Dans 53% des entreprises, au moins 1000 fichiers sensibles sont laissés en accès libre à tous les employés, d’après le Global Data Risk Report de Varonis. Ce cap n’était dépassé que par 41% des entreprises il y a un an.
Communiqué de presse – Malgré une réglementation plus stricte et des cyber-menaces omniprésentes, le niveau de sécurité des données en entreprises ne progresse pas. Pire, les entreprises sont encore plus nombreuses à exposer leurs données sensibles, qu’il y a un an !
RGPD : Quel bilan à l’aube de son premier anniversaire ?
Varonis, spécialiste de la gouvernance et de la sécurité des données, publie son rapport annuel, Global Data Risk Report. Déjà alarmant l’an passé, le nouveau rapport démontre que les entreprises sont encore plus nombreuses à exposer (laisser en accès libre en interne) leurs données sensibles (informations personnelles, données de santé, bancaires, identités, etc.).
- En moyenne, 22% des fichiers d’une entreprise sont accessibles à l’ensemble des employés, et dans 53% des entreprises, ce sont au moins 1000 fichiers contenant des données sensibles qui sont laissés en accès libre à tous les employés. Le cap des 1000 fichiers ne concernait que 41% des entreprises il y a un an… En moyenne, chaque employé a eu accès à 17 millions de fichiers.
Pour réaliser ce rapport, Varonis a analysé un volume extraordinaire de données : 54 milliards de fichiers (+ de 54 pétaoctets de données) soit 10 fois plus que pour le rapport 2018, à partir d’évaluations des risques de données effectuées, dans plus de 780 entreprises présentes dans 30 industries différentes, dans le monde entier.
Norman Girard, VP Europe de Varonis alerte :
« Les cybermenaces sont devenues omniprésentes – menace interne, vol de données, malwares/ransomwares, etc. – et pourtant nous constatons que les entreprises sont encore trop peu nombreuses à avoir mis en place des mesures adaptées pour protéger leurs données sensibles. Après un an d’application du RGPD en France, la CNIL vient d’annoncer que le temps de la tolérance touchait à sa fin et que l’Institution allait se montrer beaucoup plus stricte vis-à-vis des entreprises. Notre Data Risk Report a de quoi alarmer sur le niveau de la prise de conscience des entreprises… Les résultats sont sans appel : les entreprises ne connaissent, ni ne protègent, pas mieux leurs données qu’il y a un an ».
Principales conclusions du Global Data Risk Report :
- L’absence de contrôle et de permission d’accès expose (= laisse en accès libre) les fichiers sensibles à à la menace interne :
- 53 % des entreprises ont au moins 1 000 dossiers sensibles accessibles à tous les employés. Cela n’était vrai « que » dans 41% des entreprises en 2018.
- En moyenne, 22 % de tous les fichiers de l’entreprise sont accessibles à chaque employé (21% en 2018)
- Les mots de passe utilisateur qui n’expirent jamais… permettent aux pirates de disposer de davantage de temps pour compromettre des sessions utilisateurs :
- Le problème des mots de passe n’expirant jamais s’est considérablement empiré ! 38 % des utilisateurs ont des mots de passe qui n’expirent jamais, contre 10 % l’an dernier.
- 61% des entreprises ont plus de 500 utilisateurs avec des mots de passe qui n’expireront jamais.
- Les dossiers sensibles obsolètes augmentent le risque d’amendes, en vertu du RGPD, de la California Consumer Privacy Act (CCPA), de l’HIPAA.
- 87 % des entreprises ont plus de 1 000 dossiers contenant des données sensibles dont elles n’ont plus l’utilité.
- 71 % des entreprises ont plus de 5 000 dossiers sensibles obsolètes.
- Les utilisateurs « fantômes » donnent aux anciens employés et sous-traitants un accès inutile à des informations sensibles :
- 50 % des comptes d’utilisateurs ne sont plus actifs.
- 40 % des entreprises comptent plus de 1 000 utilisateurs autorisés à accéder au réseau, mais inactifs.
- Les habitudes en matière de protection de leurs informations les plus sensibles, différèrent selon les industries, et la zone géographique :
- Les entreprises du retail semblent être les « meilleurs élèves » puisqu’elles ont le plus petit nombre de fichiers sensibles exposés. Malgré leur prise de conscience de longue date des problématiques de cybersécurité, les entreprises de services financiers se révèlent faire partie des « mauvais élèves » en matière de données exposées, les secteurs où le plus grand nombre de fichiers sensibles exposés a été trouvé sont la santé, la pharmaceutique et la biotechnologie (4 691 par téraoctets analysés).
Les enseignements du Global Data Risk Report en France :
- 4,22 % des fichiers analysés dans les entreprises françaises sont sensibles
- 12 % des fichiers sensibles sont exposés, ce qui représente en moyenne 150 878 fichiers sensibles.
- En moyenne, 48 % des données sont obsolètes
- 28 % des comptes utilisateurs, en moyenne, sont obsolètes mais toujours actifs
- 68 % des fichiers analysés contiennent des données sensibles obsolètes
- 39% des utilisateurs utilisent des mots de passe qui n’expirent jamais
Pour consulter le Rapport complet : Data Gets Personal : 2019 Global Data Risk Report du Varonis Data Lab
Ci-dessous, la réaction de David Grout Chief Technology Officer EMEA chez FireEye :
« L’application de la RGPD a, depuis un an, changé le paysage de la sécurité en Europe. Nous avons clairement vu une augmentation des notifications et une mise au grand jour de ces sujets qui étaient très souvent « tabous » et peu documentés. On peut donc considérer qu’un an après cette application, le règlement est un succès et une avancée pour l’Europe en termes de sécurité et de notifications.
Dans le même temps, l’adoption de ce règlement aura permis à l’ensemble des organisations de monter en maturité en matière de sécurité. Nous l’avons d’ailleurs observé dans notre rapport annuel des menaces (MTREND 2019) avec une baisse du temps moyen de persistance de l’attaquant sur les réseaux de leurs victimes et ce grâce à de meilleurs capacités de détections. »