En matière de cybersécurité, le « prochain arrêt » pour les fournisseurs et les entreprises est la conformité aux exigences de la nouvelle règlementation NIS2. Cette directive représente un pas important vers une meilleure sécurisation des infrastructures critiques en Europe. Bien que cela impose des obligations et des coûts supplémentaires, les entreprises doivent se préparer dès maintenant pour être prêtes avant la date limite, fixée au 18 octobre 2024.
D'ici là, tous les États membres de l'Union européenne doivent avoir transposé les exigences de la directive NIS2 dans leur législation nationale. Les entités concernées doivent avoir mis en place les mesures nécessaires pour se conformer aux nouvelles normes.
Zscaler vient de publier une étude sur la préparation, ou l’impréparation, des entreprises et leur perception de là où elles se situent par rapport aux échéances de NIS 2. Celle-ci met en évidence l'écart entre la confiance des entreprises européennes à se conformer à la directive avant la date limite du 17 octobre et leur capacité à comprendre les exigences requises. L’étude repose sur les retours de plus de 875 responsables informatiques sur six marchés européens.
Les RSSI doivent sensibiliser les parties prenantes
Selon ses conclusions, si une majorité (80 %) des sondés est convaincue que leur entreprise respectera les exigences de conformité avant la date limite, seuls 14 % affirment s’être déjà mis en conformité. Par ailleurs, un peu plus de la moitié des responsables informatiques (53 %) estiment que leurs équipes comprennent parfaitement les exigences, cependant ils sont légèrement moins nombreux (49 %) à penser que la direction en saisit tout le sens.Un écart qui met en évidence le besoin de sensibilisation. Les RSSI doivent ainsi prendre leur bâton de pèlerins pour sensibiliser toutes les parties prenantes concernées, afin de garantir la compréhension, et éventuellement l’appropriation, avant la date fatidique. Cela va du conseil d'administration aux responsables de départements et aux salariés de l'entreprise.
Les rédacteurs de l’étude, constatant l’écart entre la confiance affichée et “l’état d’avancement des travaux” dans les entreprises, se posent, à juste titre, la question de savoir si les entreprises comprennent les implications de la directive. « Il existe un décalage entre la confiance affichée par les responsables quant au respect de la directive dans les délais et leur compréhension réelle de son contenu, affirment-ils. Cela met en lumière les frictions entre leur discours sur la directive NIS 2 et les véritables actions mises en œuvre pour y parvenir ». En somme, cette confiance relève soit de la méthode Coué, soit elle est le résultat d’un optimisme mal informé.
L’IT ne reçoit pas le soutien nécessaire de la part de la direction
En analysant les chiffres, le décalage apparaît encore plus évident. Les personnes interrogées indiquent que les responsables informatiques reconnaissent l'importance croissante de la réglementation NIS 2. Un tiers (32 %) déclarent qu'elle est une priorité absolue pour leurs dirigeants, et 52 % assurent qu'elle prend de plus en plus d’importance.Mais cette priorité ne semble pas se traduire par un soutien approprié, celui dont ont besoin les équipes informatiques, qui portent tout le poids de la mise en conformité sur leurs épaules. Ainsi, la plupart des responsables informatiques (56 %) estiment que leurs équipes ne reçoivent pas le soutien nécessaire de leur direction pour respecter l'échéance de mise en conformité.
Ce décalage entre le volontarisme des responsables cyber et l’inaction de leur direction peut s’expliquer par la précédente expérience d’évolution règlementaire, le RGPD. Les dirigeants d’entreprise comptent sans doute sur l’indulgence des autorités de régulation, comme cela a été le cas lors de l’entrée en vigueur du RGPD.
Ils espèrent bénéficier d’une période de transition. Pour rappel, les entreprises ont bénéficié d'une période de transition de deux ans pour se conformer au RGPD. Il est fort possible que les législateurs adoptent une approche similaire pour NIS 2, mais cela n'est pas confirmé à ce stade.
Brûler les étapes pour rattraper le retard
Comme l’explique Olivier Godin, SRVP Ventes chez Zscaler France, « Bien qu'il règne une certaine confiance dans la capacité des entreprises à se mettre en conformité avec NIS 2, avant la date limite qui approche à grands pas, notre étude démontre que cette confiance repose peut-être sur des bases relativement fragiles. Si elles ne sont pas vigilantes, de nombreuses entreprises pourraient se retrouver à brûler les étapes et négliger ainsi d'autres processus de cybersécurité ». Cette éventualité est admise par 60 % des responsables informatiques, selon l’étude.Même si la directive NIS 2 repose sur le cadre NIS 1, en vigueur actuellement, 62 % des personnes interrogées estiment qu'elle diffère largement. Pour respecter la directive, les responsables informatiques ont une idée assez précise des chantiers qui les attendent. Ils reconnaissent devoir apporter des modifications significatives à leur pile technologique et à leurs solutions de cybersécurité (34 %), à la sensibilisation des collaborateurs (20 %) et des dirigeants (17 %).
Parmi les parties de la directive le plus souvent citées comme problématiques, la sécurité dans l'acquisition, le développement et la maintenance des réseaux et des systèmes d'information (31 %) est citée en premier. Viennent ensuite les pratiques de base en matière de cyberhygiène et de sensibilisation à la cybersécurité (30 %), puis les politiques et des procédures relatives à des mesures efficaces de gestion des risques de
cybersécurité (29 %).
Les systèmes hérités peuvent poser des problèmes
Outre l’écart mis en évidence par l’étude, celle-ci pointe un autre problème : les systèmes hérités peuvent poser des problèmes par leur impréparation à passer à l’étape suivante. « Bien que la directive se présente comme un ensemble d'exigences fondamentales en matière de cybersécurité, l’étude révèle que de nombreuses entreprises européennes ne sont pas aussi avancées qu'elles le devraient en matière de normes de cybersécurité », écrivent les rédacteurs de l’étude.Ainsi, moins d’un tiers (31 %) des répondants considèrent leur niveau actuel de cyberhygiène comme « excellent ». Parmi les secteurs les moins préparés, l’étude note que seuls 14 % des responsables informatiques du monde des transports et 21 % du secteur de l'énergie déclarent avoir atteint ce niveau d'excellence. Des chiffres indiquant que trop peu d'entreprises dans certains secteurs d'infrastructures essentielles ont respecté les contrôles de sécurité au cours des dernières années.
La conformité avec NIS 2 pourrait constituer une marche trop haute pour ces entreprises. Elles pourraient batailler pour mettre en place des mesures techniques, opérationnelles et organisationnelles pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information.