Directive NIS2, retard à l’allumage
70 % des entreprises n’ont pas encore entièrement répondu aux cinq exigences clés de la conformité NIS2, constate SailPoint, alors que l’échéance se rapproche.
Seulement un tiers (34 %) des organisations en France, au Royaume-Uni et en Allemagne ont terminé les préparatifs pour la directive NIS2 sur la sécurité des réseaux et de l’information à douze mois de son échéance législative. C’est ce que révèle la dernière étude de SailPoint. Avec des amendes pour non-conformité pouvant atteindre 10 millions EUR, voire 2 % du revenu annuel global d’une organisation, la prise des mesures nécessaires pour se conformer à la directive devrait être une priorité pour les entreprises…
Cette étude, menée auprès de 1 500 responsables IT, a, en effet, révélé que les organisations ont encore beaucoup de pain sur la planche, alors que l’horloge tourne. Les organisations françaises sont certes mieux préparées comparées aux allemandes et aux anglaises, néanmoins, près des trois quarts d’entre elles (74 %) doivent encore sécuriser correctement leurs chaînes d’approvisionnement, 71 % doivent également ajouter de nouvelles mesures de gestion des risques et mettre en place une sécurité des ressources humaines, tandis que 70 % doivent évaluer l’efficacité des mesures cybernétiques existantes. Enfin, près des deux-tiers doivent encore former leur personnel à la cybersécurité (68 %). Or, les entreprises ne peuvent pas se permettre de se reposer sur leurs lauriers : sur ces cinq étapes, les personnes interrogées estiment qu’il faudra en moyenne cinq mois pour toutes les franchir.
NIS2 dans un contexte délicat…
La directive NIS2 intervient à un moment où les organisations de toutes tailles sont confrontées à un nombre croissant de cybermenaces, et vise donc à améliorer la cybersécurité de manière large, complète et holistique dans l’ensemble de l’UE.
À un an de l’échéance, les entreprises doivent prendre les devants dans leur plan de cyber-résilience, indique Stephen Bradford, Senior Vice President EMEA chez SailPoint. « Le paysage des menaces a progressé tant en volume qu’en sophistication au cours des dernières années. Cela signifie que les enjeux n’ont jamais été aussi élevés. Les temps d’immobilisation opérationnels, les atteintes à la réputation, la perte de clients et la restauration des systèmes qui suivent toute violation peuvent constituer un véritable casse-tête pour les entreprises. »
Se faire aider par l’IA
Les organisations doivent tirer des leçons du GDPR et utiliser judicieusement les douze prochains mois pour s’assurer que la cyber-résilience est au cœur de leurs modèles d’entreprise. La chaîne d’approvisionnement étendue est souvent reléguée au second plan, alors que c’est bien souvent là qu’apparaissent les menaces. Il est donc important pour les entreprises de s’assurer que l’ensemble de leur écosystème est réellement protégé.
Déployer la bonne technologie est à cet égard essentiel, notamment grâce à des initiatives de sécurité pilotées par l’IA, propose encore Stephen Bradford. « L’IA aide à identifier les risques et à déclencher des réponses plus rapides et plus percutantes. Ce type de défense doit être un élément clé de la stratégie de gestion des risques de cybersécurité de chaque organisation et peut donner aux entreprises le coup de pouce nécessaire pour se conformer pleinement à la NIS2… »
