Par Stéphane Astier
Les failles de sécurité, en pleine explosion, coûtent de plus en plus cher.
Une récente étude du Ponemon Institute[1] concernant les vols et fuites de données dans les entreprises et autres organismes privés ou publics vient ainsi de mettre en évidence l’explosion des cas de vols de données tout en proposant une évaluation des coûts générés par cette activité criminelle.
Selon les auteurs, un vol de données en France coûterait en moyenne 3,54 millions d’euros.
Pas moins de 2200 responsables de la sécurité et de la conformité dans 477 entreprises du monde entier ont été interrogés. Un vol de données, à l’échelle mondiale, coûterait ainsi en moyenne 3,86 millions de dollars en 2018. Ceci représente une hausse de 6,4% par rapport à 2017. Dans le cas d’un vol de données à grande échelle (où plus de 50 millions d’informations sont volées), le coût moyen atteint la somme faramineuse de 350 millions de dollars.
Il convient ici d’observer que le coût d’un vol de données sera directement lié au temps de détection et de remédiation des intrusions.
Sur ce point, le Règlement Général Européen pour la Protection des Données prévoit en son article 33 que les failles de sécurité doivent être notifiées à la CNIL en cas de risque pour les droits et libertés des personnes dans un délai maximal de 72 heures à compter de la détection de l’attaque. Une information des personnes concernées est également prévue dans les cas les plus graves.
[dt_default_button link= »https://www.haas-avocats.com/livres-blancs-rgpd/ » button_alignment= »default » animation= »fadeIn » size= »medium » default_btn_bg_color= » » bg_hover_color= » » text_color= » » text_hover_color= » » icon= »fa fa-chevron-circle-right » icon_align= »left »]Besoin de plus d’informations sur le RGPD ? Découvrez nos 5 livres blancs sur le sujet[/dt_default_button]
Comment articuler cette exigence légale avec la réalité du terrain ?
En moyenne, les entreprises mettent en effet 197 jours à détecter une intrusion et 69 jours à y remédier.
Certaines procédures accélérant le traitement de la riposte et minorant de fait les pertes financières sont néanmoins observées dans le rapport : La mise en place d’une équipe de réponse aux incidents et de procédures dédiée jusqu’à l’utilisation d’une plateforme d’intelligence artificielle pour la cybersécurité.
On retrouve ici toute l’importance de la mise en place au sein de chaque structure d’un « référentiel sécurité »[2] adapté pour répondre aux exigences de la réglementation. Chaque entreprise, chaque entité publique est en effet tenue suivant le principe d’accountability[3] de formaliser et de mettre en œuvre des « mesures organisationnelles et techniques » dédiées à la sécurité des données.
Plan d’assurance Sécurité[4], Plan de Continuité d’activité[5], Politique de gestion des incidents[6], viennent ainsi naturellement compléter les politiques d’habilitation et autres Chartes dédiées à l’encadrement de l’utilisation des systèmes d’information.
En effet, les statistiques remontées du rapport commandé par la société IBM démontrent que si les cyberattaques représentent 48% des failles, dans 25% il s’agit d’une erreur humaine, les 27% restants étant dus à des défaillances techniques.
Comment lutter contre le cyberrisque ?
Plusieurs mesures doivent être priorisées dans le cadre d’un plan d’action adapté à chaque structure.
Ces mesures sont détaillées ci-dessous :
Spécialisé sur les questions de cyberdélinquance et de cyber risques, le Cabinet HAAS accompagne depuis plus de vingt ans ses clients tant sur le volet contentieux que sur les aspects conseil, formations, élaboration de supports de sensibilisation etc.
Vous voulez en savoir plus sur nos prestations dédiées à la gestion juridique des cyber risques ? Cliquez ICI
Vous avez des questions sur le RGPD ? On en parle ici.
[1] Cf. https://www-03.ibm.com/security/fr/fr/data-breach/
[2] Cf. https://www.haas-avocats.com/actualite-juridique/sensibiliser-lentreprise-risque-securite-informatique/
[3] Principe traduit par : l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
[4] Cf. https://www.haas-avocats.com/tag/plan-dassurance-securite/
[5] Cf. https://www.haas-avocats.com/actualite-juridique/plan-continuite-dactivite-pourquoi-faire/
[6] Cf. https://www.haas-avocats.com/actualite-juridique/une-reponse-juridique-aux-besoins-de-la-securite-la-politique-de-gestion-des-incidents/