Dans 8 mois entrera en vigueur le Règlement Général sur la Protection des Données (RGPD) en Europe. Quels changements pour les entreprises ?
Comment s'y préparer ? Quels acteurs sont présents sur le marché de la cybersécurité ?
Les techniques de récolte, la quantité et les utilisations faites des données personnelles ont fortement évolué ces dernières années, rendant la législation actuelle obsolète. C'est la raison pour laquelle un nouveau règlement sera applicable à partir du 25 mai 2018 : le RGPD (Règlement Général sur la Protection des Données). Il concerne les données personnelles qui permettent d'identifier directement ou indirectement des personnes. Ce règlement vise à simplifier et harmoniser le traitement des données, et renforcer la sécurité des personnes.
Alors qu'aujourd'hui la CNIL (Commission Nationale Informatique et Libertés) doit démontrer les manquements des entreprises, demain, les entreprises devront prouver qu'elles agissent en conformité avec la loi.
Le RGPD est un règlement européen : il devra être appliqué en l'état dans tous les pays de l'Union européenne. Il concernera toutes les entreprises de l'UE, mais aussi les entreprises à l'étranger utilisant des données de citoyens européens.
Des sanctions financières allant jusqu'à 4% du chiffre d'affaires mondial annuel de l'entreprise ou 20 millions d'euros pourront être appliquées.
D'après une étude menée par Umanis, toutes les entreprises interrogées pensent que le RGPD aura un impact au niveau technologique. Seulement 31% pensent qu'elles seront prêts à temps, tandis que 23% pensent que cela est impossible.
Avec le RGPD, les entreprises devront s'assurer que les données personnelles qu'elles stockent sont bien protégées. En France, plus de 52% des entreprises ont déjà vécu une tentative d'attaques visant le réseau informatique. Le marché de la cybersécurité est très porteur : +7,9% de croissance entre 2015 et 2016. Il représentait 81,6 milliards de dollars en 2016 au niveau mondial. En France, il est estimé à plus de 1,2 millard d'euros pour 2020.
Sur ce marché, on retrouve les grands groupes qui proposent des solutions globales comme Orange, Atos, Capgemini, IBM, Airbus, Thales... De nombreuses entreprises plus jeunes arrivent sur le marché avec des offres plus distinctes :
91% des cyber-attaques démarrent avec un email. La sécurisation des emails est donc un marché porteur. VadeSecure a développé un filtre pour bloquer les messages dangereux.
Pour protéger les données sensibles envoyées dans des messages électroniques, Idecsi propose une solution similaire et un service d'audit pour vérifier le niveau de securité en place. LockEmail propose un cryptage des emails. Les destinataires détiennent une clé spécifique unique leur permettant de lire le contenu.
La société Tanker crypte les données avant qu'elles ne soient placées dans des espaces de stockage en ligne comme Dropbox. Oodrive et Coreye en revanche proposent des espaces de stockage sécurisés.
De nombreuses entreprises sont présentes sur ce marché : Advanced Track & Trace propose des solutions de traçabilité des documents pour prévenir la falsification (badges d'accès, contrats, billets de banque, billetterie...). AriadNext contrôle l'authenticité des documents, y insère des cachets électroniques (2D Doc)... Woleet et KeeeX s'appuient sur la blockchain pour horodater et signer des documents en toute sécurité. Seald permet de suivre ses documents même après envoi et de savoir qui les lit à quel endroit, et s'il est renvoyé à d'autres personnes.
Des entreprises comme CybelAngel et Leakwatch se sont spécialisées dans la détection de menaces : elles détectent les contrefaçons et surveillent la fuite et la vente d'informations confidentielles sur le dark web.
Pour les salariés équipés de téléphones et manipulant des données confidentielles, il existe des solutions pour chiffrer entièrement le terminal, comme celles d'Ercom. Il existe des logiciels pour surveiller et protéger le réseau informatique des entreprises comme Quarkslab, Cyberwatch, Tehtris... ITrust propose des audits et des formations.
Un salarié au cours de sa journée peut être confronté à plusieurs mots de passe différents à entrer. Cela peut être un frein à la productivité, ou un risque de sécurité si les mots de passe sont enregistrés. Avencis propose un code unique débloquant l'accès aux applications et sites tandis que TrustDesigner utilise l'identification biométrique pour dévérouiller des sessions de travail numériques, ou des accès physiques. Inwebo combine les deux en fonction des usages. Il est possible d'enregistrer ses mots de passe en ligne dans des applications comme Dashlane ou Lastpass. BrainwareGRC et ISdecisions proposent de gérer les droits d'accès aux fichiers et de prévenir les violations de droits.
Les plateformes de Bug Bounty - qui proposent des récompenses en échange d'identification de failles - se développent. Les sociétés peuvent exposer leurs problèmes et proposer des récompenses sur des sites comme Yeswehack, ou Yogosha. Elles font alors appel à des experts externes. L'entreprise TrustInSoft utilise un programme capable de détecter des failles dans le code des sites, des logiciels et des applications.