Pas sur…
Toujours plus ! De nouvelles réglementations voient le jour, avec pour but d’établir des processus et des cadres de sécurité élémentaire pour renforcer la cyber-hygiène des infrastructures essentielles dans l’ensemble des secteurs. C’est le cas de NIS 2.
Mais ces nouvelles réglementations seront-elles suffisantes pour inciter les entreprises concernées à agir sans tarder ? Quelles sont les positions des entreprises concernées ?
La dernière étude menée par Zscaler sur la conformité des entreprises européennes à la directive NIS2 se montre optimiste.
Les quelque 900 responsables informatiques au sein d’entreprises de plus de 500 salariés dans une poignée de pays européens (dont la France) semblent convaincus.
Mais cette étude note le retard considérable à combler dans les mois qui restent avant que la directive ne soit transposée en lois nationales à travers l’Europe…
Rôle majeur des réglementations
Selon eux, leur entreprise sera en mesure de respecter la directive NIS2 avant la date butoir du 17 octobre prochain. Les quatre cinquièmes (80 %) des personnes interrogées sont de cet avis. 14 % des responsables interrogés affirment même avoir déjà rempli leurs obligations il y a déjà plusieurs mois, donc avant la date limite.Les équipes IT ne sont pas les seules à accorder de l’importance aux réglementations. Elles ont le soutien des équipes dirigeantes, conscientes du rôle majeur de ces réglementations dans le succès de leur cybersécurité.
Mais il y a — semble-t-il — un gap entre ces déclarations et la réalité ! Si les responsables informatiques ont la certitude que leur entreprise sera conforme dans les délais impartis, cette étude démontre pourtant que cette confiance repose sur des bases fragiles.
Seule la moitié des personnes interrogées (53 %) estime que leurs équipes maîtrisent parfaitement les exigences liées à la conformité à NIS2.
Ce chiffre n’atteint que 49 % quand on leur demande s’ils ont le sentiment que les dirigeants ont réellement compris ces exigences.
Décalage
Or, ne pas bien comprendre le contenu de la directive pourrait conduire les entreprises à passer à côté d’éléments essentiels concernant NIS2. Elles se retrouveraient à se démener en dernière minute pour se conformer aux exigences et éviter les lourdes amendes qui en découleraient.Le rapport a également révélé un décalage entre la présentation de la directive et la compréhension qu’en ont les responsables informatiques.
NIS 2 se présente comme une directive destinée à renforcer la sécurité globale et comme une extension du cadre NIS en vigueur. Mais près des deux tiers des personnes interrogées (62 %) estiment qu’elle représente une nette inflexion par rapport à leur stratégie actuelle.
Ces chiffres indiquent que de nombreuses entreprises n’ont pas su anticiper l’évolution des solutions technologiques et se sont contentées de maintenir le strict minimum en matière de sécurité aussi longtemps qu’elles l’ont pu.
Cette hypothèse est corroborée par le fait que seul un tiers (32 %) des responsables informatiques considèrent leur « cyber hygiène » actuelle comme excellente, tandis que deux cinquièmes déclarent que leur entreprise n’a pas encore adopté une architecture Zero Trust dans son approche de la cybersécurité.
Les responsables informatiques ont identifié trois domaines spécifiques nécessitant des changements majeurs pour se conformer aux nouvelles exigences : l’actualisation de leur pile technologique ou de leurs solutions de cybersécurité et la sensibilisation des collaborateurs et de la Direction. La directive comporte également trois aspects posant véritablement problème aux personnes interrogées : la sécurité des réseaux et des systèmes d’information (31 %), les règles de base de la cyber hygiène et la sensibilisation (30 %), ainsi que les politiques et procédures relatives à l’efficacité des mesures de gestion des risques en matière de cybersécurité (29 %).
En conclusion, les directives gouvernementales telles que NIS 2 obligent donc les entreprises à revoir leurs processus de sécurité actuels et, si nécessaire, à les faire évoluer vers un niveau de protection considéré aujourd’hui comme la couche de base.
