La conformité NIS2 : plus qu’une obligation, de bonnes pratiques indispensables
Par Bertrand Lemaire | Le | Gouvernance
L’éditeur Veeam a diffusé une étude mettant en avant les cyber-incidents frappant les entreprises qui auraient pu et dû être évités grâce à la conformité NIS2.
Le 18 octobre 2024, la directive NIS2 entrera en application dans toute l’Union Européenne. Cette directive concernant la cyber-sécurité ayant été publiée au Journal Officiel de l’Union Européenne il y a deux ans, les entreprises concernées (environ 20 000 en France) auraient dû avoir le temps de se préparer et d’être conformes à la date dite. Comme Alain Bouillé, délégué général du CESIN, l’a expliqué dans l’émission Place de la Républik d’octobre 2024, « lorsqu’une réglementation est décidée, c’est que les choses n’étaient pas faites correctement auparavant ». Et, de fait, une enquête menée pour le compte de l’éditeur Veeam confirme ce jugement. « 90 % des entreprises de la région EMEA ont été confrontées à des incidents de cybersécurité que la conformité à la directive NIS2 aurait pu prévenir » relève ainsi l’éditeur. Malgré tout, 80 % des répondants estiment que leur entreprise peut être conforme, les deux tiers jugeant tout de même que cela ne se fera pas dans les temps impartis.
NIS2, DORA… amies ou ennemies du RSSI ?
Retrouvez ici l’émission Place de la Républik consacrée à la réglementation face à la cybersécurité.
Seulement 43 % des répondants estiment que cette réglementation améliorera de manière significative le niveau de cybersécurité, 42 % qu’elle n’est pas importante pour cela. 74 % considèrent tout de même que la directive NIS2 est bénéfique même si 57 % doutent que son impact sera significatif sur la cybersécurité. Parmi les causes de scepticisme les principales sont : le manque d’exhaustivité de la directive NIS2 (35 %), la conviction que la conformité ne garantit en rien la sécurité (34 %) et le doublon avec les réglementations existantes (25 %).
Pourtant, la conformité NIS2 implique surtout de se conformer à des bonnes pratiques assez basiques : définir des plans de réponse aux incidents, sécuriser la chaîne d’approvisionnement, évaluer les vulnérabilités et les niveaux de sécurité globaux… 44 % des répondants admettent, malgré tout, avoir subi plus de trois cyber-incidents, dont 65 % ont été qualifiés de « très critiques ». La conformité NIS2 n’est pas du tout prioritaire et est même classée dernière d’une liste de problématiques, loin derrière le manque de compétences, la rentabilité ou la transformation numérique. Dans les raisons avancées pour justifier la non-conformité, les répondants listent le manque d’engagement en faveur de la conformité à la directive (20 %), des délais serrés (19 %), le déficit de compétences en cybersécurité (19 %), la complexité de la directive (19 %) et le cloisonnement organisationnel (19 %).
En savoir plus
- La directive NIS2 présentée sur le site de l’ANSSI.
A propos de l’étude
L’étude sur l’implémentation de la conformité NIS2 a été réalisée par le cabinet Censuswide pour le compte de Veeam. Elle est basée sur une enquête menée entre le 29 août et le 2 septembre 2024 auprès de plus de 500 décideurs informatiques opérant en Allemagne, en Belgique, en France, aux Pays-Bas et au Royaume-Uni. Le Royaume-Uni, qui n’est plus membre de l’Union Européenne, a été inclus en raison de ses liens commerciaux importants avec les pays de l’UE. Dans chaque pays, 50 répondants proviennent d’entreprises de taille moyenne (de 50 à 249 employés) et 50 d’entreprises de grande taille (plus de 250 employés) parmi les entreprises soumises à la directive NIS2. Au Royaume-Uni, les répondants sont en relations commerciales avec l’Union Européenne. L’étude est représentative à l’échelle nationale.