Les entreprises britanniques attendaient en moyenne trois semaines avant de révéler une fuite de données

11/03/19 à 13:25 - Mise à jour à 13:25

Source: Datanews

Avant l'entrée en vigueur du GDPR européen, les entreprises britanniques mettaient en moyenne trois semaines avant d'annoncer une fuite de données. Voilà ce qui ressort des informations publiées par le contrôleur britannique en la matière.

Les entreprises britanniques attendaient en moyenne trois semaines avant de révéler une fuite de données

© iStock

Jusqu'à l'année dernière, les entreprises britanniques patientaient en moyenne trois semaines entre le moment de la découverte d'une fuite de données et celui où elles en faisaient rapport aux autorités compétentes. Il est singulier de constater que nombre d'entreprises attendaient la fin de la semaine pour dévoiler publiquement une fuite. C'est pourtant ce qui apparaît à l'analyse des 181 rapports de fuites de données qui ont été sollicités par l'entreprise de sécurité Redscan auprès de l'Information Commisioner's Office britannique (le contrôleur des données en Grande-Bretagne). Tous les rapports dataient d'avant le 5 avril 2018 et avaient donc été remis avant que la réglementation européenne sur le respect de la vie privée n'entre en vigueur. En vertu du GDPR, une entreprise doit signaler une fuite de données dans les 72 heures suivant sa découverte.

Dans l'incertitude

De ces rapports, il ressort notamment que les entreprises attendaient en moyenne une soixantaine de jours, avant de révéler une fuite. L'une d'elles est même restée 1.320 jours dans l'incertitude, alors que quatorze autres n'ont fait état d'une intrusion dans leurs systèmes qu'au bout de cent jours. Selon Redscan, beaucoup d'entreprises ne sont pas équipées pour leur permettre de déceler une fuite de données, et le problème ne fait que s'aggraver à présent que les règles de notification sont devenues plus strictes.

Dans l'ensemble, les institutions financières et juridiques semblèrent faire mieux que les autres. En moyenne, celles-ci révélèrent une fuite respectivement 16 et 20 jours après sa découverte. La moyenne générale était de 21 jours. Il y eut bien une exception, qui patienta 147 jours avant de notifier l'information. La plupart des rapports (91 pour cent) n'étaient pas complets et ne contenaient aucun renseignement crucial tel que l'impact de la fuite.

Une constatation étonnante à la lecture des rapports: nombre d'entreprises attendaient la fin de la semaine pour dévoiler une fuite. Selon Redscan, il pourrait s'agir là d'une tentative d'éviter un scandale PR ou à tout le moins d'en réduire l'importance.

Ces rapports proviennent de l'Information Commisioner's Office et ont été sollicités au nom de la liberté d'information.