Communiqué de presse
Le dernier rapport de Kiteworks révèle que 57 % des entreprises ne sont pas en mesure de suivre et contrôler les contenus sensibles envoyés et partagés en externe
Un tiers des entreprises ont subi au moins sept violations de données en 2023, et 26 % d'entre elles ont dépensé plus de 5 millions de dollars en frais juridiques liés à des violations de données
Kiteworks, expert en protection et conformité des données pour les communications de contenus sensibles grâce à son réseau de contenu privé (PCN), vient d’annoncer la publication de son rapport annuel. L’enquête, menée auprès de 572 responsables IT, sécurité, gestion des risques et conformité, révèle les principales vulnérabilités et problèmes rencontrés par les entreprises dans le traitement et la maîtrise de leurs informations confidentielles.
Le rapport met en évidence les difficultés majeures liées aux communications de contenus sensibles à l’échelle mondiale. 57 % des personnes interrogées déclarent ne pas être en mesure de suivre, contrôler et tracer les données envoyées ou partagées en dehors de l’entreprise. Sans surprise, les rapports de conformité posent toujours problème, avec 34 % des personnes interrogées préparant des rapports d’audit plus de huit fois par mois pour des demandes internes et externes. Ces demandes fréquentes de reporting traduisent les efforts permanents déployés pour répondre à des exigences réglementaires strictes.
Tim Freestone, Chief Strategy and Marketing Officer chez Kiteworks, insiste sur l’urgence de corriger ces vulnérabilités : “Notre enquête met le doigt sur les lacunes importantes à corriger pour protéger les contenus sensibles et être conforme à des réglementations de plus en plus strictes. Les résultats du rapport invitent les entreprises à revoir leurs stratégies de communication de contenu et à investir dans des solutions de sécurité robustes.”
La multiplication des outils de communication de contenu augmente les risques
Le rapport Kiteworks 2024 met en évidence des évolutions significatives et des difficultés persistantes dans l’utilisation des outils de communication. Près d’un tiers des personnes interrogées ont déclaré que leur entreprise utilisait au moins six outils de communication différents. En plus d’augmenter les risques, la gestion de cette panoplie d’outils nuit à la productivité et complique le travail de conciliation des journaux d’audit.
La prévention des fuites de propriété intellectuelle (PI) et de secrets d’entreprise est une priorité absolue pour 56 % des personnes interrogées, illustrant la nécessité de protéger les informations les plus précieuses. En revanche, les répondants sont moins nombreux à se soucier de l’impact négatif sur leur image de marque (15 %) et des économies réalisées (26 %). Cette tendance indique que les organisations privilégient davantage les risques directs associés aux violations de données et aux fuites d’informations.
Certains secteurs sont particulièrement attentifs aux fuites de propriété intellectuelle. Dans le secteur juridique par exemple, 75 % des répondants considèrent qu’il s’agit d’un risque important, ce qui reflète la dépendance du secteur à l’égard des informations confidentielles. De même, les secteurs du pétrole et du gaz, avec leurs technologies exclusives et leurs données sensibles, sont très inquiets des fuites de propriété intellectuelle. Ces chiffres confirment le besoin d’élaborer des stratégies sectorielles spécifiques pour remédier à des vulnérabilités qui leur sont propres. Sans parler d’adopter des bonnes pratiques de communication de contenu, et ce, quel que soit le secteur d’activité.
Impact des violations de données
Les piratages externes des communications de contenu sensible restent un danger réel à l’échelle mondiale. 32 % des organisations ont déclaré avoir subi au moins sept violations de leur contenu sensible l’année dernière. C’est légèrement mieux qu’en 2023, où elles étaient 36 %. Néanmoins, 9 % des personnes interrogées reconnaissent ne pas connaître le nombre de violations subies par leur organisation, signe d’une lacune majeure dans la capacité à détecter et à réagir enc as d’incident.
Les administrations fédérales ont signalé le plus grand nombre de violations, 17 % d’entre elles indiquant avoir subi au moins 10 violations de données et 10 % entre 7 et 9. Encore plus alarmant, 42 % des agences de sécurité et de défense ont admis avoir subi au moins sept violations de données, soulignant le besoin urgent de renforcer les mesures de sécurité dans ces secteurs.
Géographiquement, la région APAC a déclaré le pourcentage le plus élevé d’organisations ayant signalé au moins sept violations de données (43 %). Ce chiffre est préoccupant compte tenu du volume d’informations échangées entre tiers dans cette région. Les coûts juridiques associés aux violations de données restent élevés : 8 % des organisations ont déboursé plus de 7 millions de dollars en frais juridiques l’année dernière, et 26 % ont déclaré des coûts supérieurs à 5 millions. Les plus grandes organisations, en particulier celles de plus de 30 000 salariés, affichent des coûts encore plus élevés ; 24 % d’entre elles ont fait état de frais juridiques supérieurs à 7 millions de dollars
L’enseignement supérieur est le secteur le plus affecté, avec 49 % des répondants indiquant avoir payé plus de 5 millions de dollars en frais juridiques l’année dernière. Géographiquement, la région Amérique du Nord est en tête avec 27 % des organisations déclarant des frais juridiques supérieurs à 5 millions de dollars, tandis que 12 % des répondants de la région EMEA n’étaient pas sûrs du montant de ces dépenses.
Les organisations luttent pour gérer les risques tiers
La gestion des risques tiers reste un problème de taille pour les organisations du monde entier. Le rapport révèle que 66 % échangent des contenus sensibles avec plus de 1 000 interlocuteurs, ce qui représente toutefois une baisse par rapport aux 84 % enregistrés en 2023. Les organisations reconnaissent donc de plus en plus les risques associés aux nombreuses interactions avec des tiers et mettent en œuvre des mesures plus efficaces pour en contrôler l’accès.
C’est dans la région APAC que les échanges avec des tiers sont les plus nombreux, avec 77 % des organisations qui échangent des contenus sensibles avec plus de 1 000 personnes. Quant aux professions libérales, 51 % échangent des contenus sensibles avec plus de 2 500 tiers, bien loin devant l’enseignement supérieur, avec 47 %.
Au niveau mondial, 39 % des entreprises sont incapables de suivre et de contrôler l’accès aux contenus sensibles une fois qu’ils ont quitté leur périmètre. Il est surprenant de constater que les responsables cybersécurité sont plus confiants dans la capacité de leur organisation à suivre et contrôler l’accès aux contenus une fois sortis de leur périmètre que les responsables IT et gestion des risques (48 % déclarent pouvoir suivre et contrôler plus des trois quarts des contenus en question). Ce problème est particulièrement grave dans la région EMEA, où 43 % des organisations admettent être incapables de suivre et de contrôler l’accès à plus de la moitié de leurs contenus sensibles une fois partagés avec l’extérieur. Les collectivités locales sont les plus démunies puisque 54 % d’entre elles ne peuvent pas suivre et contrôler les contenus sensibles en dehors de leur organisation, suivies par les laboratoires pharmaceutiques (50 %).
Améliorer la sécurité des communications de contenu sensible
Le rapport fait ressortir le besoin urgent d’améliorer la protection des contenus sensibles. Seuls 11 % des organisations estiment n’avoir besoin d’aucune amélioration, soit un recul significatif par rapport aux 26 % enregistrés en 2023. Cette tendance indique une prise de conscience des risques et du besoin de renforcer les mesures de sécurité. C’est particulièrement vrai pour les professions libérales, où 47 % des entreprises confirment avoir besoin d’améliorations significatives. Et pour les grandes entreprises de 20 000 à 30 000 salariés, où plus de la moitié déclarent avoir besoin d’améliorations significatives.
Seuls 59 % des répondants indiquent utiliser systématiquement des outils de sécurité avancés pour les communications internes de contenu sensible. La région EMEA est à la traîne, avec seulement 53 % d’entre eux qui les utilisent systématiquement. Au contraire, 67 % des répondants de la région North America et 57 % de l’APAC y ont toujours recours. Les administrations publiques sont les meilleurs élèves, avec 71 % déclarant utiliser systématiquement des outils de sécurité avancés, suivies par les établissements d’enseignement supérieur (65 %).
Les organisations privilégient également les certificats de sécurité et notamment ISO 27001, 27017 et 27018, puis NIST 800-171/CMMC 2.0 . 59 % des organisations de la région EMEA privilégient les certifications ISO, ce qui est plus élevé que dans les autres régions. En revanche, les organisations de l’APAC privilégient l’IRAP. Ces résultats reflètent un intérêt régional marqué par les environnements réglementaires en vigueur.
Les restrictions de taille de fichiers créent des difficultés supplémentaires, en particulier dans les secteurs de l’énergie et des services publics. 34 % des personnes interrogées contournent plus de 50 fois par mois les outils habituels pour cause de limitation de la taille des fichiers échangés par e-mail. Pour les transferts de fichiers MFT et le SFTP, 27 % et 31 % respectivement sont confrontés à des limitations similaires. Les entreprises du secteur de l’énergie et des services publics sont les plus touchées, avec 29 % des répondants déclarant rencontrer des problèmes liés à la taille des fichiers dans les e-mails plus de 50 fois par mois, et 36 % à des limitations de transfert de fichiers MFT.
Les problèmes de conformité persistent pour les communications sensibles
Cette année, 56 % des organisations ont indiqué avoir besoin d’améliorer leur système de management de la conformité, beaucoup plus que les 32 % de 2023. Cette inquiétude croissante traduit la complexité et la rigueur des exigences réglementaires.
Les préoccupations majeures des organisations en la matière sont le RGPD et les lois sur la protection des données propres à chaque État américain, 41 % des personnes interrogées les citant dans leur top 2 des priorités. Cela concorde avec les priorités régionales ; un pourcentage plus élevé de la région EMEA met l’accent sur la conformité avec le RGPD, tandis que les organisations américaines se concentrent davantage sur les lois étatiques en matière de protection de la vie privée. Les responsables gestion des risques ont cité le RGPD comme étant leur principal objectif (52 %). Les responsables IT, en revanche, ont cité les lois sur la confidentialité des données des États américains (52 %).
La préparation des rapports d’audit requiert toujours autant de temps. Environ 34 % des organisations déclarent devoir générer des journaux d’audit plus de huit fois par mois pour répondre à des demandes internes et externes. Cette tâche mobilise des ressources importantes : 31 % des répondants consacrent plus de 2 000 heures par an à la compilation de ces rapports. Les grandes entreprises subissent encore plus cette tâche, avec 32 % des plus de 30 000 salariés y consacrant plus de 2 500 heures par an.
Des problèmes de non-conformité majeurs persistent dans divers secteurs d’activité. Par exemple, seulement 38 % des entreprises de sécurité et de défense considèrent la conformité CMMC comme une priorité, alors que la CMMC 2.0 entre en vigueur très prochainement. Les organisations qui ne respecteraient pas ces normes pourraient perdre leurs contrats avec le ministère de la Défense. Ces lacunes soulignent le besoin urgent d’investir dans des stratégies payantes de mise en conformité, d’autant plus que les exigences réglementaires et les risques associés évoluent sans cesse.
Les efforts de classification des données et d’évaluation des risques
Les entreprises ont toujours des difficultés à classer les données et à évaluer les risques associés. Plus de la moitié des entreprises (51 %) indiquent que moins de 50 % de leurs données non structurées sont étiquetées et classées. Ce retard pose des risques importants, car les données non structurées contiennent souvent des informations sensibles.
En outre, 40 % des organisations indiquent que 60 % ou plus de leurs données non structurées doivent être étiquetées et classées. Ce constat montre que les entreprises prennent conscience de l’importance des pratiques de gestion des données pour atténuer les risques. Les types de données les plus exposés d’après les répondants sont les documents financiers (55 %), la propriété intellectuelle (44 %) et les échanges juridiques (4 %). Ces types de données sont souvent la cible de cyberattaques et nécessitent des mesures de protection renforcées.
Les risques sont aussi propres à chaque secteur. Les entreprises du secteur de l’énergie et des services publics sont particulièrement préoccupées par l’intégration de l’IA générative (GenAI), 50 % d’entre elles estimant qu’il s’agit d’un risque important. Les établissements d’enseignement supérieur se concentrent sur la protection des informations personnelles identifiables (PII), 50 % les citant en premier. Pour la santé, 58 % des organisations priorisent la protection des informations médicales protégées (PHI).
En ce qui concerne les types de données les plus exposées, les responsables IT et gestion des risques placent les documents financiers (56 % et 61 % respectivement) en tête de liste. Les responsables cybersécurité, en revanche, ont placé la propriété intellectuelle en premier (51 %), suivie par les documents financiers (46 %).
Ces résultats montrent encore une fois qu’il va falloir améliorer les efforts de classification des données et adopter des stratégies adaptées pour répondre aux défis uniques de leurs secteurs d’activité respectifs.
Pistes de travail concrètes issues du rapport Kiteworks
Le rapport Kiteworks 2024 souligne le besoin urgent pour les organisations de corriger les lacunes en matière de sécurité et de conformité des communications de contenus sensibles. Les menaces évoluent, les entreprises doivent s’adapter avec des stratégies solides pour protéger leurs informations sensibles.
Patrick Spencer, VP of Corporate Marketing and Research chez Kiteworks, souligne l’importance de la confidentialité et de la conformité des communications de contenu sensible : “« Le rapport 2024 révèle des lacunes critiques dans la manière dont les entreprises gèrent et sécurisent leurs données sensibles. Alors que de plus en plus d’organisations subissent des violations de données et s’efforcent de se conformer aux réglementations en vigueur, prendre des mesures proactives leur permettrait de renforcer les stratégies de communication sensibles. Les conclusions du rapport insistent sur l’intérêt d’adopter des solutions complètes qui intègrent des fonctionnalités de gestion des droits numériques (DRM) dernière génération. En gardant le contrôle sur les contenus sensibles, même après leur diffusion à l’extérieur, les entreprises atténueront davantage les risques et garantiront la confidentialité et la conformité de leurs informations les plus précieuses.”
Avec son réseau de contenu privé, Kiteworks répond à ces difficultés en gérant les communications de contenu sensible. La solution intègre le chiffrement, le partage sécurisé des fichiers et des outils de gestion de la conformité via une plateforme unique qui garantit la sécurité et l’efficacité opérationnelle.
SafeEDIT et SafeVIEW ont récemment été ajoutés à la plateforme, outils de DRM dernière génération qui renforcent encore la protection des contenus sensibles. SafeEDIT permet d’éditer et de collaborer en toute sécurité sur des documents sensibles, de les suivre et de les contrôler. SafeVIEW fournit un environnement sécurisé pour visualiser le contenu sensible, empêchant la copie, l’impression ou le partage non autorisés.
Pour connaître toutes les conclusions du rapport 2024, vous pouvez le télécharger à https://www.kiteworks.com/sensitive-content-communications-report/.
Pour écouter les commentaires des spécialistes sur le rapport, regardez ou écoutez l’épisode de Kitecast à l’adresse suivante : https://www.kiteworks.com/kitecast/kiteworks-2024-survey-report-expert-panel-on-data-privacy-and-security/.
PR/Media Contact
David Schutzman
Schutzman Public Relations
david@schutzmanpr.com