Cybersécurité : 23% des décideurs informatiques n'ont jamais entendu parler de NIS 2

Le niveau de connaissances des réglementations en matière de cybersécurité n'est pas très bon parmi les décideurs informatiques des entreprises françaises. Près d'un tiers (23%) ont ainsi déclaré n'avoir jamais entendu parler de NIS 2, une directive européenne ayant pour objectif de renforcer les capacités de lutte contre les cyberattaques des entités publiques et privées. C'est le constat qui ressort d'une étude commandée par l'entreprise américaine Okta, spécialisée dans la gestion des identités et des accès. 

Dans ce cadre, ce sont 500 décideurs informatiques impliqués dans la sécurité informatique qui ont été interrogés en ligne durant le mois de septembre 2024. Les résultats ont été compilés dans une enquête publiée ce 9 octobre, baptisée "Etat de la maturité et des investissements cyber en France". 

Un manque de préparation aux réglementations 

Parmi les principales conclusions, l'étude note le manque de connaissances et de préparation à la mise en conformité sur la réglementation qui traite des sujets liés à la cybersécurité. "Un point qui peut être considéré comme préoccupant au regard des échéances déjà dépassées pour la mise en conformité (RGPD, DORA, Cybersecurity Act) ou arrivant rapidement à échéance tel que NIS 2". Sur ce dernier point, 24% des personnes interrogées déclarent ne connaître NIS 2 que de nom.

Egalement, 24% des répondants se déclarent réellement prêtes et 45% investissent actuellement pour se mettre en conformité. A noter que les Etats membres ont jusqu'en octobre 2024 pour transposer la directive dans leur législation nationale mais certaines exigences seront soumises à un délai de mise en conformité

NIS 2, un pilier pour le renforcement des capacités face aux attaques

Pour rappel, NIS 2 a pour objectif de renforcer les capacités de protection face aux menaces cyber en élargissant le périmètre d'application de la directive NIS 1 du 6 juillet 2016. Alors que le texte initial concernait près de 300 entités, NIS 2 couvre plus de 10 000 entités sur 18 secteurs d'activités, tels que les administrations publiques, l'eau, l'espace, l'énergie, les marchés financiers, la santé... Elles sont réparties en deux groupes - les entités essentielles et les entités importantes - selon leur degré de criticité, leur taille et leur chiffre d'affaires (pour les entreprises).

Le manque de connaissances et de préparation ne se limite malheureusement pas à NIS 2. En effet, 26% affirment ne pas connaître du tout les principes du règlement DORA (Digital Operational Resilience Act) et 26% déclarent ne le connaître que sous l'aspect des services financiers. Ce n'est pas plus glorieux du côté du RGPD où seulement 48% des décideurs disent maîtriser ce texte qui, pour rappel, est entré en vigueur en mai 2018. 

La pénurie de talents citée comme principal frein

Pour comprendre cette situation, l'étude s'est penchée sur les freins. On trouve la méconnaissance des questions réglementaires dans 33% des cas, combinée à un manque de ressources humaines (33%). Sans grande surprise, c'est aussi une question budgétaire : les entreprises françaises investissent en moyenne 38% de leur budget informatique annuel dans les ressources de sécurité. Ce sont les PME et ETI qui investissent le plus dans leur sécurité : + 5 points dans le segment 250-499 salariés par rapport au segment 3000-9999 salariés. 

L'étude s'étonne de cette "stagnation de l'investissement" alors que les attaques deviennent de plus en plus sophistiquées. Les ransomwares sont cités comme étant la principale menace par 30% des répondants. Concernant les protections contre ces incidents, les antivirus et les pares-feux sont la priorité pour 24% des répondants, suivie par les solutions de sauvegarde (17%).