La directive NIS2 vise à améliorer la cybersécurité de manière large, complète et holistique dans l'ensemble de l'UE. Mais, à un an de son entrée en vigueur, les deux tiers des entreprises européennes n’ont pas encore pris de mesures.

Avant que le RGPD ne devienne exécutoire, de nombreuses entreprises n’avait pas entamé de processus clés comme la cartographie de leurs données ou la nomination d’un DPO. La même situation se reproduit-elle avec NIS2, la directive actualisée de l'Union européenne sur la sécurité des réseaux et de l'information ?

Il semble que oui, selon une étude menée auprès de 1 500 responsables IT en France, au Royaume-Uni et en Allemagne. Effectuée pour le compte de SailPoint, spécialisé dans la sécurité des identités, elle constate que seuls un tiers des organisations en France, au Royaume-Uni et en Allemagne ont terminé les préparatifs.  

Amendes

Rappelons que par rapport au NIS (introduit en 2018), cette nouvelle directive aura un impact sur un plus grand nombre d'organisations dans un plus grand nombre de secteurs et s'étendra aux entités du marché intermédiaire.

Si les organisations françaises sont un peu mieux préparées que leurs voisines européennes, 70 % d’entre elles n'ont toutefois pas encore entièrement répondu aux cinq exigences clés de la conformité.

Avec des amendes pour non-conformité pouvant atteindre 10 millions d'euros, voire 2 % du revenu annuel global d'une organisation, la prise des mesures nécessaires pour se conformer à la directive devrait pourtant être une priorité pour les entreprises.

Or cette enquête souligne que près des trois quarts des entreprises françaises concernées (74 %) doivent encore sécuriser correctement leurs chaînes d'approvisionnement.  

Sécuriser les chaînes d'approvisionnement

La même proportion (71 %) doit également ajouter de nouvelles mesures de gestion des risques et mettre en place une sécurité des ressources humaines, tandis que 70 % doivent évaluer l'efficacité des mesures cybernétiques existantes.

Enfin, près des deux tiers doivent encore former leur personnel à la cybersécurité (68 %). Or, les entreprises ne peuvent pas se permettre de se reposer sur leurs lauriers : sur ces cinq étapes, les personnes interrogées estiment qu'il faudra en moyenne cinq mois pour toutes les franchir.

Point majeur, la chaîne d'approvisionnement étendue est souvent reléguée au second plan, alors que c’est bien souvent là qu’apparaissent les menaces. Il est donc important pour les entreprises de s'assurer que l’ensemble de leur écosystème est réellement protégé.

Les organisations doivent tirer des leçons du RGPD et utiliser judicieusement les douze prochains mois pour s'assurer que la cyberrésilience est au cœur de leurs modèles d'entreprise. Déployer la bonne technologie est à cet égard essentiel, notamment grâce à des initiatives de sécurité pilotées par l'IA.