Directive NIS2 : A un an de son entrée en vigueur, les deux tiersdes entreprises européennes n’ont pas encore pris de mesures,selon la dernière étude de SailPoint

  • Seul un tiers des entreprises françaises, britanniques et allemandes ont achevé les préparatifs relatifs au NIS2 à un an de sa mise en application.
  • Si les organisations françaises sont un peu mieux préparées que leurs voisines européennes, 70 % d’entre elles n’ont toutefois pas encore entièrement répondu aux cinq exigences clés de la conformité.

Paris, France – 25 octobre 2023 – Seulement un tiers (34 %) des organisations en France, au Royaume-Uni et en Allemagne ont terminé les préparatifs pour la directive actualisée de l’Union européenne sur la sécurité des réseaux et de l’information (NIS2), à douze mois de son échéance législative. C’est ce que révèle la nouvelle étude de SailPoint, un leader en matière de sécurité des identités en entreprise. Avec des amendes pour non-conformité pouvant atteindre 10 millions d’euros, voire 2 % du revenu annuel global d’une organisation, la prise des mesures nécessaires pour se conformer à la directive doit être une priorité pour les entreprises.

L’étude, menée auprès de 1 500 responsables IT, a révélé que les organisations ont encore beaucoup de pain sur la planche, alors que l’horloge tourne. Les organisations françaises sont certes mieux préparées comparées aux allemandes et aux anglaises, néanmoins, près des trois quarts d’entre elles (74 %) doivent encore sécuriser correctement leurs chaînes d’approvisionnement, 71 % doivent également ajouter de nouvelles mesures de gestion des risques et mettre en place une sécurité des ressources humaines, tandis que 70 % doivent évaluer l’efficacité des mesures cybernétiques existantes. Enfin, près des deux-tiers doivent encore former leur personnel à la cybersécurité (68 %). Or, les entreprises ne peuvent pas se permettre de se reposer sur leurs lauriers : sur ces cinq étapes, les personnes interrogées estiment qu’il faudra en moyenne cinq mois pour toutes les franchir.

La directive NIS2 intervient à un moment où les organisations de toutes tailles sont confrontées à un nombre croissant de cybermenaces, et vise donc à améliorer la cybersécurité de manière large, complète et holistique dans l’ensemble de l’UE.

Stephen Bradford, Senior Vice President EMEA chez SailPoint, déclare : « À un an de
l’échéance, les entreprises doivent mettre le pied à l’étrier en ce qui concerne la conformité à la directive NIS2 et prendre les devants dans leur plan de cyber-résilience. Le paysage des menaces a progressé tant en volume qu’en sophistication au cours des dernières années. Cela signifie que les enjeux n’ont jamais été aussi élevés. Les temps d’immobilisation opérationnels, les atteintes à la réputation, la perte de clients et la restauration des systèmes qui suivent toute violation peuvent constituer un véritable cassetête pour les entreprises. »

Il ajoute : « Les organisations doivent tirer des leçons du RGPD et utiliser judicieusement les douze prochains mois pour s’assurer que la cyber-résilience est au coeur de leurs modèles d’entreprise. La chaîne d’approvisionnement étendue est souvent reléguée au second plan, alors que c’est bien souvent là qu’apparaissent les menaces. Il est donc important pour les entreprises de s’assurer que l’ensemble de leur écosystème est réellement protégé. Déployer la bonne technologie est à cet égard essentiel, notamment grâce à des initiatives de sécurité pilotées par l’IA. Elles aident à identifier les risques et à déclencher des réponses plus rapides et plus percutantes. Ce type de défense doit être un élément clé de la stratégie de gestion des risques de cybersécurité de chaque organisation et peut donner aux entreprises le coup de pouce nécessaire pour se conformer pleinement à la NIS2. »

Notes aux rédacteurs
Méthodologie de l’étude :
Cette étude a été réalisée par Censuswide en octobre 2023 pour le compte de SailPoint. 1500 décideurs informatiques en France, au Royaume-Uni et en Allemagne ont été interrogés dans des secteurs critiques, au sein d’entreprises comptant 250 employés ou plus et réalisant un chiffre d’affaires de 10 millions d’euros ou plus, ce qui correspond aux entreprises qui seront touchées par le NIS2.

L’enquête a été menée pour comprendre le degré de préparation et de sensibilisation des entreprises au NIS2, un an avant la date limite de la norme (17 octobre 2024), date à laquelle les États membres de l’UE sont tenus d’intégrer cette nouvelle loi dans leur législation nationale.

Les secteurs étudiés sont les suivants : énergie, transport, banque et finance, santé, services publics, infrastructure informatique, gestion des services TIC, gouvernement, aérospatial, services postaux et de courrier, gestion des déchets, industrie manufacturière, fournisseurs de services numériques, agroalimentaire, organismes de recherche.

À propos de la directive NIS2
La directive actualisée de l’UE sur la sécurité des réseaux et de l’information (NIS2) vise toutes les entités publiques et privées opérant dans l’UE qui sont essentielles à l’économie et à la société. La norme NIS2 s’efforce d’apporter une amélioration large, complète et holistique de la cybersécurité dans l’ensemble de l’UE :

  • Par rapport au NIS (introduit en 2018), le NIS2 aura un impact sur un plus grand nombre d’organisations dans un plus grand nombre de secteurs et s’étendra aux entités du marché intermédiaire.
  • Les cadres supérieurs peuvent être tenus pour responsables des infractions.

Pour s’assurer que les dirigeants prennent leurs responsabilités au sérieux, la directive NIS2 prévoit qu’ils peuvent être tenus personnellement responsables si leur organisation ne respecte pas ses obligations.

###

À propos de SailPoint
SailPoint est un des leaders de la sécurité des identités. La protection des entreprises commence et se termine par les identités et leurs accès, mais la façon de gérer et de sécuriser les identités aujourd’hui a largement dépassé les capacités humaines. Grâce à l’intelligence artificielle et au Machine Learning, la plateforme de sécurité des identités de SailPoint fournit toujours le bon niveau d’accès aux bonnes identités et aux bonnes ressources au bon moment, en s’adaptant à la taille, à la rapidité et à l’environnement de chaque entreprise orientée cloud. Nos solutions intelligentes, autonomes et intégrées placent la sécurité des identités au coeur des opérations business, permettant ainsi aux organisations les plus complexes de construire un socle de sécurité capable de les défendre contre les menaces actuelles les plus pressantes.

Contacts presse
Agence TEAM LEWIS
Romain Michaud / Laure Rousselin
[email protected]
06 17 98 29 88 / 06 71 17 94 98