Selon une nouvelle étude de CyberArk, près de deux tiers des organisations françaises (62 %) ayant été victime d’une cyberattaque n’ont pas avoué à leurs clients que leurs données personnelles avaient été compromises.

Avec l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en mai 2018, les entreprises qui n’agiront pas pour être plus transparentes s’exposeront à d’importantes sanctions.

Les résultats de cette enquête sont inclus dans le deuxième volet du rapport 2018 de CyberArk sur les menaces avancées mondiales, « Global Advanced Threat Landscape Report 2018 ».

Ce second volet, intitulé « The Business View of Security: Examining the Alignment Gap and Dangerous Disconnects », dévoile la position de nombreux dirigeants d’entreprises vis-à-vis de la cybersécurité, et la manière dont le manque de coordination avec les responsables de la sécurité met en danger les organisations, ainsi que leurs clients.

Les conclusions de cette enquête incluent de plus les points suivants :

Les inquiétudes en termes de sécurité ne donnent pas lieu à de nouvelles mesures

**/ 63 % des répondants français indiquent que leur organisation n’est pas capable de stopper toute tentative d’intrusion dans leur réseau interne ;

**/ 50 % des français interrogés pensent que leur entreprise est susceptible d’être victime d’une cyberattaque, comme par exemple par phishing, qui viserait l’équipe de direction ;
Malgré ce sentiment d’inquiétude, 50 % des français estiment manquer de connaissances en matière de politiques de sécurité, tandis que 47 % ignorent quel serait leur rôle spécifique en cas de cyberattaque.

Les mauvaises pratiques en matière de sécurité persistent

**/ 44 % des répondants français déclarent qu’ils inscrivent leurs mots de passe dans un document sauvegardé sur leur PC ou ordinateur portable professionnel ;

**/ 15 % des français notent toujours leurs identifiants dans des carnets ou les conservent dans des classeurs ;

**/ 42 % des français ayant répondu à cette étude n’utilisent toujours pas une solution de sécurisation des comptes à privilèges pour sauvegarder ou gérer les mots de passe à privilèges et/ou administrateurs.

Un système de sécurité fiable contribue grandement aux relations commerciales

**/ 45 % des français affirment que leurs potentiels partenaires évaluent la sécurité de leur organisation avant d’entamer une relation commerciale ;

**/ 42 % des entreprises françaises offrent à leurs fournisseurs tiers un accès à distance à leurs réseaux, dont 30 % qui avouent être incapables de surveiller l’activité à distance de ces partenaires.

« Malheureusement, il n’est pas rare que les organisations décident de cacher l’ampleur des dégâts causés par une cyberattaque.

Comme nous l’avons vu lors des violations de données chez Yahoo!, Uber et bien d’autres, les entreprises peuvent soit dissimuler des informations intentionnellement, soit constater que l’attaque a finalement été plus nuisible que précédemment annoncé, déclare Jean-François Pruvot, Regional Director Europe West and South Europe, Sales chez CyberArk.

Dès l’année prochaine, ce type de comportement sera lourdement sanctionné, en raison des amendes qui seront infligées en vertu du RGPD en cas de manque de conformité.

L’autre point étonnant de cette étude réside dans cette obstination à appliquer des pratiques dépassées en matière de sécurité, et le manque de cohésion entre les leaders commerciaux et les responsables de la sécurité IT, malgré leur capacité à identifier les risques encourus et les cyberattaques qui font sans cesse la une des journaux. »

Le 11e rapport annuel de CyberArk, Global Advanced Threat Landscape Report 2018, est publié en trois parties. Le premier volet, publié le mois dernier, était intitulé « Focus on DevOps ».

Les observations énoncées ci-dessus proviennent du second volet, consacré à la position des leaders commerciaux au sujet de la sécurité IT actuelle. L’étude a été réalisée par Vanson Bourne à l’automne 2017, auprès de plus de 1 300 décisionnaires en matière de cybersécurité, de spécialistes DevOps, développeurs d'applications, et gérants d’entreprise, au sein de sept pays.