Selon une enquête menée par Veeam, 90 % des entreprises de la région EMEA ont été confrontées à des incidents de cybersécurité que la conformité à la directive NIS2 aurait pu prévenir
septembre 2024 par Veeam Software
À l’approche de la date d’entrée en vigueur de la directive 2022/2555 relative à la sécurité des réseaux et de l’information (NIS2), les entreprises éprouvent des sentiments mitigés. NIS2, cette règlementation qui vise à renforcer la cybersécurité dans l’ensemble des pays de l’Union européenne en élargissant le champ d’application et en augmentant la rigueur des exigences de sécurité, entrera en vigueur le 18 octobre 2024, Veeam® Software a dernièrement collaboré avec Censuswide pour la réalisation d’une enquête sur ce sujet. Les résultats révèlent que seulement 43 % des décideurs informatiques de la région EMEA estiment que cette règlementation améliorera de manière significative le niveau de cybersécurité au sein de l’UE et ce, bien qu’une écrasante majorité des personnes interrogées (90 %) ont signalé au moins un incident de sécurité que la directive NIS2 aurait pu permettre d’éviter au cours des douze derniers mois. À cet égard, il est inquiétant de signaler que 44 % des personnes interrogées ont subi plus de trois cyberincidents, dont 65 % ont été qualifiés de « très critiques ».
Les résultats de cette enquête, qui a été menée auprès de plus de 500 décideurs informatiques et de sécurité informatique exerçant en Allemagne, en Belgique, en France, aux Pays-Bas et au Royaume-Uni, révèlent cette situation moins d’un mois avant l’entrée en vigueur de la directive, à savoir le 18 octobre. Si près de 80 % des entreprises se disent confiantes quant à leur capacité à se conformer à la directive NIS2, près des deux tiers déclarent ne pas être en mesure de respecter cette échéance imminente.
Obstacles à la mise en conformité à la directive NIS2
Pour être conformes à la directive NIS2, les entreprises doivent mettre en œuvre des mesures essentielles, telles que la définition de plans de réponse aux incidents, la sécurisation de la chaîne d’approvisionnement, l’évaluation des vulnérabilités et des niveaux de sécurité globaux. Cela concerne toutes les succursales et filiales, les partenaires et les membres de la chaîne logistique. Or, plusieurs obstacles à la mise en conformité subsistent. Parmi les principaux défis évoqués par les décideurs informatiques figurent la dette technique (24 %), le manque de compréhension de la part des dirigeants (23 %) et l’insuffisance des budgets et des investissements (21 %). Il convient de souligner que 40 % des personnes interrogées ont signalé une diminution des budgets IT depuis que l’accord politique pour NIS2 a été proclamé en janvier 2023, malgré le risque de fortes sanctions comparables aux pénalités prévues dans le cadre du règlement général sur la protection des données (RGPD), la législation phare de l’UE en matière de confidentialité des données. 63 % des personnes interrogées considèrent le RGPD comme strict, et 62 % expriment le même sentiment vis-à-vis de la directive NIS2.
Pressions concurrentielles sur fond de cybermenaces
La lenteur de l’adoption de la directive NIS2 est probablement liée à la multitude de pressions commerciales et de priorités liées à la concurrence auxquelles font face les entreprises. Les personnes interrogées classent la directive NIS2 au plus bas en termes d’urgence, derrière dix autres problématiques telles que le manque de compétences, la rentabilité ou la transformation numérique. Il est inquiétant de constater que 42 % des personnes interrogées qui considèrent que cette directive n’est pas importante pour l’amélioration de la cybersécurité de l’UE attribuent cette situation aux conséquences inappropriées de la non-conformité, qui ont entraîné une apathie généralisée à l’égard de ce nouveau texte.
Autres enseignements clés de l’étude :
• Si 74 % des personnes interrogées considèrent que la directive NIS2 est bénéfique, 57 % doutent que son impact sera significatif sur la posture globale de l’UE en matière de cybersécurité.
• Les personnes sceptiques citent d’autres préoccupations, à savoir le manque d’exhaustivité de la directive NIS2 (35 %), la conviction que la conformité ne garantit en rien la sécurité (34 %) et le doublon avec les règlementations existantes (25 %).
• Parmi les autres obstacles à son adoption, citons le manque d’engagement en faveur de la conformité à la directive (20 %), des délais serrés (19 %), le déficit de compétences en cybersécurité (19 %), la complexité de la directive (19 %) et le cloisonnement organisationnel (19 %).
• Au-delà de leurs approches contradictoires, la plupart des personnes interrogées ont une perception positive de la directive NIS2 dans le contexte des obligations règlementaires de leur entreprise, et se déclarent optimistes (33%), confiantes (32%) et encouragées (27%).
Andre Troskie, EMEA Field CISO de Veeam, a déclaré : « Avec la directive NIS2, la responsabilité de la cybersécurité n’est plus seulement assumée par les équipes IT, mais également par les équipes de direction. Alors que de nombreuses entreprises prennent conscience de son importance, la lutte pour la conformité mise en lumière dans notre étude soulève d’importants problèmes systémiques. La pression combinée des autres priorités métier et de certains défis informatiques peut expliquer le retard dans l’adoption de la directive, mais cela n’enlève rien à l’urgence. Compte tenu de la fréquence et de la gravité croissantes des cybermenaces, nous ne pouvons qu’insister sur les avantages potentiels de la directive NIS2 pour la prévention des incidents critiques et le renforcement de la résilience des données. Les équipes dirigeantes doivent agir rapidement pour combler ces lacunes et assurer la conformité, non seulement pour des raisons de règlementation, mais également pour améliorer concrètement la robustesse des entreprises et la sauvegarde des données critiques. »