Enquête : comment les PME abordent-elles la question de la sécurité des données à l’heure du RGPD ?

Enquête comment les PME abordent elles la question de la sécurité des données à l'heure du RGPD

En mai 2018, la mise en place en Europe du règlement général sur la protection des données (RGPD) a chamboulé la façon dont les entreprises stockent et gèrent les informations personnelles de leurs utilisateurs. Les entreprises du monde entier (et pas seulement les entreprises européennes) ont dû se plier à cette nouvelle exigence et appliquer de nouvelles politiques de sécurité informatique au sein de leur activité pour rentrer dans le cadre de la loi.

Chaque fois qu’un utilisateur Internet souscrit à un service, effectue un achat sur un site, ou remplit un formulaire, il sème autant d’informations personnelles derrière lui. Les sites Web sont désormais tenus d’afficher un pop-up invitant (ou sommant) l’internaute d’accepter des cookies, et de manière plus tacite, d’autoriser le partage de ses données avec des “partenaires commerciaux”. Ces mystérieux partenaires, selon l’entreprise, peuvent se compter par dizaines, voire par centaines.

Sécurité informatique : les PME à l’épreuve des cyberattaques

Les cyber risques sont la plus grande menace actuelle pour les entreprises. Fuites de données, interruption d’activité, ransomwares… Rien qu’en 2018, 92 % des entreprises françaises ont subi une ou plusieurs cyberattaques. Si les grands groupes sont bien équipés pour se remettre de pertes conséquentes, rien n’est moins vrai pour les PME pour qui une telle attaque peut sonner le glas. 

Comment les PME anticipent-elles ces risques ? Sont-elles prêtes à garantir l’intégrité de ces données confidentielles qui attisent tant la convoitise de pirates chevronnés ? Les données personnelles des utilisateurs sont-elles entre de bonnes mains ? Capterra a mené l’enquête auprès de 104 employés de services informatiques en France et livre un panorama de la sécurité informatique dans les PME en 2019.

Des entreprises pas toujours bien préparées

les pme sont-elles préparées à protéger leurs données

Les entreprises sont plus ou moins conscientes des risques : 53 % se disent “un peu préparées” et seules 44 % s’estiment “très préparées” à respecter les réglementations relatives à la protection des données informatiques. Une petite partie n’est pas ou peu préparée, et devrait urgemment s’enquérir des mesures à prendre : une attaque est vite arrivée, et avec elle, pertes et fracas. Puisque l’information a bien circulé dans la presse et sur le Web, et que des mesures ont été prises au sein des entreprises, ces taux de préparation ne devraient-ils pas être proches des 100 % ? Une éducation reste à effectuer afin que les entreprises, petites ou grandes, mettent en place de manière efficace des mesures visant à protéger leurs données et à prévenir tout acte malfaisant qui pourrait compromettre leur activité.

Où sont stockées les données personnelles ?

Près de 60 % des interrogés affirment que les données sont stockées localement, sur les appareils de l’entreprise, solution qui semble la plus logique car la plus historiquement ancienne. 28 % utilisent le stockage en ligne ou dans le cloud, solution qui gagne du terrain mais qui ne s’est pas encore entièrement démocratisée. Cela s’explique certainement par le manque d’informations sur les produits cloud, et les suspicions quant à leur fiabilité face à une cyberattaque. Pourtant, les outils garantissant l’intégrité du contenu qu’ils hébergent ne manquent pas et leur prise en main est généralement simplissime, en plus de permettre une synchronisation en temps réel sur tous les appareils concernés. Il faut cependant s’assurer que l’outil choisi réponde bien aux normes de sécurité établies par le RGPD.

Comment sont choisis les logiciels ?

Au moment de choisir son ou ses logiciels, seuls 27 % des interrogés considèrent la sécurité des données comme critère premier. Bien sûr, les fonctionnalités semblent logiquement être les éléments essentiels à considérer pour 35 % des répondants, mais cela pourrait bien se retourner contre l’entreprise si ces mêmes fonctionnalités ne garantissent pas la protection des données personnelles de ses clients.

Quelles mesures pour renforcer la cybersécurité de sa PME ?

L’erreur est humaine et malheur à celui par qui le scandale arrive.

Les politiques appliquées au sein de l’entreprise définissent un cadre non seulement pour les employés et l’utilisation faite de ces données, mais également pour la sécurité des informations et des données, internes et externes.

quelles politiques les entreprises appliquent elles en matière de comportement des employés

L’utilisation acceptable

La politique d’utilisation acceptable est un guide expliquant quelles pratiques sont tolérables ou non au sein de l’entreprise. Plutôt que de se voir imposer une liste d’interdictions pures et dures, les employés sont invités à user de bon sens et de leur jugement dans leur quotidien au travail, que ce soit vis-à-vis de leur utilisation du matériel ou bien celle des logiciels. Par exemple, on peut conseiller d’éviter l’utilisation excessive de plateformes de streaming, plutôt que d’interdire strictement l’utilisation de YouTube : une manière souple de responsabiliser les individus.

Une telle politique peut prendre la forme de ce schéma :

Système de politique d'utilisation acceptable

Cela permet à tous les collaborateurs de l’entreprise, et pas seulement à ceux du département informatique, d’user d’un comportement responsable garantissant la sécurité des données stockées et utilisées.

La classification des données

La classification des données permet quant à elle de “ranger” les données afin de mieux les protéger.

Une entreprise regorge de données en tous genres, des plus anecdotiques aux plus sensibles. Un stagiaire, par exemple, ne devrait naturellement pas pouvoir consulter des données ultra confidentielles accessibles au top management. Gartner conseille le classement suivant (disponible pour les clients Gartner), en vue de hiérarchiser les données et leur accès :

  1. Criticité : quelle importance ces données recouvrent-elles dans le déroulement des activités de l’entreprise ?
  2. Sensibilité : quelles seraient pour l’entreprise les conséquences d’une publication non autorisée de ces données ?
  3. Disponibilité : l’accès à ces données est-il fiable et aisé ?
  4. Intégrité : ces données ont-elles été manipulées et stockées correctement ?
  5. Conservation : avez-vous le droit de conserver ces données, et pour combien de temps ?

Une fois la classification établie, il vous faut répartir les données en catégories. Cela implique de décider qui dispose d’un accès à quoi, de quelle manière, et dans quel but.

Elles peuvent être alors rangées de la manière suivante :

classification des données

Le respect des réglementations telles que le RGPD

Le RGPD exige la ”nécessité de garantir un niveau de sécurité adapté au risque numérique, ainsi que le droit d’être informé en cas de piratage des données. Il insiste en outre sur “l’importance d’apprécier et traiter les risques sur les personnes” et la mise en place de “mesures techniques ou organisationnelles appropriées”, qui incluent, entre autres, le chiffrement des données et des “moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience”.

Révision des politiques de sécurité : bien, mais peut mieux faire

Les entreprises françaises interrogées sont plutôt assidues et révisent leur politique de collecte de données une fois par an (33 %) ou deux fois par an (25 %). Reste que 42 % n’admettent réexaminer ces mesures que moins d’une fois par an ou seulement s’il y a eu violation. Il est crucial d’être à jour niveau réglementations : en cas d’incident, l’amende peut être salée (jusqu’à 4 % du chiffre d’affaires annuel mondial) et la crédibilité auprès de vos prospects remise en cause, sans parler des fuites de données qui ont particulièrement fait scandale dernièrement.

Une ombre vient cependant s’ajouter au tableau ; à la question “qu’est-ce qui empêche votre entreprise de mettre en place ou d’améliorer les pratiques en matière de sécurité des données ?”, 59 % des interrogés admettent n’avoir pas assez de temps ou les ressources nécessaires. Il existe cependant une liste exhaustive de solutions, en accord avec le RGPD, pour garantir la viabilité de vos activités et l’intégrité des données personnelles recueillies.

protection des données personnelles au travail

Globalement, les PME ont pris conscience des règles de ce nouveau monde impitoyable mais tardent à être entièrement responsables, faute de temps ou de moyens. Il n’est cependant pas trop tard pour renforcer la sécurité informatique de votre entreprise. Alors si vous ne souhaitez pas qu’il vous arrive la même “mésaventure” qu’à Mark Zuckerberg et ses millions d’utilisateurs de Facebook, ne tardez pas à tout miser sur la cybersécurité et à respecter les dernières lois mises en œuvre.

 

* Méthodologie de l’enquête : pour collecter les données de ce rapport, nous avons mené une enquête en ligne entre janvier et février 2019. Les réponses proviennent d’un échantillon du marché cible français. Le sondage a été envoyé à 1009 personnes, parmi lesquelles 104 se sont qualifiées au moyen de questions de sélection. Les participants qualifiés occupent tous un emploi dans un département informatique (à temps plein, à temps partiel ou sont à leur compte) et sont issus de divers secteurs d’activité.