vers une nouvelle approche de la cybersécurité et de la ... · la cybersécurité peut devenir un...

www.pwc.com/gsiss

À l'ère du digital, les entreprises mettent en place des mesures innovantes pour gérer les menaces et gagner en compétitivité

Vers une nouvelle approche de la cybersécurité et de la protection des données personnelles

Principaux résultats de l'étude The Global State of Information Security® Survey 2017

Sommaire

Une approche globale de la cybersécurité et de la protection des données personnelles ............................ 23

Le cloud, porteur de synergies .................................................................................................................. 24

Externalisation de la gestion de la sécurité ............................................................................................... 26

Anticiper les risques grâce à l'analyse de données et au renseignement sur les menaces ............................ 28

Mieux que les mots de passe, l'authentification avancée ............................................................................ 29

Explorer les possibilités des logiciels open source ...................................................................................... 30

Le risque lié aux données personnelles augmente ..................................................................................... 32

La gestion des évolutions réglementaires par les entreprises ...................................................................... 34

Hier, aujourd'hui et les opportunités d'avenir ............................................................................................ 35

Méthodologie ............................................................................................................................................. 36

Contacts PwC par pays pour la cybersécurité et la protection des données personnelles ............................ 37

Aujourd'hui, les dirigeants d'entreprise ne souhaitent plus qu'on leur serve les mêmes discours sur la peur, l'incertitude et le doute en matière de cybersécurité et de protection des données personnelles ; ils attendent au contraire des approches innovantes. Ils veulent aller de l'avant et appréhender de manière plus globale la cybersécurité et la protection des données personnelles, comme des moyens de protéger et de stimuler l'entreprise, ses partenaires externes et ses clients.

Il s'agit d'une évolution notable : bon nombre d'entreprises ne considèrent plus la cybersécurité comme un obstacle au changement ni comme un coût informatique. Elles comprennent que les solutions dans le domaine de la cybersécurité peuvent aussi être porteuses de croissance pour l'entreprise, créer des atouts concurrentiels et renforcer la confiance dans la marque.

Ce changement d'état d'esprit découle en grande partie de la digitalisation du monde de l'entreprise. Aujourd'hui, les entreprises ne se contentent plus de créer des produits ; elles proposent des services en ligne complémentaires (et parfois gratuits) qui contribuent à fidéliser et développer leur clientèle.

déclarent que la digitalisation de l'écosystème de l'entreprise a eu un impact sur les dépenses de sécurité

PwC, CIO et CSO, The Global State of Information Security® Survey 2017, 5 octobre 2016

59 %

20 - Principaux résultats de l’étude - The Global State of Information Security® Survey 2017

La multiplication des produits et services connectés de toute sorte va de pair avec la nécessité d'anticiper les risques liés à la cybersécurité et à la protection des données personnelles. Mais cette tendance n'est pas le seul facteur : face à la production et au partage exponentiel d'informations, la protection des données personnelles et la confiance s'imposent comme des impératifs pour les entreprises.

Par conséquent, les entreprises visionnaires s'orientent vers un nouveau modèle de la cybersécurité plus agile, s'appuyant sur l'analyse des données et l'adaptation face à l'évolution des risques et menaces. L'analyse des données issues de signaux faibles en temps réel via des procédés de type Big Data, les approches externalisées de gestion de la sécurité, l'authentification avancée et les logiciels libres sont au cœur de cette nouvelle approche.

La façon de gérer le dispositif de cybersécurité évolue fortement avec l'adoption croissance par les entreprises de systèmes dans le cloud, ou l'utilisation de services externalisés de gestion de la sécurité.

La puissance et l'interopérabilité des plateformes hébergées sur le cloud permettent aux entreprises d'utiliser un éventail de technologies fonctionnant ensemble. Les entreprises peuvent de surcroît capitaliser sur la simplification inhérente aux architectures en cloud pour concevoir en toute confiance des nouveaux produits et des services sécurisés.

David Burg, responsable de la cybersécurité et de la protection des données personnelles aux États-Unis et au plan mondial, met l'accent sur l'apport de la cybersécurité : « De plus en plus, nous observons que la cybersécurité peut devenir un moyen formidable permettant aux entreprises d'innover et d'être réactives. Pour certaines innovations digitales, la sécurité, les contrôles et les capacités, ainsi que des moyens d'authentification fluides, sont des dimensions essentielles à leur conception et à leur développement sur le marché. »

Les solutions intégrées au cloud peuvent également renforcer les capacités de protection des données personnelles et ainsi accroître la confiance du consommateur et la notoriété de la marque.

Utilisation des technologies pour gérer les menaces et

créer de la valeur

Emploient la biométrie pour l'authentification

Utilisent des logiciels libres

Utilisent le Big Data pour la cybersécurité

Gèrent la fonction SI dans le cloud

Recourent à des services de gestion de la sécurité pour la cybersécurité

Investissent dans la sécurité pour l'Internet des objets

57 %

53 %

51 %

63 %

62 %

46 %

Sources : PwC, CIO et CSO, The Global State of Information Security® Survey 2017, 5 octobre 2016

- 21PwC

Les données personnelles doivent être protégées d'autant plus car le consommateur se préoccupe de plus en plus de la collecte et du partage des données sensibles qui le concernent.

De surcroît, les pouvoirs publics renforcent la surveillance de l'utilisation par les autres pays des informations sur leurs ressortissants.

L'investissement important des entreprises dans la cybersécurité et la sophistication des technologies peuvent contribuer à éviter les attaques ou en atténuer l'impact. Cependant, les auteurs des menaces conserveront sans doute une longueur d'avance en exploitant de nouvelles tactiques et techniques au fil de l'évolution de leurs motivations et des technologies.

Les entreprises qui restent concentrées sur les fondamentaux de la cybersécurité - formation du personnel, actualisation des politiques et des contrôles, volonté d'être réactives et résilientes - seront probablement mieux préparées pour gérer les attaques simples et préserver ainsi leurs ressources pour faire face aux incidents plus complexes.

Cette étude vise à comprendre comment ces entreprises exploitent les technologies pour se protéger et élaborer des programmes de cybersécurité et de protection des données personnelles efficaces, leur permettant de se différencier sur le marché.

Quatre grandes tendances ressortent de l'analyse des résultats de l'étude : les entreprises digitales adoptent de nouvelles technologies et de nouvelles approches quant à la cybersécurité, le renseignement sur les menaces et le partage des informations sont devenus des éléments essentiels, les entreprises gèrent de plus en plus les risques liés à l'Internet des objets, et les menaces géopolitiques s'accroissent.


Une approche globale de la cybersécurité et de la protection des données personnelles Aujourd'hui, la plupart des entreprises sont fondamentalement digitales et les logiciels sont au cœur des activités, des produits et des services. De plus en plus, les entreprises explorent de nouvelles opportunités afin de créer de la valeur et de gagner en compétitivité en intégrant la cybersécurité et la protection des données personnelles à leurs stratégies digitales.

Prenons le cas de l'industrie automobile. Par le passé, l'achat d'une voiture se fondait sur la performance, le design, les capacités et le prix du véhicule. Aujourd'hui, ces facteurs passent au second plan, les consommateurs privilégiant d'autres critères comme la connectivité, le contenu et les services numériques embarqués ainsi que les fonctions de conduite autonome. Au-delà du secteur automobile, d'autres secteurs dont les opérateurs de télécommunications, les éditeurs de logiciels et les sociétés d'électronique grand public intègrent de plus en plus des services numériques autour de leurs produits.

Autrement dit, la vente d'un produit ou d'un service n'est plus un acte isolé, mais cet acte de vente comprend un lot de services complémentaires. Les entreprises offrent ainsi des services digitaux supplémentaires d'un bout à l'autre du cycle de vie d'un produit. Cet exemple, valable dans la plupart des secteurs, représente un changement de paradigme des modèles économiques.

Cette évolution met davantage l'accent sur la qualité et la sécurité des services digitaux en général. Les clients attendent de ces produits qu'ils soient intégrés à une offre digitale intuitive et séduisante qui protège également leurs données sensibles. En conséquence, l'expérience digitale sécurisée est devenue une capacité indispensable.


Priorités en matière de cybersécurité pour les 12 prochains mois

Amélioration de la collaboration entre l'opéra-tionnel, le digital et les SI

Nouveaux besoins en matière de sécurité liés à l'évolution des modèles économiques

Biométrie et authentification avancée

Sécurité de l'Internet de objets

Architecture de l'entreprise digitale

51 % 46 % 46 % 46 % 43 %

- 23PwC

Christopher O’Hara, co-responsable Cybersécurité et Protection des données personnelles chez PwC US, précise : « Vous devez fournir ces services en toute sécurité de sorte que le client continue à avoir confiance en votre entreprise et dans le produit qui lui est proposé. La cybersécurité fait maintenant partie intégrante de l'offre de produits et services des entreprises, et de la confiance du client. »

Pour ce faire, des ressources budgétaires devront être affectées à l'intégration de la cybersécurité, en particulier dans le cadre des initiatives digitales des entreprises. C'est un impératif que bon nombre d'entreprises ont déjà commencé à gérer : 59 % des répondants en 2017 déclarent que la digitalisation de leurs écosystèmes a eu un impact sur leurs dépenses de cybersécurité. Les technologies que les entreprises intègrent dans leurs modèles économiques digitaux comprennent le chiffrement, les pare-feu nouvelle génération, la segmentation des réseaux et la gestion des identités et des accès. Les entreprises doivent également réfléchir à rapprocher les contrôles de la sécurité des données.

L'avantage ? Tom Puthiyamadam, responsable mondial des services digitaux chez PwC, indique : « Les entreprises qui incorporent la cybersécurité à leurs stratégies digitales seront mieux positionnées pour intégrer la confiance en leurs produits et services et pourront ainsi se transformer plus rapidement. Les sociétés leaders intègrent d'entrée de jeu la cybersécurité, la protection des données personnelles et la déontologie digitale. Elles peuvent ainsi améliorer leurs relations avec les clients existants et en gagner de nouveaux. De nombreuses entreprises voient aussi l'efficacité de leurs activités, leurs processus et leurs investissements SI augmenter. »

Le cloud, porteur de synergies Aujourd'hui, il est évident que le stockage d'applications et de données peut être plus sécurisé en externe qu'en interne, sur les systèmes de l'entreprise. Par conséquent, il n'y a rien d'étonnant dans le fait qu'un nombre croissant d'entreprises confie de plus en plus de données et des traitements de données à des fournisseurs de services cloud.

En réalité, nombreuses sont celles qui hébergent des données et des fonctions telles que la finance, les activités opérationnelles et le service client dans le cloud. Même les sociétés soumises à de fortes contraintes réglementaires, notamment les grands groupes de services financiers dotés de programmes de cybersécurité très matures, confient des données sensibles à des prestataires de services cloud.

Selon David Burg de PwC : « Nous observons une explosion du nombre d'entreprises qui envisagent d'utiliser le cloud pour héberger des processus et des fonctions critiques telles que la comptabilité, la finance, les activités opérationnelles et les ressources humaines. Et je pense que cette tendance est appelée à se poursuivre, car les avantages deviennent de plus en plus évidents. »

La cybersécurité centrée sur le cloud constitue une approche dynamique du risque qui peut aider une entreprise à mieux appréhender son écosystème global ainsi que les menaces internes et externes. Avec un système cloud, la cybersécurité peut être renforcée par l'apprentissage automatique et l'intelligence artificielle pour étudier l'activité des réseaux,

corréler les informations sur les menaces avec les journaux d'événements, puis traiter ces données en temps réel pour créer des informations exploitables.

gèrent les opérations SIdans le cloud

63 %

PwC, CIO et CSO, The Global State of Information Security® Survey

2017, 5 octobre 2016


Les plateformes cloud les plus sophistiquées possèdent également des capacités de calcul permettant d'améliorer continuellement le dispositif de cybersécurité. Leur puissance d'analyse leur permet de s'adapter en temps réel et de gagner en solidité à chaque attaque contre le réseau et les données. Autrement dit, une plateforme cloud est non seulement résiliente, mais elle peut également devenir plus performante en s'améliorant et en devenant plus solide.

La cybersécurité basée sur le cloud contribue non seulement à détecter les intrus, mais contrôle également ceux qui accèdent - y compris les salariés, les partenaires externes et les clients habilités - et apprend de leurs comportements. Lorsque la cybersécurité basée sur le cloud est intégrée à des fonctions telles que le marketing, le service client et la logistique, le système peut suivre les activités de quiconque interagit avec son écosystème. Ainsi, au-delà des questions de

cybersécurité, les entreprises peuvent évaluer le comportement des clients et in fine, améliorer leur expérience.

L'utilisation conjointe des technologies avancées et des architectures cloud permet aux entreprises d'identifier les menaces et d'y répondre plus rapidement, de mieux comprendre les clients et l'écosystème de l'entreprise et en définitive, de réduire les coûts. En substance, la cybersécurité devient une force, qui peut révéler les capacités de différenciation de l'entreprise par rapport à ses concurrents.

Fonctions métiers dans le cloud

IT Activités opérationnelles

Finance

Service à la clientèle

Marketing et ventes

63 % 36 % 34 %

34 % 32 %


- 25PwC

Externalisation de la gestion de la sécurité

La conception et la mise en œuvre d'un programme de cybersécurité et de protection des données personnelles sont complexes, mais ne suffisent pas. Une fois le programme en place, il s'agit de le faire évoluer et de l'améliorer constamment.

C'est là une tâche ardue pour des entreprises disposant de ressources limitées, et bon nombre d'entre elles relèvent ce défi en faisant appel à des services de gestion de la sécurité. En réalité, près de deux tiers (62 %) des répondants en 2017 déclarent confier la gestion et le renforcement de leurs programmes de cybersécurité à des prestataires de services de gestion de la sécurité.

L'une des principales raisons est la pénurie de spécialistes qualifiés en cybersécurité. Un récent rapport de Cybersecurity Ventures prévoit que la pénurie de main-d'œuvre va s'aggraver d'ici à 2019 avec près de 1,5 million de nouveaux postes à pourvoir.1 La pénurie actuelle de talents devrait pousser un plus grand nombre d'entreprises à faire appel à des tiers pour gérer tout ou partie de leurs programmes de sécurité.

D'après Grant Waterfall, co-responsable mondial Cybersécurité et Protection des données chez PwC , « Étant donné la rapidité des bouleversements technologiques, les entreprises ont de plus en plus de difficultés à maintenir un vivier de compétences dans le domaine des nouvelles technologies telles que l'Internet des objets et le cloud. Les services de gestion de la sécurité leur permettent d'acquérir ces talents auprès d'un prestataire et de bénéficier des compétences pointues dont elles ont besoin pour accroître leurs propres capacités. »

1 CSO, Market expansion adds to

cybersecurity talent shortage,

13 juillet 2016

recourent à des services externalisés pour gérer la cybersécurité et la protection des données personnelles

62 %

PwC, CIO et CSO, The Global State of Information Security® Survey 2017,

5 octobre 2016


Le coût représente un autre facteur non négligeable. Les entreprises ne disposent pas toujours des ressources pour embaucher à temps plein une équipe de spécialistes de la cybersécurité et de la protection des données personnelles. Par ailleurs, elles ont parfois besoin d'adapter une solution existante, mais ne souhaitent pas mobiliser des experts internes sur l'exécution d'une tâche relativement simple.

Quelle qu'en soit la raison, les entreprises externalisent toute une série de solutions technologiques de protection auprès de prestataires de services de gestion de la sécurité, notamment l'authentification, la prévention de la perte de données, la gestion des identités et des accès et la supervision en temps réel.

Les services de gestion peuvent être regroupés en deux grandes catégories. La première est constituée des technologies de protection et de prévention, telles que la gestion des identités et des accès, la prévention de la perte de données et la gestion des accès privilégiés. La seconde est constituée de la détection et la réponse, notamment l'analyse de données avancée et le renseignement sur les menaces.

Les prestataires leaders offrent ces deux catégories de services ensemble pour apporter des capacités complémentaires. Ils utilisent généralement des technologies sophistiquées et du personnel hautement qualifié pour fournir des services de sécurité 24 h/24, 7 j/7, détecter les menaces et y répondre rapidement. Ils aident également les entreprises à gérer les ressources technologiques et humaines pour optimiser les investissements et constamment renforcer les processus de cybersécurité. Ainsi, les équipes chargées de la sécurité peuvent se concentrer sur les réponses aux menaces et les autres activités stratégiques.

Utilisation de services de gestion de la sécurité

Gestion des identités et des accès

Contrôle et analyse des données en temps réel

Renseignements sur les menaces

Authentification

Prévention des pertes de données

61 %

55 %

48 %

64 %

61 %


- 27PwC

Anticiper les risques grâce à l'analyse de données et au renseignement sur les menaces

Les entreprises qui ne comprennent pas les motivations et les tactiques des adversaires - internes comme externes - auront des difficultés à anticiper et détecter les menaces.

L'analyse de données avancée et le renseignement sur les menaces sont nécessaires pour sensibiliser l'entreprise aux risques et pour l'aider dans la compréhension des tactiques et du mode opératoire des adversaires. Lorsque l'analyse de données et le renseignement sur les menaces sont agrégés dans le cloud, il devient possible de créer une source unique de données corrélées sur l'ensemble de l'entreprise, qui peuvent être gérées en temps réel.

La puissance de calcul et de stockage du cloud permet aux entreprises de contrôler des volumes considérables de données, ainsi que des applications très complexes et interconnectées afin d'identifier des activités suspectes. L'analyse de données basée sur le cloud peut comparer toutes les activités d'un réseau et les évaluer en permanence au regard des normes et d'un référentiel mondial d'indicateurs de menaces. Lorsqu'une nouvelle menace est identifiée, l'analyse de données basée sur le cloud permet de hiérarchiser les réponses en fonction de l'impact sur les données métier.

Cette année, plus de la moitié (51 %) des répondants déclarent qu'ils utilisent l'analyse du Big Data pour modéliser les menaces de cybersécurité potentielles et identifier les incidents. Le Big Data constitue toutefois un défi considérable pour de nombreuses entreprises. Il nécessite d'énormes capacités de stockage, ainsi que des spécialistes expérimentés pour développer des algorithmes sophistiqués et des applications d'analyse. Comme indiqué plus haut, la pénurie de professionnels de la cybersécurité et les contraintes budgétaires peuvent freiner la mise en œuvre de solutions avancées dans le domaine du Big Data.

C'est l'une des raisons pour lesquelles de plus en plus d'entreprises adoptent des solutions basées sur le cloud. Parmi les répondants qui recourent à des services de gestion de la sécurité, 55 % déclarent utiliser des prestataires pour le contrôle et l'analyse de données en temps réel. Outre les avantages en termes de calcul, de stockage et de savoir-faire technique, les grands prestataires de services de gestion de la sécurité ont souvent accès à des SOC (Security Operations Centers) à l'échelle mondiale ainsi qu'à des centres de fusion du renseignement sur les menaces. Les SOC et les centres de fusion du renseignement sont absolument essentiels pour agréger les données, filtrer les faux positifs et obtenir des informations exploitables.

Les outils de contrôle et d'analyse sont considérablement plus puissants lorsque le renseignement sur les menaces est partagé entre plusieurs entreprises, groupes d'un même secteur et agences gouvernementales. Là encore, le cloud offre une plateforme unique et sécurisée de stockage et de partage des informations.

utilisent l'analyse du Big Data pour modéliser les menaceset les identifier

51 %

PwC, CIO et CSO, The Global State of Information Security® Survey 2017,

5 octobre 2016


Mieux que les mots de passe, l'authentification avancée

En matière d'authentification, les mots de passe sont aussi utiles que, par exemple, 123456. Cette série de chiffres évidents constitue toujours le mot de passe le plus couramment employé aujourd'hui.

La négligence des utilisateurs en matière de mots de passe est l'une des raisons pour lesquelles de nombreuses entreprises s'orientent vers les technologies d'authentification avancées pour renforcer la sécurité et accroître la confiance des clients et des partenaires commerciaux.

Les technologies d'authentification facilitent non seulement l'authentification pour les utilisateurs, mais contribuent également à renforcer la sécurité globale des données. En réalité, l'étude de cette année révèle que 46 % des entreprises utilisant une authentification avancée déclarent que cela a permis d'augmenter la sécurité des transactions en ligne. Les répondants indiquent également que les technologies d'authentification accroissent la confiance des consommateurs dans leurs capacités en matière de sécurité et de protection des données personnelles, tout en renforçant l'expérience du consommateur et en préservant la notoriété de la marque.

Dans le passé, l'authentification avancée était principalement réservée aux systèmes gouvernementaux et des grandes institutions financières ; plus récemment, les médias sociaux et les fournisseurs d'adresses électroniques ont introduit l'authentification multi-facteurs, c'est-à-dire en plusieurs étapes. Aujourd'hui, le nombre de secteurs qui adoptent l'authentification multi-facteurs pour réaliser leurs transactions est en hausse.

Le concept d'authentification multi-facteurs est simple : après avoir saisi un nom et un mot de passe, l'utilisateur reçoit par SMS un code (le second facteur) sur son téléphone portable pour compléter l'authentification. Au-delà de l'aspect multi-facteurs, certaines entreprises développent et mettent en œuvre des technologies plus avancées dans leurs locaux. Ce type d'authentification comprend différentes méthodes ; schéma à saisir par l'utilisateur, carte ou clé d'accès, informations biométriques (lecteurs d'empreintes digitales ou d'iris).

Lorsqu'elles mettent en œuvre de nouvelles technologies d'identification, les entreprises peuvent être amenées à repenser leur approche de la gestion de l'identification pour concevoir des solutions intuitives, pratiques et suscitant la confiance des clients. Il est également important de cartographier l'authentification en fonction du niveau de risque que l'accès constitue pour l'entreprise.

utilisent la biométriepour l'authentification

57 %PwC, CIO et CSO, The Global State of Information

Security® Survey 2017, 5 octobre 2016

- 29PwC

Explorer les possibilités des logiciels open sourceL'adoption de logiciels libres représente une évolution majeure dans la façon dont les entreprises élaborent et gèrent des solutions et fournissent des services SI.

Cette tendance se généralise dans tous les secteurs. Certaines entreprises parmi les plus importantes au plan mondial se rallient au mouvement open source, y compris Microsoft, le géant du secteur des logiciels : la société a rendu accessible sous Linux des composants de SQL Server, .NET et PowerShell.2 Même le gouvernement américain a lancé un programme pilote demandant aux agences fédérales de mettre à disposition en open source au moins 20 % des nouveaux codes de logiciels pour les sites, les applications et autres logiciels financés par le gouvernement fédéral.3

Il n'est donc pas surprenant de constater que plus de la moitié (53 %) des répondants utilisent des logiciels libres. Il est toutefois révélateur que 49 % de ceux qui utilisent une technologie open source déclarent que cela a contribué à améliorer leur politique en matière de cybersécurité.

Les entreprises adoptent des logiciels libres pour plusieurs raisons importantes. Les applications libres s'adaptent rapidement et efficacement et souvent, ont été développées et testées par des experts de la sécurité dans différents secteurs. Le logiciel, généralement accessible moyennant un faible coût, voire gratuitement, représente une méthode peu onéreuse pour créer de nouvelles solutions. Combinées au cloud, les technologies libres peuvent permettre d'accroître l'interopérabilité d'un éventail de plus en plus large d'équipements, de capteurs, de technologies et d'identités.

Ces avantages conjugués font de l'open source une technologie pouvant potentiellement changer la donne. Selon David Burg, de PwC, « Un nombre croissant de secteurs adopteront probablement l'open source. L'open source tire parti de la pensée de groupe pour optimiser une application ou un service de la façon la plus efficace possible. »

des répondants utilisant des logiciels libres déclarent que cela a contribué à améliorer leur programme de cybersécurité

49 %

PwC, CIO et CSO, The Global State of Information Security® Survey

2017, 5 octobre 2016

2 Federal Source Code

Policy, 5. Open Source

Software, consulté le

20 septembre 2016

3 Microsoft Azure Blog,

PowerShell is open

sourced and is available

on Linux, 18 août 2016


Avantages des logiciels libres

Amélioration de la cybersécurité

Le développe-ment et le déploiement de projets SI sont facilités

Infrastructure plus facilement adaptable

Adaptabilité accrue

Meilleure interopérabilité avec les appli-cations et intergiciels existants

51 % 49 % 47 % 45 % 41 %


- 31PwC

Le risque lié aux données personnelles augmente

Deux facteurs font aujourd'hui évoluer la réglementation en matière de cybersécurité : les écosystèmes numériques interconnectés et les menaces qu'ils provoquent et les avancées technologiques. Ces évolutions réglementaires ouvrent à leur tour la voie à des niveaux des mesures d'application, des actions de groupe ou de surveillance par les régulateurs de nouvelles technologies telles que la géolocalisation et l'analyse du Big Data.

En effet, cette année, une série de dispositions sont entrées en vigueur ou ont été annoncées.

Le Règlement général sur la protection des données (RGPD), dont l'entrée en vigueur est prévue en avril 2018, figure parmi les plus importantes. Le RGPD va se traduire par une série d'exigences sur la protection des données personnelles qui nécessiteront un regain d'attention de la part des sociétés qui offrent des produits et des services aux citoyens de l'Union européenne. Les entreprises qui ne respecteront pas ce règlement pourraient se voir infliger des amendes allant jusqu'à 4 % de leur chiffre d'affaires annuel mondial.4 La jurisprudence européenne introduit également un nouveau risque pour les entreprises dans ce domaine : les actions de groupe.

Selon Jay Cline, Principal chez PwC en matière de cybersécurité et de protection des données personnelles : « Le RGPD impose d'exercer un contrôle interne inédit sur les pratiques relatives à la protection des données personnelles. Dans un an et demi, ce ne sont pas moins de 500 millions de citoyens européens qui pourront faire valoir de nouveaux droits et demander des comptes aux multinationales devant les tribunaux européens. »

Cinq principales dispositions du règlement devraient avoir un impact significatif sur les entreprises ayant des activités en Europe :

1. Recensement obligatoire des données et enregistrement de tous les traitements des données personnelles européennes.

2. Notification obligatoire des violations des données personnelles aux régulateurs et aux personnes dont les données sont compromises.

3. Le droit à l'oubli, qui permet aux personnes de demander que leurs données soient effacées.

4. Des évaluations régulières de l'impact de la protection des données personnelles.

5. La nomination de délégués à la protection des données.

Pour bon nombre d'entreprises, la conformité à ce règlement sera un défi. Elles pourraient avoir à réaliser des évaluations approfondies des risques et renforcer la sécurité de bout-en-bout. Nombreuses sont celles qui devront repenser leurs stratégies de gouvernance des données et mettre en œuvre des processus et des technologies pour tenir à jour des registres de données exhaustifs.

Seules les entreprises proactives seront prêtes. Afin d'anticiper la mise en place de la réglementation, les entreprises peuvent réaliser une évaluation de leur niveau de préparation, en comblant les lacunes pour parvenir à un niveau opérationnel adéquat et en instaurant un processus permanent de contrôle de la conformité.

4 Union européenne, Règlement général sur la protection

des données, consulté le 20 septembre 2016


Outre le RGPD, de nombreuses sociétés américaines seront également confrontées au Privacy Shield, la loi qui succède au cadre du Safe Harbor régissant le transfert transatlantique des données personnelles des citoyens européens. L'inscription au Privacy Shield intensifiera indiscutablement la surveillance relative au stockage et au transfert de tous types de données, allant des posts sur les réseaux sociaux au traitement des salaires.

La conformité risque d'être onéreuse. Les entreprises américaines, par exemple, devront identifier les tiers avec lesquels elles partagent des données personnelles des citoyens européens. Elles doivent également effectuer une revue de due diligence des données personnelles de tiers qui traitent des données personnelles européennes, et pouvoir apporter la preuve de la conformité à la demande, signée par un directeur de la société.5

Pour y parvenir, de nombreuses entreprises devront mettre à jour les registres de données et les cartographies des flux de données afin de vérifier de quelle manière elles gèrent les données personnelles européennes. Elles doivent également réaliser une analyse cost-benefits de la conformité au Privacy Shield et effectuer des contrôles de l'adéquation opérationnelle qui testent des engagements contractuels modèles.

Les nouvelles réglementations et législations contraignantes ne se limitent bien entendu pas à l'Union européenne et aux États-Unis. En Asie, d'autres pays, notamment la Chine, la Corée du Sud, Hong Kong et Singapour, ont eux aussi promulgué de nouveaux règlements aux conséquences importantes.

En Chine, les réglementations de plus en plus contraignantes - comme la multiplication des obligations et des mesures de censure pour éviter la diffusion d'informations interdites et

illicites prévues par un projet de loi sur la cybersécurité - constituent potentiellement des défis pour les entreprises étrangères.6 Une série de lois récentes sur la cybersécurité imposent aux entreprises technologiques et aux institutions financières de stocker leurs données en Chine, de se soumettre à des vérifications de la sécurité et d'aider si nécessaire les pouvoirs publics au décryptage. En conséquence, de nombreuses entreprises décident de renforcer leurs coentreprises existantes ou d'accroître les volumes d'activité avec leurs partenaires chinois.

Toutefois, la Chine s'est récemment montrée plus coopérante en autorisant les sociétés étrangères à participer à des réunions avec les pouvoirs publics afin de définir les normes en matière de cybersécurité.7 Il est encourageant de constater que la Chine reconnaît le caractère mondial de la chaîne d'approvisionnement technologique, ainsi que la nécessité d'aligner sa politique sur les tendances internationales.

Parmi les autres exemples de législation contraignante sur la cybersécurité et la protection des données personnelles, citons un amendement au Personal Information Protection Act (loi sur la protection des données personnelles) en Corée du Sud. Cet amendement fixe de nouvelles pénalités, avec des amendes pouvant aller jusqu'à 100 millions de wons sud-coréens (87 994 USD) et/ou jusqu'à dix années d'emprisonnement.8

À Hong Kong, le Personal Data (Privacy) Ordinance prévoit un durcissement des réglementations sur la collecte et le traitement des données personnelles, notamment une règle sur le transfert des données à des tiers et les transferts internationaux.9 Elle prévoit également des amendes jusqu'à 1 million de dollars

de Hong Kong (128 900 USD) et des peines d'emprisonnement pouvant aller jusqu'à cinq ans. En mai, l'autorité monétaire a publié un projet de document consultatif sur la gestion de la cyber-résilience intitulé Cyber Fortification Initiative, que toutes les banques sont invitées à suivre. Le nouveau cadre sera probablement publié fin 2016 ou début 2017.

Et à Singapour, le Personal Data Protection Act, entré en vigueur en juillet 2014, prévoit de nouvelles règles sur la collecte, l'utilisation et la divulgation de données personnelles, ainsi que sur les transferts internationaux. La loi prévoit également des pénalités allant jusqu'à 1 million de dollars singapouriens (735 862 USD) et trois années d'emprisonnement.10

L'évolution générale vers un durcissement des règles en matière de localisation des données, une notification obligatoire en cas d'atteintes à la protection des données et des restrictions sur l'analyse du Big Data va contraindre les entreprises et les responsables de la technologie à élaborer une stratégie mondiale de protection des données personnelles. Les stratégies performantes devront dépasser la conformité et englober des procédures sur le transfert mondial et la monétisation des données.

5 Ministère américain du Commerce, Privacy

Shield Framework Requirements of

Participation, consulté

le 20 septembre 2016

6 Broader Perspectives, Chinese

Cybersecurity Rules Alter Business Paths,

14 juin 2016

7 SC Magazine, China allows foreign tech fi rms

to participate in creating cybersecurity

standards, 31 août 2016

8 Ministère sud-coréen de la Sécurité et de

l’Administration publique, Personal

Information

9 PwC, Are you taking action on data privacy ?,

janvier 2013 Protection Act, Article 70,

consulté le 3 octobre 2016

10 Personal Data Protection Commission

Singapour, Legislation and Guidelines,

consulté le 30 septembre 2016

- 33PwC

La gestion des évolutions réglementaires par les entreprisesCes nouvelles réglementations sur la protection des données personnelles et sur l'utilisation d'Internet créent de nouveaux obstacles pour les entreprises, et sont manifestement sources d'inquiétude pour bon nombre de dirigeants. Dans la 19e édition annuelle de l'étude mondiale de PwC menée auprès des dirigeants (CEO Survey), les dirigeants interrogés ont déclaré que l'excès de réglementation était cette année la principale menace pour la croissance de leur entreprise.11

Parmi les répondants, la priorité la plus citée au cours des 12 prochains mois est la formation et la sensibilisation à la protection des données personnelles, suivie de près par l'actualisation des politiques et procédures de protection des données personnelles.

Selon Grant Waterfall, de PwC, « Pour renforcer les programmes de formation et de sensibilisation, les entreprises doivent donner l'exemple et se concentrer sur l'avenir digital de la société. Elles doivent ensuite établir un lien avec l'objet de la société, puis concevoir des programmes en conséquence. »

Au-delà de ces mesures, les entreprises doivent élaborer et actualiser des méthodologies de gestion des données personnelles et de conformité, et mettre en œuvre ou actualiser un cadre de gouvernance sur l'utilisation des données, réaliser des études d'impact et veiller à ce qu'un programme sur la protection des données personnelles soit mis en place sur leur cycle de vie. Bon nombre d'entre elles en profitent pour consolider en toute sécurité leurs infrastructures et leurs technologies afin de supprimer les redondances des SI et, le cas échéant, en migrant ces systèmes dans le cloud.

Il est plus que jamais essentiel d'examiner soigneusement les types d'informations recueillies sur les clients et de veiller à maintenir au minimum la collecte et le stockage de données. Les avantages pour les entreprises doivent être supérieurs aux risques.11

11 PwC, PwC 19th Annual Global CEO Survey, janvier 2016


Priorités en matière de protection des données personnelles

pour les 12 prochains mois

Formation et sensi-bilisation à la pro-

tection des données personnelles

Évaluations de la protection des

données person-nelles

Réponse aux inci-dents liés à la protec-

tion des données personnelles

Politiques et procédures relatives à

la protection des données personnelles

38 % 32 % 31 %36 %


Hier, aujourd'hui et les opportunités d'avenir

12 CIO, 10 Cloud Computing Companies to

Watch, 18 mai 2009

13 The New York Times, How the AOL-Time

Warner Merger Went So Wrong,

10 janvier 2010

14 PwC, CIO et CSO, The Global State of

Information Security® Survey,

octobre 2008

Au cours de la dernière décennie, les avancées dans les domaines de la technologie et de la cybersécurité ont été étonnamment rapides et considérables.

Songez par exemple qu'il y a dix ans seulement, Amazon lançait son site Amazon Web Services (AWS) qui fournit des services SI aux entreprises.12 Aujourd'hui, la majorité des entreprises dans le monde (63 % des répondants) déclarent utiliser des services SI dans le cloud.

Il y a dix ans, le modèle économique digital était une énigme pour beaucoup d'entreprises. En 2007, la plupart des entreprises ne comprenaient pas les avantages d'un modèle digital, et encore moins comment en mettre un en place. Certaines se méfiaient même de l'idée : quelques années auparavant, la fusion, d'un montant de 350 milliards de dollars entre AOL et Time Warner avait débouché sur ce que beaucoup considéraient comme une erreur commerciale.13

Dix années plus tard, 59 % des répondants déclarent qu'ils augmentent leurs dépenses de sécurité sous l'effet de la digitalisation. Pour y parvenir, les entreprises optimisent leurs modèles économiques dans la perspective de l'ère digitale. De nombreuses entreprises mettent en place des éléments fondateurs - cloud, contrôles et analyse sophistiqués des données, technologies libres pour n'en citer que quelques-uns - et intègrent la digitalisation et la cybersécurité à la protection des données personnelles.

Une autre dimension clé de la cybersécurité est la capacité à comprendre les menaces. En 2008, 42 % des répondants ignoraient l'origine des incidents de sécurité détectés.14 Cette année, seulement 13 % des répondants n'étaient pas en mesure d'identifier quels types d'acteurs - salariés, partenaires commerciaux, pirates, hacktivistes et États - étaient à l'origine des intrusions.

Enfin, de plus en plus d'entreprises comprennent que la cybersécurité et la protection des données personnelles ne relèvent plus seulement de la responsabilité du service IT. Aujourd'hui, beaucoup reconnaissent que la cybersécurité peut être source d'avantages pour l'entreprise, de confiance et de valeur pour l'actionnaire. Elles comprennent également qu'en conjuguant modèles économiques digitaux et cybersécurité, elles peuvent créer en toute confiance des plateformes, produits et services numériques nouveaux.

Impossible de prédire l'avenir. Mais nous serons à notre avis témoins d'avancées technologiques telles que l'intelligence artificielle, l'apprentissage automatique, l'authentification avancée sophistiquée et les contrôles adaptatifs. Conjuguées au cloud, ces technologies donneront très probablement naissance à de nouveaux modèles d'architectures et à de puissantes capacités en matière de cybersécurité et de protection des données personnelles qui aideront les entreprises à devancer les menaces nombreuses et sophistiquées.

- 35PwC

L'étude « The Global State of Information Security® 2017 » est une enquête mondiale de PwC, CIO et CSO réalisée en ligne du 4 avril 2016 au 3 juin 2016. Les lecteurs de CIOet de CSO et les clients de PwC dans le monde entier ont été invités par mail à participer à l'étude.

Les résultats présentés ici se basent sur les réponses de plus de 10 000 CEO, CFO, CIO, RSSI, OSC, vice-présidents et directeurs de l’information et des pratiques de sécurité de plus de 133 pays.

34 % des répondants sont issus d’Amérique du Nord, 31 % d’Europe, 20 % d’Asie Pacifique, 13 % d’Amérique du Sud, et 3 % du Moyen-Orient et d’Afrique.

La marge d'erreur est inférieure à 1 % ; les totaux peuvent présenter des différences en raison des arrondis.

Tous les chiffres et les graphiques de ce rapport sont extraits des résultats de l'étude.

Méthodologie

34 % - Amérique du Nord

13 % - Amérique latine

31 % - Europe

20 % - Asie Pacifi que

3 % - Moyen-Orient et Afrique


Contacts PwC par pays pour la cybersécurité et la protection des données personnelles

Afrique du Sud

Sidriaan de VilliersAssocié[email protected]

Elmo HildebrandDirecteur/Associé[email protected]

Busisiwe MatheDirecteur/Associé[email protected]

Allemagne

Derk FischerAssocié[email protected]

Asie du Sud-Est

Jimmy SngAssocié[email protected]

Australie

Richard BergmanAssocié[email protected]

Andrew GordonAssocié[email protected]

Steve IngramAssocié[email protected]

Autriche

Christian KurzSenior [email protected]

Belgique

Filip De WolfAssocié[email protected]

Brésil

Edgar D’AndreaAssocié[email protected]

Canada

David CraigAssocié[email protected]

Sajith (Saj) NairAssocié[email protected]

Richard WilsonAssocié[email protected]

Chine

Megan HaasAssocié[email protected]

Ramesh MoosaAssocié[email protected]

Kenneth WongAssocié[email protected]

Corée

Soyoung ParkAssocié[email protected]

Danemark

Christian Kjæ[email protected]

Mads Nørgaard MadsenAssocié[email protected]

Espagne

Javier Urtiaga BaonzaAssocié[email protected]

Elena MaestreAssocié[email protected]

États-Unis

David [email protected]

Scott [email protected]

Chris O’[email protected]

Grant WaterfallAssocié[email protected]

France

Philippe TrouchaudAssocié[email protected]

Inde

Sivarama KrishnanAssocié[email protected]

Israël

Rafael MamanAssocié[email protected]

Italie

Fabio MerelloAssocié[email protected]

Japon

Yuji HoshizawaAssocié[email protected]

Sean KingAssocié[email protected]

Naoki YamamotoAssocié[email protected]

- 37PwC

Luxembourg

Vincent VillersAssocié[email protected]

Mexique

Fernando Román SandovalAssocié[email protected]

Yonathan ParadaAssocié[email protected]

Juan Carlos CarrilloDirecteurCarlos [email protected]

Moyen-Orient

Mike MaddisonAssocié[email protected]

Nouvelle-Zélande

Adrian van HestAssocié[email protected]

Norvège

Lars Erik FjørtoftAssocié[email protected]

Pays-Bas

Gerwin NaberAssocié[email protected]

Otto VermeulenAssocié[email protected]

Bram van [email protected]

Pologne

Rafal [email protected]

Jacek [email protected]

Piotr UrbanAssocié[email protected]

Royaume-Uni

Neil HampsonAssocié[email protected]

Richard HorneAssocié[email protected]

Alex PetsopoulosAssocié[email protected]

Russie

Tim CloughAssocié[email protected]

Singapour

Vincent LoyAssocié[email protected]

Jimmy SngAssocié[email protected]

Suède

Martin [email protected]

Rolf [email protected]

Suisse

Reto HaeniAssocié[email protected]

Turquie

Burak [email protected]


www.pwc.com/gsiss www.pwc.com/cybersecurity

Les informations contenues dans le présent document ont un objet exclusivement général et ne peuvent en aucun cas être utilisées comme un substitut à une consultation rendue par un professionnel. En tout état de cause, en aucun cas la responsabilité de PricewaterhouseCoopers France et/ou de l’une quelconque des entités membres du réseau PwC ne pourra être engagée du fait ou à la suite d’une décision prise sur la base des informations contenues dans le présent document.© 2017 PricewaterhouseCoopers France. Tous droits réservés.

vers une nouvelle approche de la cybersécurité et de la ... · la cybersécurité peut devenir un...

Documents