est d’instiller
transparence et confidentialité dans le traitement des
données personnelles. Mais, quand ce règlement
général pour la protection des données constitue,
pour les uns, un moyen de réinstaurer du capital


confiance dans une relation, pour d’autres – les

entreprises en particulier –, il relève du casse-tête.

Comme l’analyste Douglas Laney dans son ouvrage

« Infonomics », on se demande bien pourquoi les

entreprises procèdent si minutieusement

à l’inventaire de leurs biens matériels, mais si peu

à celui de leurs données. La tâche n’est certes pas

simple, les data sont éparses, volumineuses,

hétérogènes et volatiles mais, quand, comme

aujourd’hui, elles valent leur pesant d’or, il y a

urgence à les intégrer aux enjeux business. Des

enjeux vitaux en termes de relation client et de

réputation. Mais comment procéder quand elles sont

partout, du département des ressources humaines

pour ce qui relève du personnel, au marketing qui

traite des informations client, en passant par les

service informatique, finance, juridique...?

La gageure, pour l’entreprise, réside dans sa capacité

à traiter correctement un tel volume informationnel

dans le respect des vies privées, sans discriminer

qui que ce soit, dans de bonnes conditions de

cybersécurité et, si possible aussi, dans une démarche

prédictive. Une tâche impossible sans un subtil

équilibre entre intelligences humaine et artificielle.n

Un subtil équilibre entre intelligences


humaine et artificielle


Protection

numérique

Une bataille loin

d’être gagnée

L' ÉDITO de Muriel Jasor


DATA


GOUVERNANCE


ont été modifiés par des cyberatta-

quants », prévient l’étude, avant d’ajou-

ter : « De même, rares sont les sociétés qui

peuvent se passer de l’accès à leurs don-

nées : lorsqu’une attaque DDoS ou qu’un

rançongiciel rend les données des sala-

riés, des clients ou financières indisponi-

bles, l’activité de la société est suspendue

jusqu’à résolution de la crise. » Comme

ce fut le cas, au début du mois de février

dernier, pour Bouygues Construction.

Victime d’un ransomware, l’entreprise a

pu poursuivre ses chantiers, mais ses

activités support sont restées ralenties

pendant plusieurs jours, le temps que le

groupe répare ses systèmes.

L’expérience Fleury Michon, également

attaquée par un rançongiciel en

avril 2019 (voir page 37), est en la

matière assez inspirante. D’abord, parce

Près de 2.200 violations

de données


  • dont 10,4 % sont dites
    « sensibles » – ont été,
    entre juin 2018
    et juin 2019,
    notifiées à la CNIL.


iStock

EXECUTIVES


BUSINESS.LESECHOS.FR

Free download pdf
Get our desktop app
Company
Features
Documentation
Resources
© ISSUHUB. 2024. All rights reserved.