Conformité à NIS 2 : les entreprises européennes semblent confiantes malgré un manque de compréhension

• 80 % des responsables informatiques européens sont convaincus que leur entreprise répondra aux exigences de conformité NIS 2 d'ici octobre, mais seuls 53 % estiment que leurs équipes ont parfaitement compris de quoi il s’agissait.
• 32 % considèrent que NIS 2 constitue une priorité absolue pour la direction, mais 56 % déclarent que les équipes informatiques manquent encore du soutien nécessaire pour pouvoir respecter les échéances.
• 31 % des personnes interrogées considèrent que la cyber hygiène actuelle de leur entreprise est « excellente ».

Zscaler, leader de la sécurité du cloud, vient de publier les résultats d’une nouvelle étude portant sur NIS 2. Celle-ci met en évidence l'écart entre la confiance des entreprises européennes à se conformer à la directive avant la date limite du 17 octobre et leur capacité à comprendre les exigences requises. Intitulée NIS 2 & Beyond : Risk, Reward & Regulation Readiness, l’étude recense les retours de plus de 875 responsables informatiques sur six marchés européens. Selon ses conclusions, 80 % des sondés sont convaincus que leur entreprise respectera les exigences de conformité avant la date limite, mais seuls 14 % affirment s’être déjà mis en conformité. Par ailleurs, un peu plus de la moitié des responsables informatiques (53 %) estiment que leurs équipes comprennent parfaitement les exigences mais moins nombreux (49 %) sont ceux à penser que la direction en saisit tout le sens. Les RSSI sont confrontés à un besoin immédiat de sensibiliser toutes les parties prenantes concernées -du Conseil d'Administration aux responsables de départements et aux salariés de l'entreprise- afin de garantir la conformité avant la date d'échéance.

Les dirigeants doivent agir au plus vite

Il existe un décalage entre la confiance affichée par les responsables quant au respect de la directive dans les délais et leur compréhension réelle de son contenu. Cela met en lumière les frictions entre leur discours sur la directive NIS 2 et les véritables actions mises en œuvre pour y parvenir. Les personnes interrogées indiquent que les responsables informatiques reconnaissent l'importance croissante de la réglementation NIS 2. Un tiers (32 %) déclarent qu'elle est une priorité absolue pour leurs dirigeants, et 52 % affirment qu'elle prend de plus en plus d’importance. Mais cette priorité ne semble pas se traduire par le soutien approprié dont ont besoin les équipes informatiques de l'entreprise qui portent tout le poids de la mise en conformité sur leurs épaules. Ainsi, la plupart des responsables informatiques (56 %) estiment que leurs équipes ne reçoivent pas le soutien nécessaire de leur direction pour respecter l'échéance de mise en conformité.

Comme l’explique Olivier Godin, SRVP Sales de Zscaler France, « Bien qu'il règne une certaine confiance dans la capacité des entreprises à se mettre en conformité avec NIS 2 avant la date limite qui approche à grands pas, notre étude démontre que cette confiance repose peut-être sur des bases relativement fragiles. Si elles ne sont pas vigilantes, de nombreuses entreprises pourraient se retrouver à brûler les étapes et négliger ainsi d'autres processus de cybersécurité, une éventualité admise par 60 % des responsables informatiques. Les dirigeants doivent agir dès aujourd’hui et fournir à leurs équipes informatiques le soutien nécessaire pour éviter qu'elles ne passent à côté d'étapes clés dans leur parcours de mise en conformité, ce qui provoquerait alors des conséquences financières plus que sérieuses. »

Légères améliorations ou remaniement en profondeur des cadres ?

Même si la directive NIS 2 repose sur le cadre NIS actuel, 62 % des personnes interrogées estiment qu'elle diffère largement de ce qu'elles appliquent actuellement. Pour respecter la directive, les responsables informatiques doivent apporter des modifications significatives à leur pile technologique et à leurs solutions de cybersécurité (34 %), à la sensibilisation des collaborateurs (20 %) et des dirigeants (17 %). Parmi les parties de la directive le plus souvent citées comme problématiques :

• La sécurité dans l'acquisition, le développement et la maintenance des réseaux et des systèmes d'information (31 %)
• Les pratiques de base en matière de cyber hygiène et de sensibilisation à la cybersécurité (30 %)
• Des politiques et des procédures relatives à des mesures efficaces de gestion des risques de cybersécurité (29 %)

Bien que la directive se présente comme un ensemble d'exigences fondamentales en matière de cybersécurité, l’étude révèle que de nombreuses entreprises européennes ne sont pas aussi avancées qu'elles le devraient en matière de normes de cybersécurité. Seuls 31 % des répondants considèrent en effet leur niveau actuel de cyber hygiène comme « excellent ». Parmi les secteurs les moins performants, on note que seuls 14 % des responsables informatiques du monde des transport et 21 % du secteur de l'énergie déclarent avoir atteint ce niveau d'excellence. Des chiffres indiquant que trop peu d'entreprises dans certains secteurs d'infrastructures essentielles ont respecté les contrôles de sécurité au cours des dernières années, ce qui pourrait poser problèmes lors des contrôles de conformité NIS 2 de cette année.

« Les réglementations seules ne suffiront jamais à garantir une excellente cyber hygiène surtout face à l'ampleur du défi que représente la cybersécurité. », commente James Tucker, Head of CISO chez Zscaler. « 53 % des personnes que nous avons interrogées ont d’ailleurs déclaré que la réglementation NIS 2 n'allait pas assez loin compte tenu des défis auxquels les entreprises sont confrontées. Les réglementations ne doivent pas être perçues comme un problème à résoudre, mais plutôt comme une opportunité d'améliorer la sécurité. Elles doivent être intégrées dans les processus de révision des entreprises plutôt que de constituer une activité distincte pour les équipes informatiques. Les entreprises devraient profiter de cette occasion pour réévaluer leurs piles technologiques et trouver des moyens de simplifier et de suivre leur matériel et leurs logiciels sur une plateforme unique pour réduire la complexité de leur environnement organisationnel. »

Comment aider les entreprises à relever ces défis ?

NIS 2 met l’accent sur la responsabilité des entreprises à garantir la sécurité des réseaux et des systèmes d'information et à promouvoir une culture de gouvernance et une gestion globale des risques. Cellesci doivent mettre en place des mesures techniques, opérationnelles et organisationnelles proactives pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information. Avec sa plateforme Zscaler Zero Trust Exchange™, Zscaler propose une solution de sécurité complète, native au cloud et alimentée par l'IA, permettant aux entreprises de minimiser leur surface d'attaque et de garantir l'efficacité des contrôles de sécurité dans tous leurs programmes de gouvernance et de gestion des risques. Zscaler Zero Trust Exchange™ s’appuie notamment sur :

• Zscaler Internet Access™ et Zscaler Private Access™ qui assurent à la fois la protection contre les menaces, la protection des données et l'application des politiques en contrôlant les flux de trafic et en fournissant des journaux d'événements et d'opérations de sécurité essentiels pour la surveillance et les investigations en matière de sécurité.
• L'atténuation de la surface d'attaque qui garantit que les utilisateurs ne sont jamais présents sur le réseau, que les applications ne sont jamais exposées à Internet et qui permet d'appliquer une politique de contrôle d'accès complet aux applications internes.
• Zscaler Risk360™ qui propose une surveillance continue et une détection des vulnérabilités pour permettre aux entreprises de se prémunir contre les risques de sécurité de manière proactive.

La directive NIS 2 est un instrument législatif qui vise à atteindre un niveau élevé et uniforme de cybersécurité à travers l'Union Européenne. Les États membres doivent s’assurer que les entités de 15 secteurs industriels adoptent des mesures appropriées pour gérer les risques liés à la sécurité des réseaux et des systèmes d'information. Elles doivent également prévenir ou réduire au minimum l'impact des incidents sur les bénéficiaires de leurs services et sur d'autres services connexes.

Méthodologie pour l’élaboration du rapport NIS 2 de Zscaler

Cette étude vise à déterminer comment les entreprises se préparent à la nouvelle réglementation NIS 2, les défis auxquels elles sont confrontées et où elles en sont dans leur démarche de mise en conformité. L'enquête a été menée auprès de plus de 875 responsables informatiques au sein d’entreprises de plus de 500 salariés au Royaume-Uni, en France, en Allemagne, en Italie, en Espagne, aux Pays-Bas et en Belgique.