Les 5 principales préoccupations des professionnels de la cybersécurité

Nous avons posé cinq questions à des professionnels venus assister à deux des plus importantes conférences mondiales sur la cybersécurité, RSA à San Francisco et Infosecurity à Londres, pour connaître leur préoccupations et leur façon d’appréhender les problèmes actuels du secteur, dans des domaines aussi divers que le GDPR, le scandale des données de Facebook ou la sécurité du cloud. Lisez ce billet pour connaître les résultats de notre enquête auprès de personnes qui vivent et respirent pour la sécurité.

Question 1 : Les États-Unis et/ou ses états devraient-ils normaliser les lois relatives à la confidentialité des données (y compris le droit à l’oubli) ?

Les entreprises du monde entier se sont démenées pour localiser et verrouiller leurs données avant l’échéance du 25 mai 2018, date d’entrée en vigueur du très attendu règlement européen GDPR. Les citoyens européens ont accueilli le GDPR à bras ouverts, obtenant ainsi le contrôle de leurs données et bénéficiant d’un pouvoir inédit au niveau de la confidentialité de leurs données. Pour la première fois, des consommateurs ont pu exiger des entreprises qu’elles localisent et suppriment leurs informations à caractère personnel, conformément à la clause de « Droit à l’oubli » du GDPR.

Avec l’entrée en vigueur du GDPR, les fenêtres de « politique de confidentialité » se sont multipliées sur les écrans. Tous les sites Web, des plus modestes aux plus importants, ont mis à jour leurs politiques de confidentialité pour respecter les nouvelles directives et couvrir leurs arrières. Si de nombreuses organisations en sont encore à se demander comment faire pour être conformes, le GDPR fait sérieusement envie à certains états américains comme la Californie, qui sont en train de mettre en place des lois sur la confidentialité des données calquées sur la réglementation européenne. Et ce n’est que le début, car d’autres états prendront probablement le même chemin et rédigeront leurs propres lois.

Notre étude montre que 90 % des professionnels de la cybersécurité pensent que les États-Unis et ses états individuels devraient normaliser les lois sur la confidentialité des données. De nouvelles lois sur les données pourraient changer la donne pour les organisations de toutes tailles : la plupart des entreprises n’ont pas les moyens de faire face à l’afflux des demandes des consommateurs et de répondre à leur nouvelles obligations en matière de données et découlant de ces nouvelles lois.

Question 2 : Au vu du scandale de Facebook/Cambridge Analytica, continuerez-vous d’utiliser Facebook ?

Lorsque Facebook et Cambridge Analytica ont été pris la main dans le sac en train de récupérer et d’utiliser à mauvais escient les données personnelles de 87 millions d’utilisateurs (violant par là même leurs propres conditions d’utilisation), certains s’attendaient un retour de manivelle pour le géant des médias sociaux.

Malgré la récente controverse, 54 % des professionnels de la sécurité prévoient de continuer d’utiliser Facebook. Toutefois, un grand nombre d’entre eux y réfléchiront à deux fois avant de « liker » des pages, ou supprimeront totalement leur compte, 42 % d’entre eux déclarant avoir arrêté d’utiliser Facebook, ou ne pas l’utiliser (21 %).

Question 3 : À quel endroit les informations propriétaires de votre organisation ou les données de vos clients seraient-elles les mieux protégées des menaces internes et des cyberattaques ?

Si le « cloud » est revenu dans toutes les conversations sur la sécurité en 2018, la plupart des organisations appliquent dans la pratique un modèle mixte et conservent leurs données à la fois sur site et dans le cloud.

Les attaques récentes ont montré que les organisations ne peuvent pas « mettre tous leurs œufs dans le même panier du cloud » et avoir l’assurance que leurs données sont protégées. Par exemple, des administrateurs insouciants d’entreprises telles que FedEx, Republican National Committee et Accenture ont laissé des données importantes exposées dans des compartiments S3 d’Amazon Web Services – démontrant ainsi que le cloud reste vulnérable lorsque les principes de sécurité de base ne sont pas appliqués.

Vous êtes passé au cloud ? Pas si vite : 40 % des personnes interrogées pensent que leurs données sont mieux protégées des menaces internes et des cyberattaques lorsqu’elles sont conservées dans des dépôts de données sur site. 23 % des professionnels de la cybersécurité considèrent que les données propriétaires de leur organisation sont le plus en sécurité dans les dépôts de données situés dans le cloud. 34 % ont indiqué ne pas attacher d’importance à l’endroit où leurs données sont conservées.

Question 4 : Votre organisation a-t-elle des bitcoins en réserve pour payer les hackers « au cas où » ?

Lorsque la monnaie (numérique) sonnante et trébuchante est devenue la méthode de paiement préférée des hackers souhaitant faire passer à la caisse les victimes de leurs attaques de ransomware, les entreprises ont commencé à amasser des bitcoins pour pouvoir récupérer plus rapidement leurs données… ou pas ?

Dans le sillage de la monumentale attaque de ransomware WannaCry, qui a coûté près de 4 milliards de dollars aux organisations du monde entier (selon certaines estimations), les entreprises ne voient pas la nécessité de faire des réserves de la cryptomonnaie controversée en prévision des jours difficiles. Dans leur grande majorité (84 %), les personnes interrogées ont déclaré que leur organisation ne conservait pas de bitcoins. Seulement 13 % des professionnels de la cybersécurité ont des réserves de bitcoins pour parer à une attaque potentielle.

Question 5 : Votre organisation est-elle mieux protégée des menaces de sécurité qu’il y a un an ?

Il peut se passer beaucoup de choses en un an : une multitude de piratages dans les médias sociaux, l’augmentation continue des migrations vers le cloud, l’entrée en vigueur de nouvelles lois sur la confidentialité des données, et bien plus encore. Plus de la moitié des participants à l’étude (64 %) pensent être mieux protégés que l’an passé, tandis que 16 % indiquent ne pas avoir changé leurs habitudes en matière de protection.

Les organisations ont-elles une confiance démesurée en leur sécurité ? Il est grand temps que certaines entreprises redescendent sur Terre : plus tôt cette année, nous avons découvert que 58 % des organisations possèdent plus de 100 000 dossiers contenant des données sensibles accessibles à tous les employés. Elles sont donc exposées à un risque d’attaque interne, de ransomware et à d’autres menaces.

Votre organisation est-elle exposée à un risque ? Contactez-nous dès aujourd’hui pour bénéficier d’une évaluation gratuite du risque auquel vos données sont exposées.

Que dois-je faire maintenant ?

Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

Rachel Hunt