Conduit auprès de 617 juristes d’entreprises basés dans 33 pays, le State of Cybersecurity Report de l’Association of Corporate Counsel (ACC) met en lumière les meilleures pratiques en matière de cyberprévention, de gestion des crises et de réponses aux violations de données, dans un contexte de cadre réglementaire en évolution rapide.

Les cyberattaques sont-elles devenues la norme ?

D’après l’enquête, les incidents de sécurité peuvent arriver à tout type d’organisation, indépendamment de son secteur, de sa zone géographique et de sa taille. L’Identify Theft Resource Center (ITRC) montrait déjà qu’il y avait eu plus de violations de données en 2017 que pendant toutes les années qui ont précédé (la hausse est de 45 % par rapport à 2016).
Ces données sont corroborées par le State of Cybersecurity Report : 32 % des juristes d’entreprises interrogés dans le cadre de l’enquête déclarent travailler ou avoir travaillé dans une entreprise qui a fait face à une violation de données, mais aussi que l’ampleur de ces cyberattaques s’accroit (à ce sujet, le Ponemon Institute a estimé que l’ampleur moyenne des violations de données avait augmenté de 1.8 %).

En conséquence, un nombre croissant d’entreprises, et ce dans toutes les régions couvertes par le State of Cybersecurity Report (Asie Pacifique, Europe Moyen-Orient, Australie, Etats-Unis et Canada), alloue davantage de ressources humaines et financières à la cybersécurité par rapport à 2017. 63 % des participants à l’enquête escomptent ainsi une hausse du budget cybersécurité en 2018. Ils n’étaient que 55 % lors du précédent State of Cybersecurity Report, publié il y a deux ans.

L’entrée en vigueur du RGPD bouleverse les standards de sécurité des entreprises.

Le Chief Legal Officier Survey, conduit sur 1.300 directeurs juridiques et publié en février 2018, mettait déjà en évidence la préoccupation croissante des professionnels du droit pour la protection des données et la lutte contre la violation de ces dernières.

Cette tendance se voit confortée par l’entrée en vigueur, le 25 mai 2018, du Règlement Général sur la Protection des Données (RGPD). Plus de 40 % des juristes interrogés pour le State of Cybersecurity Report ont ainsi répondu qu’ils entendaient auditer et faire évoluer les standards de protection des données (47%), les procédures de notifications des violations de données (45%) et les plans de réponse aux incidents (43%) de leur entreprise, afin de les mettre en conformité avec la nouvelle réglementation européenne.

L’impact du RGPD sur les entreprises varie toutefois fortement en fonction de la localisation de ces dernières. Ainsi, si à l’échelle du monde seuls 33 % des juristes ayant participé à l’enquête répondent que leur entreprise sera soumise aux dispositions du règlement européen, ce chiffre atteint 94 % en Europe et au Moyen-Orient.
Autre facteur d’influence, la taille de l’entreprise : sans surprise, les grandes entreprises sont plus concernées par le RGPD que les petites.
Enfin, le secteur le plus concerné est celui des hautes technologies et des services internet – plus de 50 % de ses entreprises sont soumises au règlement européen.

La contribution des juristes à la cybersécurité de leur entreprise augmente.

Sur les douze prochains mois, de nombreux juristes d’entreprises anticipent une hausse de leur contribution à la prévention et à la réponse aux incidents de cybersécurité, mais aussi de leur influence sur les budgets alloués à la cybersécurité.
Cette tendance est particulièrement manifeste dans les grandes entreprises, où 90 % des directeurs juridiques font partie intégrante de l’équipe chargée de gérer les crises impliquant des violations de données.

Une analyse par secteur montre que les directeurs juridiques travaillant dans les services scientifiques et techniques sont plus susceptibles de jouer un rôle prépondérant dans le dispositif de cybersécurité de leur entreprise (48%) que ceux travaillant dans la finance et la banque (32%) ou dans le secteur associatif (36%).

La préparation et la sensibilisation des salariés sont essentielles.

L’élaboration d’un plan de réponse aux violations de données et la formation d’une équipe capable de réagir vite aux incidents de cybersécurité sont essentielles pour réduire les risques et les coûts d’une cyberattaque. Dans un monde où les cyberattaques font désormais partie du quotidien, les violations de données semblent devenues inévitables : il n’en reste pas moins que les entreprises se doivent d’être proactives pour en atténuer les conséquences et réduire la menace au minimum.

A ce titre, 60 % des professionnels sondés répondent que leur entreprise dispose d’une équipe en charge de répondre aux violations de données. Dans 90 % des cas, un membre du département juridique fait partie de l’équipe – le degré d’implication des juristes varie en fonction de la taille de leur entreprise : plus celle-ci est grande, plus leur niveau de mise à contribution sera élevé. 79 % des entreprises ayant mis en place un plan de réponse aux incidents de données l’ont modernisé dans les douze derniers mois.

Bien que croissante, la part d’entreprises ayant recours à une aide extérieure en cas de cyberattaque demeure limitée. Seuls 29 % des juristes d’entreprise interrogés répondent ainsi y faire appel. 40 % des participants à l’enquête déclarent en revanche conduire un audit interne de cybersécurité à l’échelle de l’entreprise chaque année.

Enfin, la formation et les tests de connaissances tendent à se généraliser. 61% des juristes d’entreprise ayant participé au State of Cybersecurity Report indiquent que leur entreprise organise une formation à la cybersécurité obligatoire pour ses salariés.
Entre un tiers et la moitié des professionnels interrogés indiquent que leur entreprise intègre le taux de présence aux formations à leur évaluation du niveau de préparation de leurs salariés (46%) ou teste les connaissances acquises lors des formations (36%).
Le malware/phishing (36%) et les erreurs individuelles (20%) étant les principales causes de violations de données, la formation des salariés est une étape incontournable du processus de prévention des cyberattaques.

Il est donc crucial que les juristes d’entreprise, dont l’attention se porte plus naturellement vers la réponse à apporter aux violations de données, contribuent à cette phase de prévention.

Christopher Murphy Ives Vice-président et Directeur juridique adjoint chez Hewlett Packard Enterprise. Président du conseil d’administration d’ACC Europe.