Sécurité et gestion des risques : quelles tendances en 2022

S’il y a bien un enjeu auquel aucune entreprise ne peut déroger, c’est bien la sécurité des données. Derrière ce terme générique se cache une notion très importante : la protection des données afin de préserver leur confidentialité, leur intégrité et la disponibilité de celles-ci.

Depuis la première publication de la norme ISO 27001, relative à la sécurité des systèmes d'information, et l’entrée en vigueur le 25 mai 2018 du RGPD (Règlement Général sur la Protection des Données UE 2016/679), on observe que les entreprises ont fait évoluer leurs exigences en matière de sécurité. Cette montée en maturité s’est d’ailleurs renforcée depuis le recours massif au télétravail lors de la pandémie mondiale.

Si déjà avant la pandémie les entreprises ne devaient pas seulement se préoccuper de leur propre conformité RGPD, cela est d’autant plus vrai aujourd’hui. Fournisseurs de solutions, consultants, ou même prestataires de services sont autant de sous-traitants amenés à manipuler des données personnelles.

La sécurité des données est au cœur de l’actualité, en témoignent les nombreuses analyses marché menées sur le sujet. Dans cet article, nous vous révélons les principales tendances 2022 qui se dégagent de ces études.

Si la CNIL (Commission nationale de l'informatique et des libertés) se montrait conciliante en 2018, elle sanctionne désormais beaucoup plus les organisations en cas de non-respect du règlement. L’année 2021 a d’ailleurs été une année record en matière de répression : selon un bilan publié le 28 janvier 2022, 18 sanctions ont été prononcées pour un montant cumulé d'amendes de plus de 214 millions d'euros. "Le défaut d'information des personnes et des durées de conservation excessives" font partie des manquements les plus fréquents. Quant aux 18 sanctions, la moitié d’entre elles comporte un manquement en lien avec la sécurité des données personnelles. La CNIL déplore que "les mesures de sécurité prises par les organismes restent souvent insuffisantes".

La cybersécurité Zero Trust, ou encore « cybersécurité sans-confiance », est une approche devenue incontournable dans un contexte où les utilisateurs travaillent désormais à distance et où le système d’information se trouve de plus en plus réparti. Elle repose sur la vérification multiple et systématique de l’identité de l’utilisateur ou de l’appareil qui réclame l’accès à une ressource. Les entreprises peuvent donc contrôler l’accès au contenu des fichiers n’importe où, à l’intérieur ou à l’extérieur du périmètre de sécurité du réseau.

Selon un récent rapport Gartner, l’évolution vers le modèle de sécurité Zero Trust est une véritable nécessité pour les organisations compte tenu des cybermenaces omniprésentes.  Un autre rapport du Ponemon Institute corrobore cette idée en affirmant que les entreprises capables de s’adapter à l’évolution continue des menaces et de faire face aux failles de sécurité ont déjà mis en place un modèle Zero Trust.

D’après un rapport Forrester Research, société spécialisée dans la réalisation d’études de marché, 60 % des incidents de sécurité seront liés à des tiers en 2022. Les vendeurs et fournisseurs de taille moyenne seraient les plus visés par les cybercriminels. Pour y faire face efficacement, il est indispensable pour les entreprises d’investir dans les trois piliers de la gestion du risque : l'humain, la technologie et les processus.    

Afin de décider avec qui elles vont s’associer, les organisations doivent désormais évaluer la cyber-résilience de leurs fournisseurs et partenaires. Selon la Banque Centrale Européenne, la cyber-résilience est « la capacité à se protéger et à reprendre rapidement les activités en cas de succès d’une cyber-attaque ».

Forrester ajoute qu’en 2022, une entreprise sur cinq aura intégré des politiques de cyber assurance dans ses contrats avec des fournisseur tiers. Selon une étude menée par IDC, ces nouvelles politiques imposent désormais aux organisations de se soumettre à des évaluations rigoureuses et, en cas d’incident, de déléguer aux fournisseurs une partie du processus d’intervention.

Selon un sondage Gartner mené en 2021, la cybersécurité est classée comme la deuxième source de risque la plus élevée après la conformité réglementaire. Les analystes prédisent que « d’ici 2025, 40% des conseils d’administration disposeront d’un comité dédié à la cybersécurité supervisé par un membre qualifié, contre moins de 10% aujourd’hui ».

L’intégration croissante des sujets relatifs à la sécurité dans les stratégies d’entreprise démontre une prise de conscience des dirigeants. Dans la mesure où les résultats de l’entreprise sont susceptibles d’être impactés par la non-conformité aux règlementations ou les failles de sécurité, on peut penser que d’ici 2025, 70% des chefs d’entreprise imposeront une culture de résilience organisationnelle pour faire face aux cybermenaces.

La protection des données sensibles est l’affaire de tous. Tous les employés doivent prendre conscience de l’enjeu qu’elle représente.

Naturellement sensibilisé au traitement et à la protection des données personnelles des individus dont il a la charge dans le cadre de ses activités, le Groupe Numen a bien compris la nécessité d’anticiper les mesures mises en place par le Règlement Général sur la Protection des Données à caractère personnel (RGPD).

Nous mettons donc un point d’honneur à garantir la confidentialité, l’intégrité, la disponibilité de toutes les données collectées. La cyber-sécurité et la cyber-résilience sont placées au cœur de notre stratégie d’entreprise, toujours challengées par l’obtention de nouvelles certifications, la réalisation d’audits externes ou même la mise en place de processus de veille sur le sujet. La sécurité n’est donc pas un produit mais une culture intrinsèque à nos services : tous les collaborateurs Numen y sont initiés et comprennent son importance.