Avant-propos

Avant-propos

Nous sommes heureux de vous présenter le Rapport 2024 de Kiteworks sur la confidentialité et la conformité des communications de contenu sensible. Ce rapport offre des tendances précieuses sur l’état actuel de la protection du contenu sensible et sur les défis auxquels les organisations font face pour protéger leurs informations stratégiques.

Aujourd’hui, la protection du contenu sensible est plus essentielle que jamais. Les organisations s’appuient de plus en plus sur la communication et la collaboration numériques, et leur écosystème de tiers ne cesse de croître, ce qui accroît les risques de violation de données. Notre rapport met en lumière les tendances et les défis que les organisations doivent relever pour garantir la sécurité et la conformité de leurs contenus sensibles.

Résumé exécutif

Notre rapport sur la confidentialité et la conformité des communications de contenu sensible offre aux responsables IT, cybersécurité, risques et conformité des données issues de leurs pairs. L’objectif : vous aider à garantir la protection du contenu sensible que vous envoyez et partagez via différents canaux de communication, tels que la messagerie électronique, le partage sécurisé de fichiers, le transfert sécurisé de fichiers, SFTP et les formulaires web. Vous vous assurez ainsi que vos échanges et partages de données sensibles respectent les réglementations en matière de protection des données personnelles et que vos systèmes de communication répondent aux normes et validations de sécurité les plus strictes.

L’enquête de cette année, menée par Centiment entre février et mars 2024, comportait 33 questions couvrant divers sujets liés à la sécurité des données, à la confidentialité et à la conformité. Certaines questions étaient des « retours en arrière » — reprises des enquêtes réalisées lors d’une ou des deux années précédentes — tandis que d’autres ont été ajoutées pour mieux cerner les nouvelles tendances. Au total, 572 responsables IT, cybersécurité, risques et conformité d’Amérique du Nord, d’Europe, du Moyen-Orient, d’Afrique (EMEA) et de la région Asie-Pacifique ont répondu à l’enquête.

Voici quelques-unes des questions que nous avons posées pour identifier les tendances et faciliter l’analyse :

  • Comment le nombre d’outils de communication influe sur la gestion des risques
  • L’impact persistant des violations de données sur les coûts de contentieux
  • Quels types de données présentent le plus de risques et pourquoi
  • Comment la conformité réglementaire et les normes de sécurité favorisent une meilleure protection des données en instaurant des standards de sécurité de base et des réglementations sur la confidentialité des données plus strictes
  • Comment les fonctions de sécurité avancées des outils de communication permettent de réduire les risques
  • Pourquoi et comment les approches obsolètes ou inadaptées des communications de contenu sensible génèrent des inefficacités et augmentent les risques liés à la confidentialité et à la conformité

Principaux enseignements du rapport

57%

Impossible de suivre, contrôler et générer des reportings sur les envois et partages de contenu avec l’externe

57 % des personnes interrogées déclarent ne pas pouvoir suivre, contrôler ni générer de reportings sur les envois et partages de contenu avec l’externe. Ce constat met en lumière un important déficit de gouvernance.

Deux tiers

des organisations échangent des contenus sensibles avec plus de 1 000 tiers

66 % des répondants indiquent échanger des contenus sensibles avec plus de 1 000 tiers. Dès que les données quittent l’organisation, la capacité à suivre et contrôler les accès devient essentielle.

3,55x

Plus de risques de subir 10 fuites de données ou plus avec 7 outils de communication ou plus

Plus une organisation utilise d’outils de communication, plus le risque augmente. Les répondants utilisant plus de sept outils de communication ont subi 10 fuites de données ou plus, soit 3,55 fois plus que la moyenne (pour ceux ayant connu entre une et plus de 10 fuites de données).

5 M$

de frais de contentieux annuels liés aux fuites de données pour la moitié des organisations

La moitié des répondants qui échangent des contenus sensibles avec 5 000 tiers ou plus ont dépensé plus de 5 millions de dollars en frais de contentieux annuels l’an dernier.

89%

Reconnaissent devoir améliorer la conformité des communications de contenu sensible

Seuls 11 % des répondants estiment ne pas avoir besoin d’améliorer la mesure et la gestion de la conformité des communications de contenu sensible.

62%

Consacrent plus de 1 500 heures de travail à la production de reportings de conformité

62 % des organisations passent plus de 1 500 heures par an à compiler et rapprocher les journaux des outils de communication pour les reportings de conformité.

Introduction

Bienvenue à la troisième édition annuelle du Rapport Kiteworks sur les communications de contenu sensible ! Nous réalisons ici une enquête approfondie sur la façon dont les organisations protègent la confidentialité et la sécurité de leurs contenus sensibles et respectent les réglementations en matière de protection des données personnelles et les normes de sécurité.

Nous utilisons le terme « contenu sensible » pour désigner une grande variété de types de contenus ciblés par des acteurs malveillants — et qui représentent un risque majeur pour une organisation légitime si ces acteurs mettent la main dessus. C’est ce qui est compromis lorsque les gros titres évoquent une « violation de données ». Le contenu sensible comprend les données des clients et des employés — informations personnelles identifiables (PII), informations médicales protégées (PHI) et données du secteur des cartes de paiement (PCI). Il englobe aussi la propriété intellectuelle (IP) de l’organisation, les communications et documents juridiques, les données financières, les informations relatives aux fusions-acquisitions et d’autres types d’informations privées et confidentielles.

Risques de sécurité

D’un point de vue sécurité, la difficulté avec le contenu sensible, c’est qu’il ne reste pas à un seul endroit. Au quotidien, il circule entre les collaborateurs, mais aussi entre eux et des partenaires, fournisseurs, sous-traitants, avocats, experts-comptables, auditeurs, etc. Pour avancer, une organisation doit faire circuler ces informations sans friction entre elle et des milliers de tiers. Comme nous allons le voir, cela se fait via de multiples canaux de communication.

Par conséquent, les organisations doivent protéger leur contenu — non seulement là où il est stocké, mais aussi lorsqu’il transite par différents canaux de communication vers des tiers. Malheureusement, ces dernières années, les cybercriminels ont découvert des vulnérabilités dans la supply chain logicielle qui leur donnent accès à des centaines, voire des milliers d’organisations et à des millions de fichiers sensibles. Le Data Breach Investigations Report (DBIR) de Verizon de cette année confirme cette tendance, révélant une augmentation de 180 % d’une année sur l’autre des exploitations de vulnérabilités logicielles et montrant que les violations de données liées à la supply chain logicielle ont bondi de 68 % sur un an — représentant 15 % de toutes les violations de données.1 Les attaques de ransomware Clop de l’an dernier contre MOVEit de Progress Software2 et GoAnywhere de Forta3, deux solutions de transfert sécurisé de fichiers (MFT), illustrent bien ce risque.

Risques liés à l’IA

En plus de la protection des canaux de communication de contenu, les entreprises et organismes publics font face à une priorité de plus en plus urgente depuis 18 mois. Avec l’essor fulgurant de l’intelligence artificielle (IA), tant sur le plan technique que dans l’usage courant, il devient crucial de garder les contenus sensibles hors des grands modèles de langage publics (LLMs), désormais utilisés couramment par leurs collaborateurs et partenaires.

Selon Gartner, les trois principaux sujets d’inquiétude liés aux risques des LLMs de GenAI concernent l’accès aux données sensibles par des tiers (près de la moitié des responsables cybersécurité), les violations de données et d’applications GenAI (40 % des répondants), et la prise de décision erronée (plus d’un tiers).4 Les risques liés au fait que des employés saisissent des données sensibles dans des outils GenAI sont bien réels. Près d’un tiers des employés interrogés fin 2023 ont reconnu avoir placé des données sensibles dans des outils publics de GenAI. Sans surprise, 39 % des répondants à la même étude citent la fuite potentielle de données sensibles comme le principal risque de l’utilisation de ces outils publics par leur organisation.5

En parallèle, la démocratisation de l’IA a aussi permis à des cybercriminels moins aguerris de lancer des attaques toujours plus complexes.6 Cela renforce l’impression d’une véritable « course à l’armement » entre acteurs étatiques, cybercriminels et organisations légitimes — avec des conséquences qui pourraient s’avérer existentielles.

Risques de conformité

À moins que votre entreprise n’opère dans une seule juridiction, la difficulté de la conformité réglementaire en matière de protection des données personnelles réside dans la mosaïque d’exigences selon les zones géographiques — ce qui complexifie et renchérit la conformité, ainsi que sa documentation. L’essor de nouvelles réglementations et l’évolution des textes existants ont poussé 93 % des organisations à repenser leur stratégie cybersécurité l’an dernier.7 Le Règlement Général sur la Protection des Données (RGPD) de l’Union européenne, entré en vigueur en 2018, a unifié les 27 États membres autour d’un même standard de protection des données personnelles.

Ailleurs dans le monde, la situation est plus complexe. Selon l’ONU, 137 des 194 pays disposent désormais de lois sur la protection des données personnelles — avec des différences majeures selon les pays.8 Aux États-Unis, la législation fédérale la plus stricte est le Health Insurance Portability and Accountability Act (HIPAA) — qui ne couvre que les PHI, mais pas les PII. Faute de consensus au Congrès sur un standard national, chaque État a pris l’initiative, à commencer par la California Consumer Privacy Act (CCPA) en 2018. Depuis, 17 autres États ont adopté des lois sur la protection des données personnelles, et 10 autres sont en cours d’examen.9 Si cela permet de mieux protéger les citoyens et résidents américains, cela accentue la complexité pour les entreprises qui doivent s’y conformer.

Les différents organismes chargés de ces réglementations continuent de mettre la pression sur les organisations pour qu’elles soient conformes. Les amendes et sanctions pour non-conformité au RGPD ont atteint 2,269 milliards de dollars (2,1 milliards d’euros) en 2023 — soit plus que le total cumulé de 2019, 2020 et 2021.10 Le montant moyen par sanction explose également : 4,75 millions de dollars (4,4 millions d’euros) par infraction l’an dernier, contre 540 000 dollars (500 000 euros) en 2019. Les sanctions liées à HIPAA sont tout aussi impressionnantes, atteignant 4,176 milliards de dollars l’an dernier.11

Outre la réglementation sur la protection des données personnelles, les standards et règles de cybersécurité sont devenus une priorité pour les gouvernements et organismes de contrôle. Parmi les grandes nouveautés de l’année écoulée figurent les règles de gestion des risques cybersécurité et de déclaration d’incidents de la SEC pour les sociétés cotées, le Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA), le Cyber Resilience Act (CRA) et le Digital Operational Resilience Act (DORA) en Europe, ou encore le Cybersecurity Framework (CSF) 2.0 du National Institute of Standards & Technology (NIST), entre autres.

Risques humains

Le facteur humain reste un problème majeur pour la sécurité et la conformité des données, à l’origine de nombreuses violations de données sensibles. Le DBIR indique que les utilisateurs finaux sont responsables de 68 % des erreurs menant à une fuite.12 Cela se manifeste de plusieurs façons : envoi d’informations sensibles à de mauvais destinataires, absence de sécurisation des données, ou encore victimes d’attaques d’ingénierie sociale comme la compromission de messagerie professionnelle ou le phishing. Le manque de visibilité et de gouvernance sur les communications de contenu sensible est un facteur clé, tout comme l’insuffisance des infrastructures et contrôles de sécurité.

Près de la moitié des responsables cybersécurité citent l’accès aux données sensibles par des tiers comme leur principale préoccupation cette année.

« 2024 Gartner Technology Adoption Roadmap for Larger Enterprises Survey », Gartner, février 2024

Méthodologie de l’étude

Le Rapport Kiteworks sur les communications de contenu sensible de cette année repose sur une enquête menée auprès de 572 professionnels de l’IT, de la cybersécurité et de la gestion des risques et de la conformité, dans des organisations de plus de 1 000 salariés. Notre analyse s’appuie sur les retours de l’ensemble des répondants, les compare avec les résultats des enquêtes 2023 et 2022, et croise les données selon différents critères démographiques.

Un panel diversifié de répondants

Les répondants proviennent de huit pays à travers le monde, avec une représentation en Amérique du Nord (34 %), Asie-Pacifique (18 %) et Europe-Moyen-Orient-Afrique (48 %) (voir figures 1 et 2). Ils représentent des entreprises de tailles variées, 54 % ayant entre 1 000 et 10 000 salariés, 46 % au-delà (figure 3).

Le panel couvre de nombreux secteurs, avec une forte représentation pour la sécurité et la défense (15 %), l’industrie (12 %), la santé (12 %) et les services financiers (12 %) (figure 4). Plus de 22 % travaillent dans le secteur public ou l’éducation, un quart dans la finance, le juridique et les métiers du conseil, et 10 % dans l’énergie.

En termes de fonctions, l’échantillon regroupe des professionnels à différents niveaux hiérarchiques : 31 % occupent des postes de direction et 69 % des postes de management intermédiaire (figure 5). Ils se répartissent entre les fonctions risques et conformité (26 %), IT (42 %) et sécurité (31 %).

D’ici fin 2024, 75 % de la population mondiale sera couverte par des lois modernes de protection des données personnelles.

« Gartner Identifies Top Five Trends in Privacy Through 2024 », communiqué Gartner, 31 mai 2022

Tendances sur la confidentialité et la conformité des communications de contenu sensible

Maintenant que nous avons présenté nos répondants, nous souhaitons partager les enseignements tirés des résultats de l’enquête. Cette année, nous avons identifié des tendances sur la mesure et la gestion des risques de cyberattaques et de violations de données, la typologie et la classification des données, la cybersécurité, la conformité et les processus opérationnels.

Cyberattaques et violations de données

Tendance : Les communications de contenu sensible sont trop souvent compromises

Les cyberattaques malveillantes représentent toujours un risque majeur pour le contenu sensible, tous secteurs confondus. Ainsi, l’Identity Theft Resource Center a recensé 3 205 compromissions de données publiquement signalées, touchant plus de 353 millions de personnes l’an dernier, soit une hausse de 78 % par rapport à 2022.13 La bonne nouvelle, c’est que la situation s’améliore légèrement pour nos répondants 2024 par rapport à ceux de 2023. La mauvaise, c’est que les organisations subissent encore trop souvent des violations dangereuses. Près d’un tiers des répondants (32 %) ont déclaré avoir subi au moins sept attaques externes malveillantes sur du contenu sensible au cours de l’année écoulée, contre 36 % l’an dernier (voir Figure 6). Et même si davantage d’entreprises (36 %) ont signalé trois violations ou moins par rapport à l’an passé, ces chiffres restent trop élevés.

Le nombre d’attaques varie fortement selon les secteurs (voir Figure 7). L’enseignement supérieur, la sécurité et la défense, ainsi que le secteur pétrolier et gazier, enregistrent encore plus de violations, avec 68 % ou plus des répondants déclarant au moins quatre violations, contre 55 % pour l’ensemble du panel. Le secteur public fédéral présente également des chiffres préoccupants : 17 % déclarent avoir subi 10 violations ou plus, et 10 % entre sept et neuf. Plus alarmant encore, 42 % des organisations de sécurité et de défense, qui échangent certains des contenus les plus sensibles de tous les secteurs, admettent avoir subi au moins sept violations de données. À l’inverse, les entreprises pharmaceutiques et des sciences de la vie s’en sortent mieux, avec seulement 28 % des répondants signalant quatre violations ou plus.

Les organisations de la région Asie-Pacifique ont également été particulièrement touchées, 72 % des répondants y ayant déclaré au moins quatre incidents (voir Figure 8). Comme ces organisations échangent du contenu sensible avec un plus grand nombre de tiers (voir ci-dessous), une analyse approfondie laisse présager un lien entre ces deux facteurs. Enfin, les entreprises comptant entre 20 001 et 30 000 employés sont les plus exposées, avec 75 % ou plus signalant au moins quatre violations, alors que les groupes de plus petite ou plus grande taille maintiennent ce taux bien en dessous de 60 % (voir Figure 9).

32 % des organisations ont subi au moins sept attaques externes malveillantes sur du contenu sensible l’an dernier.

Coût des litiges liés aux violations de données

Les violations de données entraînent des coûts considérables : amendes et sanctions pour non-conformité réglementaire, interruptions d’activité, baisse de productivité et perte de chiffre d’affaires. Le rapport annuel d’IBM et du Ponemon Institute sur le coût d’une violation de données estime ce coût à 4,45 millions de dollars US, un chiffre qui ne cesse d’augmenter chaque année.14 Ce montant est probablement sous-estimé, car les frais juridiques liés aux violations de données sont souvent oubliés ou minimisés. C’est pourquoi nous avons ajouté cette année une question sur le coût des litiges à notre enquête, ce qui a permis d’obtenir des informations exploitables.

Ainsi, six répondants sur dix déclarent dépenser plus de 2 millions de dollars chaque année pour couvrir les frais juridiques liés aux pertes de données internes et externes, 45 % dépassent les 3 millions et un quart consacre plus de 5 millions (voir Figure 10). Plus l’organisation est grande, plus le coût des litiges est élevé : 39 % (17 % ont connu entre sept et neuf incidents, 22 % plus de dix) des entreprises de plus de 30 001 salariés déclarent des frais juridiques supérieurs à 7 millions de dollars, et plus de la moitié des structures de plus de 15 001 salariés dépassent les 3 millions (voir Figure 11). L’enseignement supérieur est le secteur le plus touché, 49 % des répondants ayant payé plus de 5 millions l’an dernier (voir Figure 12). Géographiquement, l’Amérique du Nord arrive en tête, 27 % déclarant avoir déboursé plus de 5 millions. Un point préoccupant : 14 % des répondants EMEA ignorent le coût des litiges liés à leurs violations de données (voir Figure 13).

Pour 45 % des organisations, les frais de litiges dépassent 3 millions de dollars par an, un quart d’entre elles dépassant les 5 millions.

Types de données et classification

Tendance : Impossible de suivre et de contrôler tous leurs échanges de données

La croissance déjà exponentielle des données s’est encore accélérée au cours des 18 derniers mois avec l’adoption des grands modèles de langage (LLMs) de GenAI. Dès qu’un contenu quitte une application comme la messagerie électronique, le partage de fichiers, SFTP, le transfert sécurisé de fichiers ou les formulaires web, il est essentiel que les organisations puissent suivre et contrôler l’accès à ce contenu.

Les organisations doivent comprendre les types de données qu’elles possèdent, leur emplacement, ainsi que leurs destinations et modes de partage. Pour identifier les données non structurées à contrôler, il faut mettre en place un système de classification. Lorsqu’on leur demande quelle part de leurs données non structurées est étiquetée ou classifiée, moins de la moitié des répondants (48 %) déclarent que c’est le cas pour 75 % ou plus de leurs données (voir Figure 14). Par secteur, 65 % y parviennent dans la santé, 56 % dans les services financiers et 55 % dans le secteur juridique (voir Figure 15).

Cela dit, les organisations estiment que toutes les données non structurées n’ont pas besoin d’être étiquetées et classifiées. 40 % des organisations affirment que 60 % ou plus de leurs données non structurées doivent l’être. Plus l’organisation est grande, plus la part de données non structurées à étiqueter et classifier augmente. Par exemple, parmi celles qui comptent plus de 30 001 employés : 15 % indiquent que toutes leurs données doivent être étiquetées et classifiées, et 20 % supplémentaires estiment que plus de 80 % doivent l’être (voir Figure 16). Selon la région, davantage de répondants nord-américains jugent cette étape indispensable : 10 % déclarent que toutes les données non structurées doivent être étiquetées et classifiées, et 16 % évoquent 80 % ou plus (voir Figure 17). Les répondants du gouvernement fédéral sont les plus nombreux à estimer que toutes les données doivent être étiquetées et classifiées (24 %), 17 % supplémentaires évoquant 80 % ou plus (voir Figure 18).

41 % des répondants du gouvernement fédéral estiment que 80 % ou plus de leurs données non structurées doivent être étiquetées et classifiées.

Évaluer les risques liés aux types de données

Comme indiqué plus haut, le contenu sensible prend différentes formes au sein des organisations. Toutes n’impliquent pas le même niveau de risque de violation de données. Selon l’étude annuelle d’IBM sur le coût des violations de données, les informations personnelles identifiables (PII) sont les plus coûteuses et les plus fréquemment compromises. Les PII ont également été le type de données le plus touché en 2023, représentant 52 % de toutes les violations, une tendance déjà observée les deux années précédentes.15 Les résultats d’IBM concordent avec ceux du dernier DBIR, où 50 % des violations de données concernaient des PII.

Si l’on compare ces données avec les réponses de notre enquête, on constate des écarts. Par exemple, d’après les études d’IBM et de Verizon, on pourrait penser que les répondants citeraient les PII comme leur principale préoccupation. Ce n’est pourtant pas le cas. Ils placent en tête les documents financiers (55 %), la propriété intellectuelle (44 %) et les communications juridiques (44 %) (voir Figure 19).

Notre analyse croisée des informations médicales protégées (PHI) confirme en partie les données d’IBM et de Verizon : ceux qui considèrent les PHI comme l’un de leurs trois principaux sujets de préoccupation subissent un taux plus élevé de violations de données malveillantes que ceux qui privilégient d’autres types de données. Par exemple, 43 % de ceux qui placent les PHI dans leur top 3 déclarent avoir subi plus de sept violations de données (contre 32 % pour l’ensemble des répondants ayant signalé sept violations ou plus) (voir Figure 20). Le deuxième type de données le plus touché par les violations est la propriété intellectuelle (35 % déclarent avoir subi sept violations ou plus).

Fait marquant, la moitié des répondants nord-américains classent les LLMs de GenAI parmi leurs trois principales préoccupations, juste derrière les documents financiers (voir Figure 21). Par secteur, les LLMs préoccupent particulièrement l’énergie et les services publics (62 %), la pharmacie (61 %), le gouvernement fédéral (61 %) et les États (58 %), ainsi que les cabinets juridiques (58 %).

Le niveau de risque associé à chaque type de données varie fortement selon les secteurs :

  • Les LLMs de GenAI sont le plus souvent cités par les entreprises de l’énergie et des services publics, ainsi que par celles de la sécurité et de la défense (50 %).
  • Les PII sont citées en priorité par l’enseignement supérieur (50 %).
  • Les PHI sont citées en priorité par le secteur de la santé (58 %).
  • Le CUI et le FCI sont le plus souvent cités par les industriels (79 %).
  • Les communications juridiques sont le plus souvent citées par les entreprises pétrolières et gazières (62 %) et les agences gouvernementales fédérales (61 %).
  • Les détails de fusions-acquisitions sont principalement identifiés par les entreprises pharmaceutiques et des sciences de la vie (40 %).

Les répondants qui placent les PHI parmi leurs trois principales préoccupations subissent un taux plus élevé de violations de données malveillantes que ceux qui privilégient d’autres types de données.

Gestion de la conformité et des risques

Tendance : la gestion de la conformité et des risques s’impose comme une priorité

Aujourd’hui, le risque lié à la cybersécurité représente chaque année une part croissante du portefeuille de risques global d’une organisation. CrowdStrike, dans son rapport annuel sur les menaces, a relevé une augmentation de 76 % du nombre de victimes mentionnées sur les sites de fuite dédiés à l’eCrime d’une année sur l’autre.16 Dans son dernier DBIR, Verizon a analysé plus de 30 000 incidents de sécurité réels sur l’année écoulée et confirmé qu’environ un tiers (10 626) étaient des violations de données.17

Les données sensibles étant au cœur de la plupart des violations, les agences gouvernementales et les organismes sectoriels ont réagi en multipliant les réglementations et normes, et en renforçant celles déjà en place. Résultat : une mosaïque réglementaire qui complexifie la gestion des incidents et les audits et reportings de conformité, en particulier pour les entreprises internationales.

Comme les années précédentes, les répondants à notre enquête 2024 évoquent toujours des difficultés en matière de conformité et de gestion des risques. Les réponses à une question simple sur la gestion des risques de conformité liés aux outils de communication de contenu sensible l’illustrent bien (Figure 22). Seuls 11 % estiment qu’aucune amélioration n’est nécessaire dans ce domaine—un chiffre bien inférieur à ceux des cohortes 2022 et 2023. Bonne nouvelle : ils ne sont plus que 32 % à juger qu’une amélioration importante est requise.

Les écarts régionaux sur cette question restent faibles, mais la taille de l’entreprise joue un rôle. Plus l’entreprise est grande, plus elle estime qu’une amélioration importante est nécessaire (Figure 23) : un tiers ou plus des entreprises de plus de 15 001 salariés l’affirment. En revanche, la confiance en matière de conformité réglementaire varie. 29 % des répondants français jugent qu’aucune amélioration n’est nécessaire, un taux bien supérieur à celui d’autres pays—5 % en Allemagne, 10 % au Royaume-Uni, 13 % en Arabie Saoudite et aux Émirats arabes unis (Figure 24). Fait notable, et peut-être inquiétant, les répondants du secteur public fédéral sont 41 % à estimer qu’une amélioration importante est nécessaire dans la gestion et la mesure de la conformité des communications de contenu sensible—un taux plus élevé que dans tout autre secteur (les services professionnels arrivent ensuite avec 36 %) (Figure 25).

Seules 11 % des organisations estiment qu’aucune amélioration n’est nécessaire dans la mesure et la gestion de la conformité des communications de contenu sensible.

Axes prioritaires des réglementations

Pour les entreprises internationales, il existe de nombreuses réglementations sur la protection des données et normes de sécurité à prendre en compte. À ce jour, plus de 160 lois sur la protection des données ont été adoptées dans le monde, et leur nombre ne cesse d’augmenter. Le non-respect de ces lois entraîne une dégradation de la marque, une perte de chiffre d’affaires, des amendes et sanctions, ainsi que des frais de contentieux. Ainsi, 37 % des répondants au rapport ISACA de cette année déclarent n’avoir qu’une confiance relative—et 13 % se disent peu ou pas confiants—quant à leur capacité à garantir la confidentialité des données et à être conformes aux nouvelles lois et réglementations.18

Lorsqu’on leur demande de citer leurs deux priorités principales en matière de confidentialité des données et de conformité, deux choix se démarquent : le Règlement Général sur la Protection des Données (RGPD) de l’UE et les lois américaines sur la protection des données adoptées par certains États, comme le California Consumer Privacy Act (CCPA). Ces deux axes sont cités par 41 % de l’ensemble des répondants (Figure 26).

Sans surprise, le RGPD est bien plus souvent cité en EMEA (57 %), tandis que les lois américaines sont citées par 63 % des répondants nord-américains (Figure 27). Selon les fonctions, les responsables risques et conformité (52 %) accordent plus d’importance au RGPD que les responsables IT (38 %) et cybersécurité (33 %) (Figure 28). Les responsables IT privilégient les lois américaines (52 %) contre 25 % pour les risques et conformité et 40 % pour la cybersécurité. Les responsables cybersécurité (35 %) accordent plus d’attention au CMMC 2.0 que leurs homologues IT (22 %) et risques et conformité (18 %). La loi américaine HIPAA (HIPAA) est citée par 38 % des répondants nord-américains, mais par une proportion encore plus élevée (43 %) en Asie-Pacifique.

On observe quelques écarts préoccupants selon les secteurs d’activité. Par exemple, seuls 38 % des sous-traitants sécurité et défense placent la conformité CMMC parmi leurs deux priorités. Or, avec la mise en œuvre progressive du CMMC 2.0, ce manque de priorité représente un risque majeur : les sous-traitants non conformes perdront leurs contrats avec le DoD.

Les deux réglementations les plus citées par les répondants sont le RGPD et l’émergence de nouvelles lois américaines sur la protection des données (18 adoptées à ce jour).

Axes prioritaires des validations et certifications

En matière de validations et certifications, deux standards figurent en tête des priorités des répondants (Figure 29) : les normes publiées par l’Organisation internationale de normalisation (ISO ; 53 %) et le National Institute of Standards and Technology (NIST 800-171 ; 42 %). Les 110 contrôles du NIST 800-171 étant identiques à ceux du CMMC 2.0 niveau 2, ce niveau de priorité est encourageant, d’autant que la mise en œuvre progressive du CMMC 2.0 est en cours. Les normes ISO 27001, 27017 et 27018 sont les plus citées, tous secteurs et zones géographiques confondus : 59 % en EMEA, 67 % dans la pharma et 69 % dans les collectivités locales (Figures 30 et 31).

Avec une forte proportion de répondants d’Asie-Pacifique venant d’Australie, il est logique que le programme d’auditeurs accrédités IRAP (IRAP) soit davantage sélectionné dans cette région (45 %) que dans les deux autres. Fait intéressant, la directive NIS 2 n’est citée que par 20 % des organisations EMEA (contre 8 % en Amérique du Nord et 4 % en Asie-Pacifique). On pourrait s’attendre à ce que la conformité NIS 2 soit une priorité plus forte, la directive devant être transposée dans les législations nationales au 17 octobre 2024. Parmi les trois grandes fonctions interrogées, la NIS 2 retient le moins l’attention des responsables risques et conformité (19 %) par rapport à l’IT (31 %) et la cybersécurité (33 %). Les organisations nord-américaines choisissent la conformité SOC 2 Type II plus souvent que dans les autres régions (41 %).

Par secteur, la SOC 2 Type II est la plus citée par les sociétés de services professionnels (47 %). Les normes ISO 27001, 27017 et 27018 sont davantage sélectionnées par la pharma et les sciences de la vie (67 %). Les entreprises de sécurité et défense arrivent en tête pour la conformité FedRAMP Moderate (44 %). Les cabinets juridiques sont en tête pour l’IRAP (50 %).

Les normes ISO 27001, 27017 et 27018 sont les plus souvent citées comme standards de cybersécurité prioritaires.

Difficultés liées au reporting de conformité

Quelles que soient les réglementations, validations et certifications à respecter, la documentation de la conformité reste un défi majeur. Les organisations peinent à tracer, contrôler et générer des reportings sur les envois et partages externes de données sensibles : 57 % déclarent ne pas y parvenir (Figure 32). L’une des causes est la multiplicité des exigences, qui complexifie la tâche et mobilise d’importantes ressources humaines et du temps. Lorsqu’on leur demande à quelle fréquence ils doivent générer des journaux d’audit détaillés pour le reporting de conformité, 72 % répondent devoir le faire au moins cinq fois par an (Figure 33). Pour plus d’un tiers (34 %), ce chiffre grimpe à huit fois ou plus.

Les variations régionales et selon la taille de l’entreprise sont faibles (Figures 34 et 35). Les entreprises nord-américaines et les plus petites ont généralement moins d’exigences en matière de journaux. Les organisations de plus de 30 001 salariés produisent davantage de journaux d’audit (19 % en génèrent 9 fois ou plus) que les autres tailles d’organisation. Les secteurs qui produisent le plus de journaux d’audit par an sont les services professionnels, la sécurité et la défense, et le secteur public fédéral, avec respectivement 78 %, 77 % et 72 %. Les cabinets juridiques sont ceux qui en produisent le moins : 15 % ou moins en génèrent cinq fois ou plus (Figure 36).

Le reporting de conformité requiert beaucoup de temps humain, en raison du nombre de fois où il faut extraire des journaux détaillés pour les rapports. Au total, 63 % des répondants déclarent que cette tâche mobilise plus de 1 500 heures de travail par an (Figure 37). Pour les entreprises de plus de 15 001 salariés, ce chiffre explose : un tiers des organisations de plus de 30 001 salariés y consacrent plus de 2 500 heures (Figure 38). La moitié des répondants du secteur pétrolier et gazier et près de la moitié de l’enseignement supérieur dépassent les 2 000 heures par an—de loin les secteurs les plus impactés (Figure 39).

57 % des organisations ne parviennent pas à tracer, contrôler et générer des reportings sur les échanges externes de contenu sensible avec des tiers.

Cybersécurité et gestion des risques

Tendance : Protéger les communications de contenu sensible reste un défi majeur

Pour l’équipe de sécurité, le contenu sensible est au cœur de ce qu’il faut protéger dans les systèmes informatiques de l’entreprise. En 2024, les répondants à notre enquête sont bien moins nombreux à estimer qu’aucune amélioration n’est nécessaire dans la gestion de la sécurité du contenu, comparé à ceux de 2023 (Figure 40). Seuls 11 % partagent cet avis cette année, mais la part de ceux qui jugent qu’une amélioration significative est nécessaire a également diminué. Plus de la moitié (56 %) considèrent qu’une amélioration reste à apporter. On peut donc se réjouir que les organisations progressent, tout en prenant davantage conscience de la nécessité de continuer à s’améliorer.

Mais ces pourcentages varient selon les groupes. 30 % ou plus des répondants en Arabie saoudite, aux Émirats arabes unis, en Amérique du Nord et en Asie-Pacifique estiment qu’il faut des améliorations significatives (Figure 41). Même constat dans les services professionnels (47 %), les services financiers (43 %), le secteur pétrolier et gazier (42 %), l’administration fédérale (41 %), l’industrie manufacturière (36 %) et la santé (34 %) (Figures 42 et 43).

56 % des répondants estiment qu’il faut améliorer la sécurité de leurs communications de contenu sensible.

Progresser vers le Zero Trust

Le Zero Trust s’impose dans les organisations, avec une adoption et une intégration marquées à tous les niveaux de la sécurité. Au niveau réseau, les principes Zero Trust s’appliquent via la microsegmentation et des contrôles d’accès stricts pour limiter les déplacements latéraux des menaces. La sécurité des endpoints repose sur le déploiement de solutions avancées de protection contre les menaces et de détection et réponse sur les endpoints (EDR), afin que tous les appareils accédant au réseau soient authentifiés et surveillés en continu. Pour la gestion des identités et des accès, l’authentification multifactorielle (MFA) et la gestion des accès à privilèges (PAM) sont essentielles pour garantir un contrôle strict et une vérification continue des accès utilisateurs. Au niveau du contenu, les organisations mettent en place le chiffrement des données et une surveillance en temps réel pour sécuriser les informations sensibles. Malgré la priorité donnée au Zero Trust, près de la moitié (48 %) déclarent rencontrer des difficultés à l’intégrer à la fois sur site et dans le cloud.19

Dans ce rapport, notre attention porte naturellement sur la sécurité du contenu (Figure 44). Premier constat : 45 % des entreprises n’ont pas encore atteint le Zero Trust pour la sécurité du contenu. Deuxième point, certaines zones géographiques affichent des résultats encore plus faibles. Seuls 35 % des répondants britanniques atteignent ce niveau, contre 39 % au Moyen-Orient et en Asie-Pacifique (Figure 45). Côté secteurs, l’administration d’État (21 %), le pétrole et gaz (33 %) et la pharmacie/biotechnologies (39 %) accusent un retard sur la protection Zero Trust du contenu (Figure 46).

45 % des organisations reconnaissent ne pas avoir encore atteint le Zero Trust pour la sécurité du contenu.

Renforcer la sécurité pour protéger le contenu sensible

Parmi les organisations qui reconnaissent ne pas utiliser de fonctions de sécurité avancées pour les communications de contenu sensible, une proportion bien plus élevée (36 %) déclare ignorer combien de violations de données les ont touchées, contre seulement 8 % pour celles qui utilisent ces fonctions pour tout ou partie de leurs communications (Figure 47). Ce constat révèle un écart de risque important. Tous secteurs confondus, les plus grandes difficultés concernent le secteur juridique (55 % les utilisent partiellement ou pas du tout), les collectivités locales (50 %), l’administration fédérale (48 %) et la santé (44 %), contre 41 % pour l’ensemble du panel mondial. Les meilleurs résultats sont enregistrés dans les services professionnels (71 % les utilisent pour toutes leurs communications), l’administration d’État (71 %) et l’enseignement supérieur (65 %) (Figure 48).

Les organisations qui n’utilisent pas de sécurité avancée reconnaissent bien plus souvent ignorer le nombre de violations de données subies.

Traçabilité, classification et contrôle des accès au contenu sensible

Lorsque le contenu quitte une application comme la messagerie, le partage sécurisé de fichiers, la SFTP, le transfert sécurisé de fichiers ou les formulaires web, il est essentiel que les organisations puissent tracer et contrôler l’accès à ce contenu. Seuls 16 % des répondants y parviennent systématiquement, tandis que 45 % y arrivent environ trois fois sur quatre (Figure 49). Ce taux grimpe à 70 % en Amérique du Nord, 79 % dans l’industrie manufacturière et 73 % dans la santé (Figures 50 et 51). À l’inverse, l’enseignement supérieur (31 %) et le secteur pétrolier et gazier (34 %) affichent de moins bons résultats.

Pour identifier quelles données non structurées doivent être contrôlées, il faut disposer d’un système de classification. À la question de savoir quelle part de leurs données non structurées est étiquetée ou classifiée, moins de la moitié des répondants (48 %) affirment que c’est le cas pour 75 % ou plus de leurs données (Figure 14). La situation est un peu meilleure en Amérique du Nord, où 56 % atteignent ce niveau (Figure 52). Par secteur, la santé affiche 65 %, les services financiers 56 % et le juridique 55 % (Figure 53).

Seules 16 % des organisations peuvent tracer et contrôler l’accès à tout le contenu lorsqu’il quitte une application.

Utilisation des outils de sécurité pour le contenu sensible

Toutes les entreprises disposent de plusieurs outils de sécurité qu’elles déploient sur leurs réseaux, endpoints et applications cloud. Mais les utilisent-elles pour protéger les communications internes et externes de contenu sensible ? C’est une autre question.

Interrogés sur l’utilisation de fonctions telles que l’authentification multifactorielle, le chiffrement et la traçabilité/gouvernance pour ces communications, les résultats sont contrastés (Figure 54). Près de six sur dix (59 %) déclarent que ces protections sont systématiquement en place pour les communications externes de contenu sensible. Presque tous les autres disent qu’elles le sont parfois. Les répondants nord-américains affichent la posture de sécurité la plus élevée, avec 67 % qui le font tout le temps, contre 57 % en Asie-Pacifique et 53 % en EMEA.

La maturité dans la mesure et la gestion de la sécurité des communications de contenu sensible reste un axe clé pour les organisations : seuls 11 % estiment qu’aucune amélioration n’est nécessaire, contre 26 % lors de l’enquête de l’an dernier (Figure 55). Cette année, une plus grande part d’organisations juge qu’une amélioration est nécessaire (56 %, contre 37 % l’an dernier).

Si les chiffres sont identiques pour l’ensemble du panel, l’analyse par groupe révèle des différences intéressantes. Pour les communications internes, 71 % de l’administration d’État et des services professionnels déclarent utiliser systématiquement ces outils (Figure 56). Deux tiers (67 %) des répondants nord-américains font de même, contre seulement 53 % en EMEA (mais 63 % au Royaume-Uni) (Figure 57). Fait notable, les cabinets juridiques (45 %) sont les moins performants en interne. Pour les communications externes, la pharmacie/biotechnologies (78 %) et l’enseignement supérieur (72 %) sont en tête, tout comme les organisations nord-américaines (69 %) (Figure 56).

56 % des organisations estiment que la façon dont elles mesurent et gèrent la sécurité des communications de contenu sensible doit encore être améliorée — soit 33 % de plus que l’an dernier.

Processus opérationnel

Analyse : La gestion de la sécurité et de la conformité des données mobilise toute une équipe… et beaucoup de temps

La complexité des processus opérationnels dans la plupart des organisations aggrave bon nombre des problèmes évoqués plus haut, comme les violations de données, les difficultés de conformité et de sécurité. Entre la multiplication des outils de communication et l’incapacité de la plupart des organisations à éliminer les processus manuels, il devient inévitable que des problèmes de sécurité et de conformité passent entre les mailles du filet.

Multiplication des tiers et gestion du risque

La majorité des organisations échangent chaque jour d’importants volumes de données sensibles avec des centaines, voire des milliers de tiers. Le risque lié aux tiers n’a jamais été aussi élevé, tous secteurs confondus, et la nécessité d’échanger des contenus sensibles accentue la menace.

Lorsque nous avons demandé au panel 2024 d’estimer le nombre de tiers recevant des contenus sensibles de leur entreprise, deux tiers (66 %) ont estimé ce chiffre à plus de 1 000 (Figure 58). Parmi les plus grandes entreprises (plus de 30 001 employés), 33 % échangent du contenu avec plus de 5 000 tiers (Figure 59). 77 % des organisations Asie-Pacifique échangent des données sensibles avec 1 000 tiers, contre 66 % en Amérique du Nord et 63 % en EMEA (Figure 60).

Le secteur public fédéral échange des contenus sensibles à un rythme nettement supérieur à la plupart des autres secteurs (28 % envoient et partagent des données avec plus de 5 000 tiers) (Figure 61). L’enseignement supérieur affiche également un taux élevé d’échanges avec les tiers : 47 % des répondants déclarent le faire avec plus de 2 500 tiers.

Une fois le contenu sensible sorti de l’organisation, 39 % des organisations indiquent ne pouvoir suivre et contrôler l’accès qu’à 50 % ou moins de ces contenus. La région EMEA rencontre la plus grande difficulté sur ce point, 46 % admettant perdre la capacité de suivre et contrôler l’accès à 50 % ou moins du contenu sensible une fois qu’il quitte leur organisation (Figure 62). Les secteurs les plus exposés sont l’enseignement supérieur et le pétrole et gaz : respectivement 69 % et 66 % déclarent ne pouvoir suivre et contrôler l’accès qu’à 50 % ou moins du contenu sensible sortant de leur organisation (Figure 63). À l’inverse, le secteur public régional s’en sort le mieux, 38 % indiquant pouvoir suivre et contrôler l’accès à tout moment.

La comparaison entre le nombre de violations de données et le nombre de tiers avec lesquels les organisations échangent des contenus sensibles révèle un risque nettement accru (Figure 64). Par exemple, 35 % de ceux qui déclarent échanger des contenus sensibles avec plus de 5 000 tiers ont subi plus de 10 violations de données l’an passé. 50 % de ceux qui échangent avec 2 500 à 4 999 tiers ont connu plus de sept violations de données. Même constat pour les coûts de contentieux (Figure 65). Parmi ceux qui échangent des données sensibles avec 5 000 tiers ou plus, la moitié a dépensé plus de 5 millions de dollars en frais de contentieux. 44 % de ceux qui échangent avec 2 500 à 4 999 tiers ont également dépassé les 5 millions de dollars.

Deux tiers des organisations échangent des contenus sensibles avec plus de 1 000 tiers. 35 % de celles qui échangent avec plus de 5 000 tiers ont subi plus de 10 violations de données l’an dernier.

Prolifération des outils de communication et gestion du risque

La prolifération des outils de communication pour l’envoi et le partage de contenus sensibles est bien réelle : messagerie électronique, partage sécurisé de fichiers, transfert sécurisé de fichiers, SFTP, formulaires web, etc. Les initiatives visant à réduire les risques, à diminuer les coûts et à améliorer l’efficacité opérationnelle ont conduit à une consolidation des outils de communication de contenu : la moitié des répondants en 2023 déclaraient utiliser six outils ou plus, contre 32 % cette année (Figure 66). L’Amérique du Nord affiche la plus forte prolifération d’outils, 59 % utilisant cinq outils ou plus, contre 50 % en EMEA et 52 % en Asie-Pacifique (Figure 67). En Amérique du Nord, 77 % utilisent au moins quatre outils, un chiffre qui atteint 80 % ou plus dans les secteurs services financiers, juridique, services professionnels, pétrole et gaz (Figure 68).

L’analyse croisée montre que les organisations ayant connu le plus de violations de données utilisent davantage d’outils de communication (Figure 69). Par exemple, 32 % des organisations ayant subi 10 violations de données ou plus disposent de plus de sept outils de communication, et 42 % de celles qui en ont six ont connu entre sept et neuf violations. Ces chiffres sont bien supérieurs à la moyenne : seuls 9 % des répondants déclarent avoir subi 10 violations (contre 32 % pour ceux disposant de sept outils ou plus) et 23 % déclarent en avoir subi entre sept et neuf (Figure 6). Cela représente un taux 3,55 fois plus élevé pour ceux qui utilisent 10 outils ou plus, et deux fois plus élevé pour ceux qui en utilisent entre sept et neuf. Même constat pour les coûts de contentieux liés aux violations de données : 26 % de ceux qui ont payé plus de 7 millions de dollars l’an dernier disposent de plus de sept outils de communication (soit 3,25 fois plus que la norme de 8 %) (Figure 70).

32 % des organisations ayant subi 10 violations de données ou plus disposent de plus de sept outils de communication.

Rapprochement des journaux : un vrai casse-tête

Le rapprochement des journaux de communication de contenus sensibles pour les rapports d’audit prend beaucoup de temps pour de nombreux répondants : 48 % déclarent devoir consolider plus de 11 journaux, et 14 % plus de 20. Ne pas savoir quels journaux doivent être rapprochés constitue déjà un risque : 8 % ne savent pas combien ils en possèdent (Figure 71). Les grandes organisations doivent consolider un nombre plus important de journaux d’audit ; par exemple, 34 % de celles ayant plus de 30 001 employés consolident plus de 20 journaux (contre 14 % pour celles de 20 001 à 25 000 employés et 11 % pour celles de 25 001 à 30 000 employés) (Figure 72).

Tout ce rapprochement des journaux consomme un temps et des ressources précieux : 20 % des répondants indiquent que cela prend plus de 40 heures de travail par mois, et 40 % déclarent y consacrer plus de 25 heures mensuelles (Figure 73). Plus l’organisation est grande, plus l’agrégation des journaux devient difficile : 24 % des organisations de plus de 30 001 employés passent plus de 40 heures par mois à cette tâche (Figure 74). De plus, 9 % des organisations de cette taille estiment qu’il n’est pas possible d’agréger leurs journaux, révélant ainsi un risque majeur pour la sécurité et la conformité. Côté secteurs (Figure 75), les cabinets juridiques sont les plus nombreux à admettre qu’il leur est impossible de rapprocher leurs journaux (10 %). Les établissements d’enseignement supérieur sont ceux qui consacrent le plus de temps à la consolidation des journaux, 30 % y passant 40 heures ou plus chaque mois.

Parmi les secteurs, les répondants du secteur public fédéral (34 %) sont les plus nombreux à devoir consolider plus de 20 journaux de canaux de communication.

Limites de taille de fichier et gestion du risque

Les limites de taille de fichier représentent un défi pour de nombreux outils de communication de contenu. Les collaborateurs, frustrés dans l’exercice de leurs missions, peuvent être tentés de recourir à des services de partage de fichiers grand public non autorisés pour contourner ces restrictions. Même ceux qui respectent les règles doivent souvent adopter des solutions de contournement qui se traduisent par une perte de temps significative.

À l’exception du SFTP (27 %), plus de trois organisations sur dix doivent mettre en place des solutions de contournement en raison des limites de taille de fichier pour la messagerie, le partage sécurisé de fichiers et le transfert sécurisé de fichiers plus de 50 fois par mois (Figure 76). Environ 10 % déclarent devoir le faire plus de 100 fois par mois (10 % pour la messagerie, 11 % pour le partage sécurisé de fichiers, 8 % pour le SFTP et 11 % pour le transfert sécurisé de fichiers). Plus de la moitié le font plus de 25 fois par mois sur ces quatre canaux de communication. En Amérique du Nord, la fréquence est plus élevée qu’en EMEA et en Asie-Pacifique ; ceux qui doivent le faire plus de 100 fois par mois sont plus de deux fois plus nombreux sur chaque canal de communication (Figure 77).

Plus de 30 % des organisations doivent mettre en place des solutions de contournement liées à la taille des fichiers 50 fois par mois pour la messagerie, le partage sécurisé de fichiers, le transfert sécurisé de fichiers et le SFTP.

Principaux moteurs pour réduire les risques liés aux communications de contenus sensibles

À ce stade, les lecteurs constatent sans doute certains problèmes liés à la multiplication des outils de communication de contenus sensibles : risques et difficultés de sécurité et de conformité, manque de visibilité sur les types de données, processus manuels inefficaces. Pour comprendre comment les participants à l’enquête gèrent cette complexité, nous leur avons demandé de citer leurs deux principaux moteurs pour unifier et sécuriser leurs communications de contenus sensibles (Figure 78). La réponse la plus fréquente (56 %) est la protection de la propriété intellectuelle et des secrets d’entreprise. Suivent la réduction des contentieux (51 %) et l’évitement des violations réglementaires (48 %).

On note des différences intéressantes selon le poste occupé (Figure 79). Les professionnels IT sont 79 % à citer les contentieux, contre 61 % pour les équipes sécurité, mais seulement 39 % pour les collaborateurs en charge des risques et de la conformité. Les secteurs juridique (75 %), pétrole et gaz (75 %) et secteur public fédéral (69 %) sont particulièrement préoccupés par les fuites de propriété intellectuelle (Figure 80).

On observe également des différences régionales (Figure 81). En Asie-Pacifique, l’évitement d’un impact négatif sur la marque arrive largement en tête (79 %), suivi par la réduction des contentieux longs et coûteux (61 %). En EMEA, le principal moteur est la prévention des fuites de propriété intellectuelle et de secrets d’entreprise (62 %), suivi par la réduction des contentieux longs et coûteux (51 %). En Amérique du Nord, l’évitement des interruptions d’activité et des pertes de revenus arrive en tête (57 %), suivi par la prévention des fuites de propriété intellectuelle et de secrets d’entreprise (51 %).

Les principaux moteurs pour unifier et sécuriser les communications de contenus sensibles sont la protection de la propriété intellectuelle et des secrets d’entreprise (56 %), la réduction des contentieux (51 %) et l’évitement des violations réglementaires (48 %).

Conclusion

Les résultats du rapport annuel sur la confidentialité et la conformité des communications de contenu sensible soulignent l’importance pour les organisations d’adopter une démarche proactive pour protéger leurs contenus sensibles. L’un des principaux enseignements est la nécessité de regrouper les outils de communication sur une seule plateforme. En réduisant le nombre d’outils distincts utilisés pour la communication de contenu, les organisations diminuent considérablement le risque de violations de données et gagnent en efficacité opérationnelle. Les organisations qui utilisent moins d’outils de communication subissent moins de violations, ce qui montre un lien direct entre la consolidation des outils et le renforcement de la sécurité.

Le rapport met également en avant les risques majeurs liés aux données non étiquetées et non classifiées. Les organisations qui n’instaurent pas de systèmes robustes de classification et d’étiquetage des données s’exposent à davantage de violations, car elles manquent de visibilité et de contrôle sur leurs contenus sensibles. L’augmentation exponentielle du volume de données, accélérée par l’adoption de GenAI, impose aux organisations de faire de la classification des données une priorité pour limiter efficacement ces risques.

L’application des principes du zéro trust et de fonctions de sécurité avancées s’avère essentielle pour renforcer la sécurité des communications de contenu sensible. Les résultats du rapport révèlent d’importantes failles de sécurité et la nécessité d’un zéro trust défini par le contenu, intégrant des contrôles d’accès basés sur les attributs, le chiffrement, la surveillance en temps réel et la prévention des pertes de données. Nos analyses montrent que certains secteurs d’activité, régions et pays présentent des écarts plus importants que d’autres.

Les données mettent également en évidence les risques importants liés aux échanges de contenu sensible avec des tiers : plus les répondants envoient et partagent de contenu sensible avec des tiers, plus ils subissent de violations de données et supportent des coûts de contentieux élevés. Les organisations doivent donc garantir un suivi et des contrôles de gouvernance rigoureux, ainsi que des fonctions de sécurité avancées pour limiter les risques liés aux tiers.

Enfin, il convient de souligner le coût des violations de données, notamment en matière de contentieux. L’enquête de cette année révèle que de nombreuses organisations supportent des frais juridiques importants, souvent absents des estimations traditionnelles du coût d’une violation. L’atteinte à la réputation, la perte de chiffre d’affaires et la perturbation des activités ne représentent qu’une partie des conséquences. Les amendes et sanctions pour non-conformité ainsi que les frais de contentieux sur la durée ont souvent un impact prolongé. Cela rappelle l’importance de choisir des outils de communication de contenu sensible conformes à des standards de sécurité tels que FedRAMP, ISO 27001, SOC 2 Type II, NIST CSF 2.0, entre autres.

Références

  1. « 2024 Data Breach Investigations Report », Verizon, avril 2024.
  2. Matt Kapko, « Progress Software’s MOVEit meltdown : uncovering the fallout », Cybersecurity Dive, 16 janvier 2024.
  3. Bill Toulas, « Fortra shares findings on GoAnywhere MFT zero-day attacks », BleepingComputer, 1er avril 2023.
  4. « 2024 Gartner Technology Adoption Roadmap for Larger Enterprises Survey », février 2024.
  5. Eileen Yu, « Employees input sensitive data into generative AI tools despite the risks », ZDNet, 22 février 2024.
  6. « 2024 Global Threat Report », CrowdStrike, février 2024.
  7. « Malgré l’augmentation des budgets, les organisations peinent à assurer la conformité », Help Net Security, 24 mai 2024.
  8. « Data Protection and Privacy Legislation Worldwide », U.N. Trade & Development, consulté le 7 juin 2024.
  9. « U.S. State Privacy Legislation Tracker », IAPP, dernière mise à jour le 28 mai 2024.
  10. Martin Armstrong, « EU Data Protection Fines Hit Record High in 2023 », Statistica, 8 janvier 2024.
  11. « Health Information Privacy : Enforcement Highlights », U.S. Health and Human Services, consulté le 30 avril 2024.
  12. « 2024 Data Breach Investigations Report », Verizon, avril 2024.
  13. « 2023 Data Breach Report », ID Theft Center, janvier 2024.
  14. « Cost of a Data Breach Report 2023 », IBM Security, juillet 2023.
  15. « 2023 Cost of a Data Breach Report », IBM Security, juillet 2023.
  16. « 2024 Global Threat Report », CrowdStrike, février 2024.
  17. « 2024 Data Breach Investigations Report », Verizon, mai 2024.
  18. « Privacy in Practice 2024 », ISACA, janvier 2024.
  19. « Fortinet Global Zero Trust Report Finds Majority of Organizations Are Actively Implementing Zero Trust But Many Still Face Integration Challenges », communiqué de presse Fortinet, 20 juin 2023.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

Partagez
Tweetez
Partagez
Explore Kiteworks