Entre 2013 et 2014, le nombre d’incidents de sécurité informatique ayant entraîné une perte de données personnelles a augmenté de 48%. Une étude de la CNIL réalisée en 2014 révèle également que 2 applications sur 3 récoltent des données sans en informer les utilisateurs.

Pourtant, les entreprises françaises ne sont pas assez protégées. Philippe Besançon, associé du cabinet CIL Consulting, constate dans le cadre de son activité professionnelle qu’il y a des manquements dans la quasi-totalité des entreprises et que “plus de 2/3 des incidents de sécurité proviennent de personnes de l’entreprise”.

Découvrez son interview.

Sécurité des données de l’entreprise, cyberchantage et cybercriminalité

Pourriez-vous vous présenter, ainsi que votre entreprise, en quelques mots ?

Cabinet de conseil en protection des données personnelles, CIL Consulting accompagne les entreprises sur l’ensemble des questions liées à la CNIL : formation, évaluation de la conformité, accompagnement des projets internes, externalisation des activités du correspondant informatique.

Au delà des seules contraintes réglementaires, il s’agit de faire de la protection des données personnelles un facteur de renforcement et de différenciation des entreprises.

A l’heure actuelle, est-ce que la protection des données personnelles des clients est suffisante dans les entreprises ?

Clairement non​. ​D​ans la quasi totalité des entreprises que nous rencontrons, ​quelle que soit leur taille, ​il y a des manquements​.​​ Souvent par manque de connaissances et de maturité sur le sujet, parfois par négligence. Le personnel est rarement sensibilisé aux risques liés aux incidents de sécurité portant sur des données personnelles.

​CIL CONSULTING choisit d’intervenir en amont pour empêcher les violations de données, mettre en place les politiques et procédures et vérifier les mesures en place.

On entend encore peu parler de failles en France, ne serait-ce que parce qu’il n’existe pas d’obligation de notifier les failles de sécurité au régulateur et aux personnes concernées en dehors du secteur des télécom. Les plus grosses entreprises sont plus visibles, elles détiennent ​souvent ​plus d’informations et s​emblent​ donc plus attractives​ et sensibles au cyber chantage​. ​Mais il y a également de plus en plus d’entreprises de petite taille dont le métier porte sur le traitement de données plus ou moins sensibles; ces entreprises peuvent aussi intervenir en tant que sous-traitants sur des projets plus importants et être amenées à traiter un grand nombre de données. ​ A noter que peu d’entreprises sont aujourd’hui encline​s​ à communiquer sur le fait qu’elles sont victimes d’une intrusion. ​Le projet de réforme européen sur la protection des données​ personnelles attendu pour cette fin d’année devrait faire évoluer les choses en rendant obligatoire la notification des failles dans certains cas.

Enfin il faut bien voir que plus de 2/3 des incidents de sécurité proviennent de personnes de l’entreprise (soit par négligence, soit par malveillance).
Il peut s’agir de la perte d’une clé USB contenant des fichiers relatifs au personnel. ou de l’extraction de données d’un collaborateur qui quitte l’entreprise. E​t​ dans ce cas, toutes les entreprises sont concernées - les moins grandes étant alors les plus vulnérables car il est rare qu’elles aient en place des processus et des mécanismes de sécurité très sophistiqués.

Sécurité des données de l’entreprise et cybercriminalité

Les clients (particuliers ou entreprises) ont-ils conscience de ce risque ?

Les particuliers sont aujourd’hui globalement dépassés par ce qui se passe autour d’eux - ils sont rares à se rendre compte de la quantité d’information qu’ils remontent ne serait ce que par leur smartphone. Ils tentent d’y voir clair en désactivant certaines fonctionnalités de leurs téléphones. Mais globalement, ils ne sont pas conscients des informations laissées et de qui les détient.

Concernant les entreprises, l’appréciation est très variable. Elle dépend essentiellement de l’engagement des dirigeants. Le sujet de la protection des données personnelles est par essence transverse. Il touche les valeurs de l’entreprise. L’appréciation des risques va donc dépendre du positionnement éthique de l’entreprise et donc de l’exemplarité de l’équipe de direction.

​Mais il faut bien reconnaître que la nécessité de protéger les données personnelles est sous évaluée​ par l’individu jusqu’à ce que sa propre vie privée ou ses libertés soient impactées. Comme l’a dit A.Westin, lorsqu’il s’agit de vie privée , selon les circonstances nous sommes tous fondamentalistes, pragmatiques, ou plus ou moins concernés

Comment les entreprises doivent-elles réagir ? Pouvez-vous nous expliquer par exemple quel est l’intérêt de désigner un CIL (correspondant informatique et libertés) ?

On ne se décrète pas conforme à la CNIL d’un coup de baguette magique. Et cette seule conformité ne met pas l’entreprise à l’abri des risques, puisque par définition ceux ci ne peuvent être totalement éliminés.

Concrètement, nous pensons qu’il y a 4 grandes étapes dans la prise en compte de la protection des données personnelles :

  1. sensibilisation du management / prise de position officielle de l’engagement du CODIR
  2. état des lieux ​, inventaire ​de​s​ trait​ements et analyse de la conformité​
  3. évaluation des risques liés aux traitements sensibles
  4. plan d’actions et démarche d’amélioration continue (par itérations successives).

La désignation d’un CIL est une des actions que peut prendre une entreprise qui souhaite structurer la démarche en interne et réduire les tâches administratives.

Le CIL doit avoir 2 rôles essentiels :

  • veiller au respect de la réglementation dans les différentes activités de la société,
  • et être aux côtés de projets pour leur permettre d’aboutir. Il doit être force de proposition au delà du seul respect des obligations réglementaires.

Selon vous, la présence d’un CIL (ou le recours à un CIL extérieur à l’entreprise) va t-elle devenir obligatoire ? Si oui, les petites entreprises seront-elles concernées ?

Obligatoire,​ probablement pas mais fortement recommandé et encouragé notamment au titre du principe d “accountability” qui vise à responsabiliser les acteurs.​ ​

L​a question est de savoir si ce rôle est utile ou non aux entreprises, y compris les petites et s’il peut les aider dans leur croissance. La donnée devenant un actif de l’entreprise, la nécessité de cadrer son utilisation et de veiller à sa bonne gouvernance s’imposera aux entreprises. Dans ce contexte, le CIL jouera en quelques sortes le rôle d’un « contrôleur de gestion de la data ». En fonction de ses objectifs, de son positionnement dans l’organisation, qu’il soit interne ou externe, il sera un acteur clé de la gouvernance de l’information.

Interne ou externe ? ​au delà du seuil de 50 personnes prévu par la loi actuelle, ​c’est ​aussi ​une question de philosophie. ​I​l est évident que sous une certaine taille, l’entreprise a intérêt à faire appel à un professionnel externe qui saura mettre à disposition ses compétences et sa capacité à rester en alerte sur l’évolution de la réglementation et sur les pratiques rencontrées. Et puis rien n’empêche un CIL « interne » de faire appel à des experts pour l’accompagner dans sa mission.

Merci Philippe !

Et vous, qu’en pensez-vous ?

Crédit photo : Shutterstock.com 
Mettre en favoris et partagerEntreprise»Abonnement