@DPO_News @cyberisques @jpbichard #GDPR Cyril Lefèvre SAS: "le « business » GDPR devrait représenter 25% de notre CA en Data Management"

Solution outils GDPR : SAS

Entretien Jean Philippe Bichard  @jpbichard   @DPO_NEWS

 

 

Cyril Lefèvre, Business Solution Manager Data Management SAS:

 

            -  SAS ne proposera pas de services « DPO as a service »

   -  nos outils doivent fournir les preuves des actions engagées

   -  le « business » GDPR data management devrait représenter 25% de notre CA

 

 

 

 

GDPR / RGPD : une approche technique ou juridique ?

Les Deux car la commission EUR demande l'usage d'outils et de process juridiques.

 

 

Le GDPR représente quels changements sur l'offre Data management d'un éditeur ?

Pour SAS, le GDPR ou RGPD ce n'est pas réellement nouveau, il faut juste amplifier les fonctionnalités existantes sur nos plate-formes. Il faut voir le GDPR comme une plate-forme de data management. Reste à savoir si la GDPR sera attaquée parallèlement à une démarche de « compliance juridique » sous un angle technique par les organisations. Exemple : le Droit à l'oubli nécessite pour son application l'usage de certains outils. C'est important puisque les entreprises qui pourront démontrer leur aptitude a effectuer ce process pourront par exemple s'affranchir de « menaces pénales » de type « class action ». En poursuivant cette idée en pratique, un changement d'opérateur télécom pour un client peut s'accompagner d'une demande de « droit à l'oubli » non seulement auprès de cet opérateur mais aussi auprès de l'ensemble des filiales de cet acteur. Pour nous éditeur, çà signifie que nos outils doivent fournir des preuves que les actions engagées se concrétisent.

 

SAS-2017

 

Quelle boite à outils GDPR proposez-vous ?

Une fois que les process sont définis par les métiers, on peut débuter un projet GDPR chez Nous avec les outils SaS Data Management afin d'adresser l'identification de la donnée, leur traçabilité.... Les offres de type SaS Entreprise Gouvernance et SaS federative server viennent compléter les nouvelles exigences contenues dans le GDPR.

 

 

A vous écouter, les solutions techniques SaS contenaient déjà les outils nécessaires à la mise en pratique du GDPR ?

Oui absolument on a déjà les fonctions demandées par la nouvelle réglementation. En fait la loi nous rattrape on était plutôt en OPT-out et le GDPR renforce la partie OPT-in. Dans les deux cas, nos outils autorisent ces process. Il faut comprendre que le GDPR donne une nouvelle façon de travailler sur les données perso.

 

 

Quelle nouvelle façon ?

Si on prend l'exemple d'une demande spécifique du règlement : les limites de 72h00 pour prévenir la CNIL en cas de problèmes, il faut une identification rapide, connaître les données sorties du système... Ce que nous proposons déjà. A partir du moment ou la donnée est bien gérée via une vision 360 degrés, nous pouvons garantir aux clients la protection de leurs données à caractère personnel.

 

 

Toutes les données ?

????

Précisons certains comportements d'utilisateurs : BYOD, téléchargement d'applications mobiles, usage « privé » des réseaux sociaux et des services WEB, transferts de données hors entreprises... font que selon plusieurs études, près d'un tiers des données des organisations « échappent » au contrôle d'un SI. Comment pouvez vous remédier à ces absences de contrôle en matière de données à caractère personnel ?

L’enjeu pour Nous consiste a détecter toutes les données structurée ou pas, visibles ou pas.

 

 

C'est le cas ?

Nous y travaillons.

 

Abonnemnt-2017

 

 

Coté services, le « DPO as a service » peut devenir une offre concrète chez les éditeurs ?

Chez SAS nous devons être exemplaires dans la gestion de nos propres données clients, fournisseurs, partenaires... Nous allons nommer un DPO interne. Ce sera un manager de haut niveau. Pour répondre plus précisément à votre question, SAS ne proposera pas de services « DPO as a service ». En revanche, nous sommes axés sur l'idée que le GDPR constitue un avantage concurrentiel pour les entreprises qui seront les premières a offrir une réelle compatibilité avec le règlement EUR. Une meilleure maîtrise de la data donne un client mieux servi.

 

 

Pour un éditeurs tel que SAS, quelle opportunité « Business » représente le GPDR pour l'exercice 2017 ?

La part de business générée par les transactions commerciales propres aux projets GDPR devraient représenter un marché stratégique.

 

Combien ?

25% de notre CA sur la partie Data Management 2017.

Propos recueillis par @jpbichard  @DPO_NEWS

 

Phot-JPB-DPO NEWS

Journaliste IT depuis 27 ans, IHEDN 2005, animateur d'évènements (tables rondes) IT / GDPR, auteur de plusieurs ouvrages, co-fondateur en 1997 du premier média "cybersecurité" NetCost&Security avec Olivier Caleff, Jean Philippe Bichard -@jpbichard - a créé le site de veille  http://cyberisques.com en 2012.

Premier journaliste animateur des « Assises de la sécurité » dans les années 2000, il collabore à différents médias (tech et Eco).

 En complément de Cyberisques NEWS  - gouvernance des risques IT - il crée en 2016 @DPO_Newsconsacré aux projets GDPR (organisationnel, technique, juridique) et à la veille stratégique pour les DPO. 

En plus d'animations (avec compte-rendu immédiat) et d'enquêtes "marché", Jean Philippe rédige de nombreux « white papers » sur les différents aspects du GDPR, des études « business » et autres contenus WEB sur les thématiques Cyberisques / GDPR.

This email address is being protected from spambots. You need JavaScript enabled to view it.

@cyberisques @jpbichard @DPO_NEWS

 

#GDPR @DPO_News @cyberisques: Quels sont les éléments requis d'une #AIPD (analyse d'impact) ? Premiers éléments publiés

DPO_NEWS #GDPR en pratique:

 

 

 Quand réaliser une analyse d'impact relative à la protection des

données personnelles ?  

 

 

Une des nouvelles obligations figurant dans le RGPD ou GDPR concerne l'obligation de réaliser - dans certaines circonstances - une “analyse d'impact relative à la protection des données”, en abrégé “AIPD”.

Une AIPD est un processus visant à évaluer les risques liés aux droits et libertés de personnes physiques qui surviennent ou menacent de survenir dans le cadre du traitement de données à caractère personnel, et à évaluer les possibilités de gestion de ces risques. La nouvelle obligation d'exécuter une AIPD soulève d'emblée plusieurs questions pratiques, comme : quand une AIPD estelle obligatoire ? Quels sont les éléments requis d'une AIPD ? Quels acteurs doivent être impliqués dans une AIPD ?

Etude-deloitte-2

 

En règle l’AIPD n’est bligatoire que lorsque le traitement en cause est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Il s’agit d’abord selon elle de tout traitement dont il est vraisemblable qu’ils puissent avoir des conséquences néfastes considérables pour les libertés et droits fondamentaux si l’on ne prend pas de mesures de protection adéquates. Une telle conséquence renvoie en réalité à l’impact de la réalisation du risque : si le risque se produit, la personne concernée serait sensiblement touchée dans l’exercice et la jouissance de ses droits et libertés. Elle renvoie encore ici aux conséquences visées au considérant 75 du GDPR.

Pour elle, le risque élevé en question vise le risque inhérent au traitement, opposé au risque résiduel après prises des mesures de sauvegarde. 

 

Abonnemnt-2017

 

La Belgique s'intéresse à cet aspect du GDPR. Etat des lieux; Pour lire le document: 

  

BONUS:

  https://www.cnil.fr/fr/consultation-reglement-europeen/eivp/quand-mener-une-eivp

 

Lire aussi:  http://cyberisques.com/mots-cles-15/648-dpo-news-cyberisques-jpbichard-gdpr-la-face-cachee-du-gdpr

 

@DPO_News @jpbichard #GDPR Entretien Xavier Leclerc PDG DPMS « Privacy is good for business »

Outils GDPR:  Entretien Xavier Leclerc PDG DPMS

 

« Privacy is good for business »

 

par Jean Philippe Bichard  @DPO_NEWS

Phot-JPB-DPO NEWS

 

La gouvernance des données s'impose comme un enjeu de souveraineté majeur. On le savait. Xavier Leclerc, PDG de DPMS – Data Privacy Management System – le confirme dans cet entretien.

Pour cet acteur, un des tout premiers sur le « marché » des CIL (Correspondants informatique et libertés) professionnel sur différents secteurs de la protection des données en termes de gouvernance (formation, audit, outils de management...) « il est impératif de ne pas laisser au GAFA, des prérogatives sans contrôle sur un gisement de valeur aussi important que les données personnelles. On le sait, au sein de l'entreprise, ceux qui contrôleront l'accès aux données vont naturellement prendre des positions de plus en plus stratégiques. »

« Privacy is good for business » ce slogan, Xavier Leclerc le répète volontiers. Satisfait, il martèle sa « bio » avec plaisir. De ces nombreuses années passées comme CIL puis auditeur et manager avant de prendre la tête de diverses entités et co-fondé l'AFCDP (1), l'homme affiche des certitudes et distribue quelques mauvais points. État des lieux.

 

 

Données-RGPD

 

 

Rôle et positionnement du DPO :

« Tout le monde veut parler des données » et de leur protection en oubliant le rôle des CIL et désormais des futurs DPO. Il faut dire les choses : ces deux postes ne sont pas identiques. Ils permettent même de mesurer les évolutions en matière de protection de données personnelles depuis plus de dix ans (cf section BONUS en fin d'article). Du déclaratif nous sommes avec le GDPR passés à l'obligation voire la sanction pour les contrevenants. Le futur pour les DPO c'est un ticket avec le RSSI lui même proche du DSI souvent présent au COMEX. Le DPO s'assure que le RSSI a mis en place les règles exigées par le RGPD (EIVP, PIA...). C'est un rôle nouveau et seuls 20% des CILs actuels pourront occuper un poste de DPO ».

 

CIL et DPO :

« 20% de CIL qui deviennent des DPO ça peut paraître faible mais il faut connaître la réalité du terrain. Bon nombre de CILs ne remplissent pas leur fonction à 100% de leurs temps par exemple ou encore n’ont pas suivi de formation adéquate. Je dirai qu'ils sont à peine 20% aujourd'hui en février 2017 a exercer pleinement leur mission de CIL, soit réaliser le registre, le bilan annuel, les contrôles de conformité…. D'autres doivent gérer plusieurs entités et organisations. Ce qui me laisse penser que lors de la mise en place concrète du GDPR, les grandes entités de type CAC 40 auront en interne leur propre DPO à un niveau de hautes responsabilités. Les entités plus modestes ou les petites entités administratives telles que des petites municipalités disposeront soit d'un DPO « commun », mutualisé soit d'un « DPO as a service » externalisé sous forme d'auditeurs issus de Big Five, cabinets d'audits spacialisés et cabinets d'avocats. On peut aussi imaginer que les CILs actuels pour certains d'entre eux deviendront des correspondants de DPO qui superviseraient plusieurs entités. Le rôle des futurs DPO c'est de devenir des data managers de haut niveau. Comprenez, je le reprécise parmi les CIL tous ne seront pas appelés à occuper un poste de DPO exigé par le nouveau règlement EUR (RGPD / GDPR). »

 

Directions générales et DPO :

« La fonction de DPO correspond a un métier de plus en plus complexe au carrefour de plusieurs champs de connaissances allant du juridique au technique. Avec les lourdes sanctions qui pèsent sur les directions et secrétariats généraux, un DPO doit impérativement trouver le soutien d'un sponsor présent au COMEX. En effet si les infractions au GDPR génèrent moins de « business » que le coût des amendes certaines pratiques sont à revoir. Un DPO doit être un « diplomate » capable de traiter la protection des données personnelles en intégrant des expertises organisationnelles, juridiques, techniques et en sachant communiquer ! Sa formation doit être sanctionnée par un master comme celui de l'ISEP par exemple, ou une formation certifiante à tout le moins. Cette profession doit être reconnue et j''y travaillerai personnellement.

 

 

Projet GDPR et outils :

« Malgré ce que l'on veut nous faire croire très peu d'outils compatibles GDPR existent pour les futurs DPO. Les data mapping et autres outils magiques ne correspondent pas à ce qu'ils attendent. Ils veulent des outils spécifiques pour tenir leurs registres à jour, réaliser des tâches de gestion de l'accountability, violation de données, suivi des droits et consentements....C'est ce que nous proposons déjà avec l'évolution de notre plate-forme Privacil-DPMS (2) conçue à l'origine pour les CIL. Il faut comprendre qu'on ne déclarera plus auprès de la CNIL les traitements (25 mai 2018). Il ne faut pas réfléchir en termes d'outils informatiques mais de finalité.»

 

Enjeux cachés du GDPR :

«On ne le dit jamais, mais le règlement européen constitue une stratégie subtile de récupération de marchés IT. Les GAFA dominent ces marchés notamment en Europe. En élevant notre niveau d'exigences sur la protection des données personnelles ils se soumettent ou ignorent la zone Europe. C'est aussi simple que cela. Le « privacy by design » est un enjeu économique voire politique et pas seulement sécuritaire ou protecteur. »

Propos recueillis par Jean Philippe Bichard

 

A propos de l'auteur: 

  

Journaliste IT depuis 27 ans, IHEDN 2005, animateur d'évènements (tables rondes) IT / GDPR, auteur de plusieurs ouvrages, co-fondateur en 1997 du premier média "cybersecurité" NetCost&Security avec Olivier Caleff, Jean Philippe Bichard -@jpbichard - a créé le site de veille  http://cyberisques.com en 2012.

Premier journaliste animateur des « Assises de la sécurité » dans les années 2000, il collabore à différents médias (tech et Eco).

En plus de cyberisques  - gouvernance des risques IT - il crée en 2016 @DPO_Newsconsacré aux projets GDPR (organisationnel, technique, juridique) et à la veille stratégique pour les DPO. 

En plus d'animations (avec compte-rendu) et d'enquêtes "marché", Jean Philippe rédige à la demande de nombreux « white papers » sur les différenets facetets du GDPR, des études « business » et autres contenus WEB sur les thématiques Cyberisques / GDPR.

This email address is being protected from spambots. You need JavaScript enabled to view it.

@cyberisques @jpbichard @DPO_NEWS

 

 

 

 

 @DPO_News

 @cyberisques

 

BONUS :

1 - http://www.cyberisques.com/fr/component/content/article/137-mots-cles-30-reglementation/636-dpo-news-cyberisques-dpo-un-cil-2-0

2 – DPMS : http://dpms.eu/privacil/

2011 est la date de création du code Rome K1903 (Défense et Conseil juridique) incluant le métier de CIL. Plus d’infos ICI.

La « clause du grand-père » : permettre aux CIL qui le souhaitent et qui répondent aux nouvelles exigences d’être confirmés dans leur fonction en tant que DPO, ceci pour capitaliser sur les travaux déjà réalisés et pour assurer la diffusion la plus large possible de l’esprit de la loi.

Rapport européen sur la confidentialité des données par Symantec

http://www.irishtimes.com/business/technology/facebook-case-told-of-us-obstacles-to-privacy-redress-for-eu-citizens-1.2985162

 

 

Etude IDC / ESET: PME 20% affirmentdéjà être conformes

 

Corporate Communication: Enquête IDC pour ESET :

 

 

PME EUR et GDPR: 20% affirment être déjà conformes

Selon l’étude IDC® commandée par ESET®, les petites et moyennes entreprises soumises au Règlement Général sur la Protection des Données (RGPD – GDPR en anglais) se sentent dépassées et ne disposent pas toutes des moyens financiers leur permettant de sécuriser leurs systèmes d’information, conformément aux exigences du RGPD. Pourtant 20% d'entre elels affirment déjà leur conformité avec le GDPR. 

« La protection des données à caractère personnel des clients et partenaires est primordiale pour les entreprises. Elles doivent prendre conscience de la valeur que représentent ces informations et mettre en place des mesures adaptées pour répondre aux obligations du RGPD. », explique Mark CHILD, Research Manager chez IDC.
Sur les 700 entreprises interrogées, 77% des décideurs informatiques ne sont pas conscients de l’impact du RGPD sur l’activité de leur entreprise ou n’ont même pas connaissance de ce règlement. Parmi celles qui connaissent le RGPD, 20% affirment y être déjà conformes, 59% travaillent à l’être et 21% avouent ne pas du tout être préparés.
Les petites et moyennes entreprises reconnaissent que leur logiciel anti-malware est insuffisant dans l’environnement de menace actuel, et la moitié des répondants ont avoué que ce point était le plus important à améliorer.
Pour ESET, cette étude met en évidence le manque d’information des PME : « un logiciel anti-malware ne suffit pas d’une part à se protéger de l’ensemble des menaces et d’autre part à se conformer au RGPD. Un travail préalable de cartographie des données doit être réalisé afin de maîtriser les accès. En outre, des tests et des audits sont obligatoires. Au vu de la complexité juridique du texte, nous encourageons les PME à s’entourer de professionnels qui vérifieront que toutes les mesures ont été mises en place. Enfin, les entreprises doivent posséder à la fois une solution de protection complète et connue, et des outils de chiffrement et d’authentification », explique Benoît GRUNEMWALD, Directeur des Opérations chez ESET France.
« En 2015, 63% des vols de données sont dus à la vulnérabilité des mots de passe (vol ou crack). Ce constat indique le besoin urgent d’ajouter un facteur d’authentification à la sécurité des appareils. L’anonymisation des données est une option, mais elle peut être détournée par le croisement de diverses sources. Le chiffrement résout ce problème et est d’ailleurs plébiscité par 36% des répondants, mais cette mesure est considérée comme complexe et coûteuse pour la plupart des petites et moyennes entreprises », explique Mark CHILD.

 

@DPO_News @cyberisques #GDPR étude Cyber Resilient Organisation de Ponemon: 22 % des sondés estiment que leur organisation respectera le #RGPD #GDPR

 

@DPO_News @cyberisques #GDPR

 

 

 Etude Cyber Resilient Organisation de Ponemon pour IBM Resilient:

22 % des sondés estiment que leur organisation respectera le #RGPD #GDPR

 

Etude annuelle sur la cyber-résilience :

Focus sur les résultats en France

Institut Ponemon, février 2017

 

La règlementation mondiale sur les données privées encourage le financement de la sécurité informatique. Lorsqu'on leur demande quelle règlementation encourage le financement de la sécurité informatique, 68 % des sondés pensent qu’il s'agit du nouveau règlement général européen sur la protection des données (ou GDPR, Global Data Protection Regulation) ou des lois internationales de chaque pays (61 %). Seuls 22 % des personnes interrogées estiment que leur organisation respectera scrupuleusement le règlement général européen sur la protection des données.

 

 

IBM Resilient et l’Institut Ponemon présentent les résultats de la première étude annuelle incluant la France sur l'importance de la cyber-résilience pour une sécurité efficace. Dans le cadre d’une enquête menée en France auprès de 272 experts en IT et en sécurité informatique1, seulement 21 % des sondés déclarent que leur organisation possède un haut degré de cyber-résilience, et 73 % pensent qu’elle n’est pas préparée à se remettre d’une cyberattaque.

Dans le cadre de cette recherche, nous définissons la cyber-résilience comme la synchronisation des capacités de prévention, de détection et de réaction qui permettent de gérer une cyberattaque, d'en atténuer les répercussions et de s’en remettre. Il s'agit de la capacité d'une entreprise à maintenir son objectif et son intégrité intrinsèques lorsqu'elle est confrontée à des attaques. Une organisation dite « cyber-résiliente » peut prévenir, détecter, contenir et se remettre d’un grand nombre de menaces sérieuses concernant les données, les applications et l'infrastructure informatique.

La cyber-résilience favorise une sécurité efficace. Dans ce rapport, nous nous concentrons sur des organisations qui pensent avoir atteint un très haut niveau de cyber-résilience, et nous les comparons à d’autres qui estiment n'en avoir atteint qu’un niveau moyen.

Cette comparaison révèle qu’un haut niveau de cyber-résilience réduit le nombre de cas de violations de données, permet aux organisations de résoudre des incidents informatiques plus rapidement et réduit le nombre de perturbations des procédures de l'entreprise ou des services informatiques. L'étude démontre aussi qu’un plan de réaction aux incidents de sécurité informatique (CSIRP, Computer Security Response Plan) systématiquement appliqué dans toute l’entreprise et soutenu par les hauts dirigeants est un élément décisif en termes de capacité à atteindre un haut niveau de cyber-résilience.

 

Les éléments clés de la cyber-résilience sont la capacité à prévenir, détecter et contenir une cyberattaque et à s’en relever. Comme le montre la figure 1, c’est dans leur aptitude à contenir une cyberattaque (52 %) et à la détecter (45 %) que les sondés sont le plus confiants. Ils le sont moins en ce qui concerne leur aptitude à s’en remettre.

 

L’investissement dans le recrutement et dans les fournisseurs de sécurité en services managés profite à la cyber-résilience. Seuls 20 % des sondés indiquent que leur cyber-résilience s’est considérablement améliorée (5 %) ou améliorée (15 %) durant les 12 derniers mois. Les personnes interrogées attribuent les améliorations en cyber-résilience à un investissement dans la formation du personnel (44 %) ou à l'intervention d'un fournisseur de sécurité en services managés (38 %).

C'est le manque d’organisation et de sensibilisation au risque qui nuit le plus à la cyber-résilience. 68 % des sondés déclarent que le manque d’organisation et de préparation constitue le plus grand obstacle, et selon 52 % des répondants, le manque de sensibilisation au risque, d'analyse et d'évaluation empêche les organisations de mettre en place une cyber-résilience optimale. La complexité des procédures de l’entreprise est perçue comme un frein par 47 % des personnes interrogées.

Les plans de réponse aux incidents de sécurité informatique n’existent souvent pas, ou sont « ponctuels ». Pour 76 % des sondés, un plan CSIRP et des experts en cybersécurité sont très importants. Cependant, seulement 23 % des personnes interrogées affirment que leur entreprise applique systématiquement un plan CSIRP. Selon 31 % des sondés, soit leur entreprise ne possède pas de plan CSIRP (27 %), soit elle en possède un qui est officieux ou « ponctuel » (24 %).

Le temps de réaction à un incident de sécurité influence la cyber-résilience. Presque la moitié des sondés (48 %) affirme que la durée de résolution d'un incident informatique a considérablement augmenté (19 %) ou augmenté (29 %). Seuls 29 % des répondants indiquent que la durée a diminué (18 %) ou considérablement diminué (11 %).

L’erreur humaine est la plus grosse menace informatique qui plane sur la cyber-résilience. Lorsque les chercheurs ont demandé aux sondés de classer sept menaces de sécurité informatique qui pourraient toucher la cyber-résilience, la première d’entre elles citée est l’erreur humaine, suivie des menaces persistantes avancées (APT) et de l’exfiltration de données. 70 % des personnes interrogées affirment que les incidents qu'ils ont vécus impliquaient une erreur humaine. Selon les personnes interrogées, les erreurs de système informatique (48 %) et l’exfiltration de données (44%) sont également significatives.

Les logiciels malveillants et le phishing sont les dangers les plus courants pour les réseaux informatiques et les points d’accès des entreprises. 51 % des sondés affirment que des perturbations de processus de l’entreprise ou de services informatiques causées par des failles de sécurité se produisent très souvent (16 %) ou fréquemment (35 %). Les incidents ou les dangers les plus récurrents sont les logiciels malveillants (70 %) et le phishing (62 %), suivis par l'erreur de communication (58 %).

Plateforme de réaction aux incidents et partage des informations sur les menaces : solutions clés pour améliorer la cyber-résilience. 46 % des sondés déclarent que leur organisation participe à une initiative ou un programme de partage d’informations relatifs aux failles de sécurité des données et à la réaction aux incidents avec le gouvernement et autres entreprises. 69 % des personnes interrogées estiment que le partage d’informations améliore la sécurité de leur entreprise, et 65 % déclarent qu'il améliore l’efficacité de leur plan de réaction à un incident. 63 % des répondants affirment que le partage d’informations sur les menaces accélère le délai de réactions aux incidents.

Les organisations ne reconnaissent pas les avantages d’une participation à un programme de partage d’informations sur les menaces. Pourquoi certaines entreprises sont-elles réticentes à partager les informations sur les menaces ? Selon les 54 % des personnes qui ne partagent pas d’informations sur les menaces, ce choix peut être attribué à l’absence d'avantages (55 %), au manque de ressources (29 %) ou aux coûts trop élevés (29 %).

Les dirigeants ne voient pas l'importance de la cyber-résilience. Les résultats soulignent la difficulté que rencontrent les professionnels de la sécurité informatique à faire investir les entreprises en personnel, en procédures et en technologies pour optimiser la cyber-résilience.Seulement 39 % des sondés déclarent que les dirigeants de leur entreprise reconnaissent le rôle de la cyber-résilience dans la réputation de la marque et dans le chiffre d’affaires (43 %). 45 % des personnes interrogées affirment que leurs dirigeants reconnaissent que les risques liés à l’entreprise nuisent à la cyber-résilience.

La règlementation mondiale sur les données privées encourage le financement de la sécurité informatique. Lorsqu'on leur demande quelle règlementation encourage le financement de la sécurité informatique, 68 % des sondés pensent qu’il s'agit du nouveau règlement général européen sur la protection des données (ou GDPR, Global Data Protection Regulation) ou des lois internationales de chaque pays (61 %). Seuls 22 % des personnes interrogées estiment que leur organisation respectera scrupuleusement le règlement général européen sur la protection des données.

Le financement de la cyber-résilience représente 29 % du budget de la cybersécurité. La moyenne du budget de la cybersécurité est de 9 millions de dollars, et environ 26 % du budget de la sécurité informatique est alloué aux activités liées à la cyber-résilience. Pour accroître l’efficacité de la cyber-résilience de 10 %, les organisations seraient prêtes à augmenter le budget de 6 %, et pour une croissance de 90 %, elles seraient prêtes à rallonger le budget de 27 %.

La flexibilité et une équipe compétente sont déterminantes pour atteindre un haut niveau de cyber-résilience. Lorsqu’ils évaluent les facteurs les plus importants pour réussir la cyber-résilience, les sondés mentionnent : la flexibilité, un personnel compétent ou spécialisé et une bonne préparation. Des ressources abondantes et le leadership sont considérés comme les facteurs les moins importants.

Les technologies d’authentification et de gestion de l'identité sont les clés d'un niveau élevé de cyber-résilience. En plus des personnes et des procédures, de bonnes technologies sont essentielles à une cyber-résilience efficace. Les sept technologies les plus adaptées à une cyber-résilience efficace sont : la gestion et authentification de l’identité, les systèmes de prévention et de détection d’intrusion, l'encodage des données inactives, les solutions antivirus / anti-malware, une plateforme de réaction aux incidents, l'encodage des données en mouvement et la surveillance du trafic sur le réseau.

Certaines fonctionnalités technologiques sont les clés d'une cyber-résilience efficace. Les fonctionnalités les plus importantes qui ont été à la fois entièrement et partiellement déployées pour mettre en place la cyber-résilience sont les suivantes : empêcher les dispositifs non sécurisés d'accéder aux systèmes de sécurité (80 %), contrôler les terminaux et les connexions mobiles (77 %), sécuriser les données stockées dans le cloud (77 %) et contrôler les dispositifs mobiles non sécurisés, dont le BYOD (71 %).

Certaines pratiques de gouvernance et de contrôle sont les clés d’une cyber-résilience efficace. Les pratiques de gouvernance et de contrôle les plus importantes qui ont été entièrement et partiellement déployées sont : des politiques de sécurité informatique clairement définies (83 %), des sauvegardes et des plans de sauvetage (82 %), des plans de gestion de réaction aux incidents (79 %), une chaîne de communication en amont à partir du chef de sécurité jusqu’au PDG et aux directeurs (78 %), des vérifications des antécédents des utilisateurs du système (74 %), du personnel expert en sécurité informatique (73 %) et des activités de formation et de sensibilisation pour les utilisateurs du système de l’organisation (76 %).

Partie 2. Résultats clés

Dans cette partie du rapport, nous établissons une analyse des résultats clés. L'intégralité des résultats audités est présentée en annexe. Nous les avons organisés selon les sujets suivants :

  • L'état de la cyber-résilience

  • Les menaces auxquelles est confrontée la cyber-résilience

  • Les facteurs d'une cyber-résilience réussie

  • Les caractéristiques des organisations qui ont un haut niveau de cyber-résilience

L'état de la cyber-résilience

La cyber-résilience est déterminante pour résoudre les problèmes consécutifs de nombreuses violations des données. 59 % des sondés indiquent que leur organisation a connu une violation des données impliquant la perte ou le vol de plus de 1 000 dossiers contenant des informations sensibles ou confidentielles sur l’entreprise, et ce au cours des deux dernières années. 62 % de ces personnes ont vécu plus d’une violation de leurs données lors ces deux dernières années.

Seuls 20 % des sondés estiment que leur cyber-résilience s’est considérablement améliorée (5 %) ou améliorée (15 %) dans les 12 derniers mois. Comme le montre le graphique 2, ces personnes interrogées affirment que si la cyber-résilience s'est améliorée, c'est grâce à un investissement dans la formation du personnel (44 %) ou à l’intervention d'un fournisseur de sécurité en services managés (38 %).

Graphique 2. Pourquoi la cyber-résilience de votre organisation a-t-elle été optimisée ?

Plus d’une réponse autorisée

C'est un manque d’organisation et de sensibilisation au risque qui nuit le plus sur la cyber-résilience. Comme le montre le graphique 3, 68 % des sondés pensent que le manque d’organisation et de préparation est le plus gros frein et 52 % estiment que le manque de conscience du danger, d'analyse et d’évaluation empêche les entreprises d’optimiser la cyber-résilience. La complexité des procédures de l’entreprise est perçue comme un frein par 47 % des personnes interrogées.

Graphique 3. Quelles sont les principales barrières à la cyber-résilience ?

Quatre réponses autorisées

Les plans de réponse aux incidents de sécurité informatique n’existent souvent pas, ou sont « ponctuels ». Pour 76 % des sondés, un plan CSIRP et des experts en cybersécurité sont très importants. Cependant, comme le montre le graphique 4, seuls 23 % des personnes interrogées indiquent appliquer systématiquement un plan CSIRP dans leur entreprise. Selon 31 % des sondés, soit leur entreprise ne possède pas de plan CSIRP (27 %), soit elle en possède un qui est officieux ou « ponctuel » (24 %).

Graphique 4. Quelle est la phrase décrivant le mieux le plan de réaction aux incidents de cybersécurité de votre organisation ?

Le temps de réaction à un incident de sécurité nuit à la cyber-résilience. Selon le graphique 5, la quasi moitié des sondés (48 %) affirme que la durée de résolution d'un incident informatique a considérablement accru (19 %) ou augmenté (29 %). Seuls 29 % des personnes interrogées disent que la durée a diminué (18 %) ou considérablement réduit (11 %).

Graphique 5. Au cours des 12 derniers mois, la durée de résolution d'un cyber-incident a-t-elle changé ?

Les menaces auxquelles est confrontée la cyber-résilience

L’erreur humaine est la plus grosse menace qui plane sur la cyber-résilience. Lorsque les chercheurs ont demandé aux sondés de classer sept menaces de sécurité informatique qui pourraient nuire à la cyber-résilience, la première citée est l’erreur humaine, suivie des menaces persistantes avancées (APT) et l’exfiltration de données (voir graphique 6).

Graphique 6. Quelles sont selon vous les menaces qui ont l'impact le plus important sur la cyber-résilience de votre organisation ?

1 = L’impact le plus important 7 = l’impact le moins important

70 % des sondés affirment que les incidents qu'ils ont vécus impliquaient une erreur humaine (voir graphique 7). Les erreurs de système informatique et l’exfiltration de données sont également significatives selon, respectivement, 48 et 44 % des personnes interrogées.

Graphique 7. Votre organisation a-t-elle été victime de l'une de ces menaces de sécurité au cours de l'an dernier ?

Plus d’une réponse autorisée

Les logiciels malveillants et le phishing sont les dangers les plus courants pour les réseaux informatiques et les points de d’accès des entreprises. 51 % des sondés déclarent que des perturbations de processus de l’entreprise ou de services informatiques causées par des failles de sécurité se produisent très souvent (16 %) ou souvent (35 %).

Selon le graphique 8, les incidents ou les dangers les plus fréquents sont les logiciels malveillants (70 %) et le phishing (62 %), suivis par une erreur de communication (58 %).

Graphique 8. Parmi les incidents suivants, quels sont ceux qui touchent régulièrement les réseaux IT ou les points d’accès de votre organisation ?

Les facteurs d'une cyber-résilience efficace.

Une plateforme de réaction aux incidents et un partage des informations sur les menaces : des solutions clés pour améliorer la cyber-résilience. 46 % des sondés déclarent que leur organisation participe à une initiative ou un programme de partage d’informations sur des failles de sécurité des données et sur la réaction aux incidents avec le gouvernement et d'autres entreprises.

Comme l’illustre le graphique 9, 69 % des sondés pensent que le partage d’intelligence améliore le positionnement de leur entreprise en matière de sécurité, et 65 % déclarent qu’il améliore l’efficacité de leur plan de réponse à un incident. 63 % des personnes interrogées affirment que le partage d’informations sur les menaces accélère le délai de réactions aux incidents.

Graphique 9. Lorsque votre organisation communique au sujet de ses plans de réponse aux incidents et des violations de données dont elle a été victime, quel en est le but ?

Trois réponses autorisées

Les organisations ne reconnaissent pas les avantages d’une participation à un programme de partage d’informations sur les menaces. Pourquoi certaines entreprises sont-elles réticentes à partager les informations sur les menaces ? Selon 54 % des personnes qui ne partagent pas d’informations sur les menaces, ce choix peut être provoqué par l’absence d'avantages (55 %), le manque de ressources (29 %) ou les coûts trop élevés (29 %), comme nous pouvons le voir dans le graphique 10.

Graphique 10. Pourquoi votre organisation ne participe-t-elle pas à un programme de partage d'informations sur les menaces actuelles ?

Deux réponses autorisées

Les dirigeants ne voient pas l'importance de la cyber-résilience. Les résultats soulignent la difficulté que rencontrent les professionnels de la sécurité informatique à faire investir les entreprises en personnel, en procédures et en technologies pour optimiser la cyber-résilience.Selon le graphique 11, seuls 39 % des sondés déclarent que les dirigeants de leur entreprise reconnaissent le rôle de la cyber-résilience dans la réputation de la marque et dans le chiffre d’affaires (43 %). 45 % des personnes interrogées affirment que leurs dirigeants reconnaissent que les risques liés à l’entreprise nuisent à la cyber-résilience.

Graphique 11. Que pensez-vous de l'attitude de votre direction en matière de cyber-résilience ?

Réponses « D’accord » et « Entièrement d’accord » combinées

Le financement de la cyber-résilience représente 26 % du budget de sécurité informatique. La moyenne du budget pour la cybersécurité est de 9 millions de dollars, et environ 26 % du budget de la sécurité informatique est alloué aux activités liées à la cyber-.résilience.

Comme le montre le graphique 12, pour accroître l'efficacité de leur cyber-résilience de 10 %, les organisations seraient prêtes à augmenter le budget de 6 %. Pour une hausse de l’efficacité de 90 %, elles seraient prêtes à augmenter le budget de 27 %.

 

DPO NEWS-PONEMOn-IBM-2017

Graphique 12. Quelle part du budget dédié à la sécurité IT votre organisation serait-elle prête à consacrer à une optimisation de la cyber-résilience de l'ordre de 10 % ou 90 % ?

La règlementation mondiale sur les données privées encourage le financement de la sécurité informatique. Lorsqu'on leur demande quelle règlementation encourage le financement de la sécurité informatique, la plupart des sondés pensent qu’il s'agit du nouveau Règlement Général Européen sur la Protection des Données (GDPR) (65 %) ou des lois internationales de chaque pays (61 %), comme le montre le graphique 13. Seuls 22 % des personnes interrogées estiment que leur organisation est capable de respecter le règlement général européen sur la protection des données.

Graphique 13. A quels règlements votre organisation se conforme-t-elle pour sa stratégie de sécurité IT ?

Plus d’une réponse possible

La flexibilité et une équipe compétente sont déterminantes pour atteindre un haut niveau de cyber-résilience. Lorsqu’ils évaluent les facteurs les plus importants pour réussir la cyber-résilience, les sondés mentionnent : la flexibilité, un personnel compétent ou spécialisé et une bonne préparation. Des ressources abondantes et le leadership sont considérés comme les facteurs les moins importants, selon le graphique 14.

Graphique 14. Les sept facteurs considérés comme indispensables pour une cyber-résilience efficace

1 = le plus important 7 = le moins important

Les technologies d’authentification et de gestion de l'identité sont les clés d'un niveau élevé de cyber-résilience. En plus des personnes et des procédures, de bonnes technologies sont essentielles à une cyber-résilience efficace. Comme le montre le graphique 15, les sept technologies les plus efficaces pour une bonne cyber-résilience sont : la gestion et authentification de l’identité, les systèmes de prévention et de détection d’intrusion, l'encodage des données inactives, les solutions antivirus / anti-malware, une plateforme de réaction aux incidents, l'encodage des données en mouvement et la surveillance du trafic sur le réseau.

Graphique 15. Les sept technologies de sécurité les plus performantes

Le sondage laissait le choix entre vingt-cinq technologies différentes

Certaines fonctionnalités technologiques sont les clés d'une cyber-résilience efficace. Comme le montre le graphique 16, les fonctionnalités les plus importantes qui ont été à la fois entièrement et partiellement déployées pour mettre en place la cyber-résilience sont les suivantes : empêcher les dispositifs non sécurisés d'accéder aux systèmes de sécurité (80 %), contrôler les terminaux et les connexions mobiles (77 %), sécuriser les données stockées dans le cloud (77 %) et contrôler les dispositifs mobiles non sécurisés, dont le BYOD (71 %).

Graphique 16. Dans le cadre de sa cybersécurité, mon organisation a partiellement ou totalement déployé les outils suivants :

Certaines pratiques de gouvernance et de contrôle sont les clés d’une cyber-résilience efficace. Comme le montre le graphique 17, les pratiques de gouvernance et de contrôle les plus importantes qui ont été entièrement et partiellement déployées sont : des politiques de sécurité informatique clairement définies (83 %), des sauvegardes et des plans de sauvetage (82 %), des plans de gestion de réaction aux incidents (79 %), une chaîne de communication en amont à partir du chef de sécurité jusqu’au PDG et aux directeurs (78 %), des vérifications des antécédents des utilisateurs du système (74 %), du personnel expert en sécurité informatique (73 %) et des activités de formation et de sensibilisation pour les utilisateurs du système de l’organisation (76 %).

Graphique 17. Pratiques de gestion et de contrôle totalement ou partiellement déployées

Les caractéristiques des organisations qui ont un haut niveau de cyber-résilience

Pour cette étude, nous avons identifié certaines organisations qui se sont auto-évaluées comme ayant un niveau élevé de cyber-résilience et une meilleure aptitude à atténuer les risques, vulnérabilités et attaques.

Parmi les 272 organisations représentées dans cette étude, 25 se sont auto-évaluées à 9 + sur une échelle de 1 (faible résilience) à 10 (forte résilience). Les personnes interrogées venant de ces organisations à « haute performance » sont beaucoup plus confiantes par rapport à l’efficacité de leur sécurité que les personnes qui jugent que leur entreprise n’a pas atteint un haut niveau de cyber-résilience. Ces organisations sont classées dans la catégorie « performance moyenne ».

Les entreprises possédant une cyber-résilience efficace sont considérablement plus confiantes en leur aptitude à prévenir, détecter, contenir une cyberattaque, et à s’en remettre. Comme le montre le graphique 18, 75 % des sondés issus d’organisations à cyber-résilience efficace sont très confiants en leur aptitude à détecter une cyberattaque, là où seulement 45 % des autres organisations le sont.

Parallèlement, 72 % des personnes interrogées venant d’organisations à « haute performance » sont confiantes en la capacité de leur entreprise à prévenir des cyberattaques, contre 43 % pour les entreprises à « performance moyenne ». 70 % des sondés des organisations à « haute performance » pensent que leur entreprise est capable de contenir une cyberattaque, contre 52 % des personnes d’organisations à « performance moyenne ». En outre, 60 % des sondés des organisations à « haute performance » estiment que leur entreprise est capable de se remettre d’une cyberattaque, contre 27 % des personnes d’organisations à « performance moyenne ».

Graphique 18. Confiance des organisations en matière de prévention, détection, confinement des cyberattaques et de reprise après sinistre

1 = faible confiance 10 = grande confiance, 7+ réponses enregistrées

Les organisations à cyber-résilience efficace présentent beaucoup moins de risques de souffrir d’une faille de sécurité de leurs données. Le graphique 19 nous montre que 59 % des sondés venant d’organisations à « performance moyenne » ont connu une violation de données, contre 40 % des sondés d’organisations « haute performance ».

Graphique 19. Votre organisation a-t-elle déjà été victime d'une violation de données ?

Les organisations à cyber-résilience efficace ont mis en place des plans de réponse à un incident de cybersécurité (CSIRP) appliqués à toute l'entreprise. Comme le démontrent les informations susmentionnées, les organisations à cyber-résilience efficace sont beaucoup plus confiantes en leur aptitude à prévenir, détecter, contenir une cyberattaque, et à s’en remettre. Elles sont aussi plus enclines à appliquer un plan CSIRP dans toute leur entreprise (47 % des sondés), comme l'illustre le graphique 20.

Graphique 20. Quelle phrase décrit le mieux le plan de réponse à un incident de cybersécurité (CSIRP) de votre organisation ?

De plus, 88 % des sondés issus d'organisations à niveau élevé de cyber-résilience déclarent être convaincus de l’importance d'avoir des professionnels qualifiés au sein de leur plan CSIRP (voir graphique 21).

Graphique 21. Il est essentiel de pouvoir compter sur des professionnels experts en cybersécurité dans le cadre d'un plan de réponse à un incident de cybersécurité (CSIRP)

1 = peu important 10 = très importants, 7+ réponses enregistrées

Les organisations à haut niveau de cyber-résilience sont légèrement plus rapides dans la résolution des incidents informatiques. Selon le graphique 22, 33 % des sondés d’organisations à cyber-résilience efficace indiquent que le temps de résolution d’un incident informatique a diminué (21 %) ou considérablement diminué (12 %). 43 % des sondés d’organisations à « performance moyenne » estiment que le temps de résolution d’un incident informatique a considérablement diminué (19 %) ou réduit (29 %).

Graphique 22. La durée de résolution d'un incident a-t-elle évolué ?

Les organisations à cyber-résilience efficace sont en faveur du partage d'informations sur les violations de données. 66 % des personnes interrogées venant d’organisations à « haute performance » affirment que leur organisation partage des informations qui concernent les violations de données avec le gouvernement et d'autres entreprises, comme l'illustre le graphique 23.

Graphique 23. Votre organisation partage-t-elle des informations sur les violations de données avec le gouvernement ou d'autres membres de leur secteur ?

Il y a moins de perturbations des processus de l'entreprise ou des services informatiques au sein des organisations à la cyber-résilience efficace. 33 % des sondés venant d’organisations à « haute performance » affirment que leur organisation n'a que rarement (22 %) ou jamais (10 %) de perturbations des procédures de l’entreprise ou de services informatiques (voir Graphique 24).

Graphique 24. Votre entreprise connaît-elle souvent des perturbations au niveau de ses processus ou de ses services IT ?

Les hauts dirigeants des organisations à « haute performance » accordent de l’importance à la cyber-résilience. L’importance qu’accordent les dirigeants des entreprises à la cyber-résilience varie significativement entre les organisations à « performance moyenne » et à « haute performance ».

60 % des sondés des organisations à « haute performance » affirment que les dirigeants de leur entreprise reconnaissent que la cyber-résilience a des conséquences sur le chiffre d'affaires (voir graphique 25). Parallèlement, 59 % des répondants indiquent que leurs dirigeants reconnaissent que les risques que court leur entreprise influent sur la cyber-résilience, et les organisations à « haute performance » sont aussi plus enclines à avoir le niveau approprié de personnel et de financement pour optimiser leur cyber-résilience.

 

Abonnemnt-2017

 

Etude Ponemon Cyber-Résilience 2017 – France

 

La nouvelle étude menée par l’Institut Ponemon pour IBM Resilient montre que les entreprises françaises ne sont toujours pas préparées à répondre aux cyberattaques alors que le risque de faille de sécurité augmente toute comme la complexité des procédures de l’entreprise ou des services informatiques.

 

La cyber-résilience favorise une sécurité efficace. Dans ce rapport, nous nous concentrons sur des organisations qui pensent avoir atteint un très haut niveau de résilience informatique, et nous les comparons à d’autres qui estiment n'en avoir atteint qu’un niveau moyen.

 

Cette comparaison révèle qu’un haut niveau de cyber-résilience réduit le nombre de cas de violations de données, permet aux organisations de résoudre des incidents informatiques plus rapidement et réduit le nombre de perturbations des procédures de l'entreprise ou des services informatiques. L'étude démontre aussi qu’un plan de réaction aux incidents de sécurité informatique (CSIRP, Computer Security Response Plan) systématiquement appliqué dans toute l’entreprise et soutenu par les hauts dirigeants est un élément décisif en termes de capacité à atteindre un haut niveau de cyber-résilience.

 

Les résultats de ce rapport annuel, qui a été mené en France pour la toute première fois, montre que la majorité des répondants estiment que leur entreprise n’est pas en mesure de maintenir efficacement son activité lorsqu'elle est confrontée à des attaques et de s’en remettre rapidement.

 

  • 73 % pensent qu’elle n’est pas préparée à se remettre d’une cyberattaque (66 % en moyenne au niveau global)

 

  • 79 % estiment que le niveau de cyber-résilience n’est pas « élevé » au sein de leur entreprise (68 % en moyenne au niveau global)

 

Les freins les plus importants aujourd’hui pour les professionnels de la sécurité en France sont le manque d’organisation, la complexité des procédures d’entreprise et des services informatiques ainsi que le manque de sensibilisation aux risques.

 

  • 68 % des sondés déclarent que le manque d’organisation et de préparation constitue le plus grand obstacle

  • 52 % des répondants, le manque de sensibilisation au risque, d'analyse et d'évaluation empêche les organisations de mettre en place une cyber-résilience optimale, suivi par la complexité des procédures d’entreprise selon 47 % des personnes interrogées.

 

L’un des facteurs clés pour atteindre un haut niveau de cyber-résilience est de mettre en place un plan de réponse aux incidents de sécurité informatique (CSIRP) au niveau de toute l’entreprise. En France, de nombreuses organisations n’ont toujours pas adopté ce concept, bien que 76 % des sondés, un plan CSIRP et des experts en cybersécurité sont très importants. L’étude révèle également que :

 

  • 77 % des personnes interrogées indiquent qu’un plan CSIRP n’est pas systématiquement appliqué dans leur entreprise

  • 27 % ne possèdent pas de plan du tout

  • 54 % n’ont pas testé leur plan depuis qu’il a été mis en place

  • 48 % ont déclaré que le temps nécessaire pour résoudre un incident a augmenté au cours des 12 derniers mois

 

De plus, la majorité des professionnels interrogés ont indiqué que leur entreprise avait eu au moins une violation de données au cours de deux dernières années :

 

  • 59 % des sondés indiquent que leur organisation a connu une violation des données impliquant la perte ou le vol de plus de 1 000 dossiers contenant des informations sensibles ou confidentielles sur l’entreprise (53 % au niveau global). Parmi eux, 62 % de ces personnes ont vécu plus d’une violation de leurs données.

 

Ce nouveau rapport met également en lumière le fait que le niveau de cyber-résilience au sein des organisations n’est pas cohérent avec la complexité grandissante des cyberattaques, à moins que les entreprises adoptent la bonne approche avec les effectifs, les procédures et les technologies en place :

 

  • 48 % indiquent que la cyber-résilience a soit diminué (4 %) ou n’a pas été améliorée (44 %) au cours des 12 derniers mois, une situation encore moins bonne qu’au niveau global (48 %).

  • Parmi ceux qui ont déclaré une amélioration de la résilience informatique, 58 % estiment qu’une plateforme de réponse aux incidents faisait partie des solutions de sécurité les plus efficaces pour améliorer la cyber-résilience.

 

Autre point intéressant de cette étude concerne le comportement des organisations « hautement performantes » en France comparées à la moyenne globale. Elles sont en effet beaucoup moins susceptibles d’avoir subi une faille de sécurité au cours des 12 derniers mois (59 % contre 40 %), et en meilleure posture pour se protéger des cyberattaques (43 % contre 72 %), les détecter (45 % contre 75 %), les résoudre (52 % contre 70 %) et s’en remettre (27 % contre 60 %). Pour quelles raisons atteignent-elles un haut niveau de cyber-résilience ?

 

  • Deux fois plus d’entre elles ont un CSIRP appliqué à toute l’entreprise (47 % contre 23 %)

  • Elles sont plus susceptibles de partager des informations concernant les menaces (65 % contre 46 %)

  • Leur leadership reconnaît l’importance de la cyber-résilience (59 % contre 45 %)

  • Elles reconnaissent l’importance d’avoir un personnel compétent (88 % contre 76 %)

 

Cette toute dernière étude montre que les entreprises françaises reconnaissent l’importance de la cyber-résilience pour protéger leur business, mais il reste des défis à relever, confie le Dr Larry Ponemon. Ce que nous pouvons constater chez les entreprises ayant un haut niveau de cyber-résilience, c’est que les investissements dans l’organisation, les compétences du personnel et dans un leadership fort porteront leurs fruits. »

 

 

BONUS: 

 

https://www.resilientsystems.com/

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   This email address is being protected from spambots. You need JavaScript enabled to view it.

 

 

Additional information