Alors que la fin de l’année approche à grands pas, Pierre-Louis Lussan, Country Manager France et Directeur South-West Europe chez Netwrix, fait un point sur ce qui attend les entreprises en 2020 en matière de cybersécurité, notamment au regard de l’évolution des différentes réglementations en vigueur ainsi que de l’enjeu majeur et croissant de la protection des données.
Les organisations devront redoubler d’efforts en 2020 sur la confidentialité des données, sur les demandes d’accès des consommateurs aux données hébergées par les entreprises, ainsi que sur les rapports de performance de leur cybersécurité.
La confidentialité des données deviendra une nécessité pour toutes les organisations, quel que soit leur secteur d’activité, ce qui favorisera la création de nouveaux services commerciaux.
Malgré une entrée en vigueur en mai 2018, toutes les entreprises ne sont pas encore conformes au Règlement Général sur la Protection des Données (RGPD), en Europe comme dans le reste du monde. Or toutes les organisations collectant, stockant et utilisant les données personnelles de citoyens de l’Union Européenne sont tenues de le respecter. En 2020, la confidentialité des données deviendra une priorité pour un plus grand nombre d’entités, quel que soit le secteur d’activité, aussi bien dans la finance, l’éducation, la santé ou encore le secteur public
Les législations sur la confidentialité des données exigent le consentement pour la collecte et interdisent de recueillir plus d’informations que nécessaire, ou de les conserver au-delà d’une date déterminée. Elles auront par conséquent un impact considérable sur les activités marketing ainsi que sur les procédures de collecte et de conservation des données.
-> Les DSI et les RSSI devront donc définir celles nécessaires à leurs activités, l’endroit où elles sont stockées et la manière dont elles sont utilisées par les employés. Ainsi, de nouvelles offres apparaîtront combinant des services juridiques et informatiques, pour aider les organisations à interpréter les différents mandats de conformité et à établir des plans d’action en vue de réaliser, de maintenir et de prouver leur conformité.
Les organisations éprouveront des difficultés à satisfaire les demandes d’accès aux données, mais au départ, il y aura peu de conséquences en cas d’échec.
En 2020, les organisations devront faire face au défi consistant à satisfaire les demandes liées au droit d’accès aux données dans les délais requis. La localisation de toutes les informations associées à une personne peut en effet représenter une tâche très coûteuse en main-d’œuvre. Les entreprises qui font déjà l’objet de plaintes fréquentes de la part de leurs clients courent un risque particulièrement élevé d’être submergées par ces demandes car les consommateurs tireront davantage profit des législations en cours pour faire prévaloir leurs droits.
Toutefois, les autorités doivent encore mettre en place des processus pour vérifier si les organisations ont effectivement fourni ou effacé toutes les informations relatives à de telles demandes, si bien que l’application des réglementations sera compliquée dans un premier temps. Cependant, à mesure que les normes en matière de protection de la vie privée seront affinées, les organisations s’exposeront à des sanctions en cas de non-respect du droit d’accès aux données personnelles.
-> Par conséquent, les DSI et les RSSI devront élaborer des méthodes efficaces pour effectuer des recherches de données afin de réduire les risques d’amendes pour non-conformité, de poursuites judiciaires et de dommages à la réputation de l’organisation.
Les organisations chercheront à mesurer l’efficacité de la cybersécurité au moyen de rapports réguliers et d’indicateurs clés de performance (KPI).
À mesure que les entreprises consacreront un budget plus important à la sécurité des données, notamment suite à l’entrée en vigueur de différentes réglementations, les conseils d’administration exigeront que ces investissements servent une double mission : renforcer la sécurité des actifs informationnels et stimuler l’activité en améliorant la productivité des employés ou en réduisant les dépenses liées aux opérations juridiques et de conformité. Pour ce faire, des mesures précises et des rapports réguliers seront nécessaires pour démontrer que ces objectifs sont en voie d’être atteints.
-> Dans ce cadre, les DSI et les RSSI seront amenés à élaborer des procédures en termes de sécurité pour assurer le suivi des améliorations et présenter des rapports pertinents à leur direction. Ils devront alors non seulement posséder des connaissances techniques, mais également de solides compétences en communication ainsi qu’une bonne maîtrise financière.
Après des années de vide juridique et de collecte massive des données, de nombreux gouvernements mettent en place des législations strictes en termes de collecte, de stockage et d’utilisation des informations personnelles des consommateurs. Cette démarche s’inscrit dans une volonté de protéger davantage la vie privée des citoyens. Cependant, ces réglementations mettent à mal les habitudes et les procédures des organisations, qui doivent rapidement se conformer à des points variés. Or leur non-respect peut engendrer de fortes amendes et ternir leur image. Elles devront donc investir afin d’assurer leur conformité en termes de sécurité, mais aussi déployer des outils pour évaluer leur performance et leur retour sur investissement en cyberprotection.