Nozomi Networks a dévoilé une étude menée en collaboration avec Vanson Bourne, menée auprès de 300 décideurs en matière de sécurité IT dans de grandes entreprises (de plus de 500 employés) en Allemagne, en France, en Suède et aux Pays-Bas. Les dirigeants ont été interrogés sur la responsabilité et la stratégie de sécurisation des systèmes et des équipements au-delà de leurs réseaux informatiques et d'entreprise afin d’analyser l'état actuel des organisations dans les secteurs des « infrastructures critiques » et de mesurer le chemin à parcourir pour mettre en œuvre la directive NIS2.

NIS2 : une directive ambitieuse dans un paysage croissant de menaces multiformes

Cette dernière vise à coordonner la cybersécurité dans l'Union européenne et à établir de nouveaux critères et mandats, élaborés par les États membres, mais mis en œuvre et validés par les entreprises et les organisations. Face à des acteurs malveillants toujours plus performants, , la directive NIS 2 élargit ses objectifs et son périmètre d’applicabilité pour apporter davantage de protection. Cette extension du périmètre prévue par NIS 2 est sans précédent en matière de réglementation cyber.

La directive charge les dirigeants d'élaborer des critères et des exigences en matière de cybersécurité pour les structures qui desservent une grande partie de la population et sont considérées comme vitales pour l'économie, en fonction de la portée et de l'ampleur des services fournis ainsi que de la taille de leurs opérations. Les États doivent adopter les dispositions de la directive NIS 2 d’ici  octobre 2024, avec des plans présentant la manière dont ils comptent s’y conformer.

Alors que le paysage de la cybersécurité devient de plus en plus multiforme, la conformité sera une opportunité pour encourager l’amélioration de la sécurité dans tous les domaines, notamment l’économie et la sécurité nationale. Les mandats permettront de faire appliquer la nouvelle législation et l’UE pourra imposer des amendes conséquentes à ceux qui ne se conformeraient pas à la directive. Les cyberattaquants ciblent régulièrement les systèmes et réseaux organisationnels (OT et IoT) dont les professionnels de la sécurité informatique sont responsables. La directive NIS2 est une réponse directe au paysage croissant des menaces pour que les organisations des secteurs d'infrastructures critiques améliorent leurs capacités de résilience, de détection et de réponse aux incidents.

La responsabilité et la cybersécurité de l’IoT ne reposent pas uniquement sur le Chief Information Security Officer (CISO)

Selon les responsables IT interrogés, la responsabilité de la sécurisation des technologies opérationnelles (OT) et des appareils et réseaux IoT est partagée entre les acteurs internes et des acteurs tiers externes. Si un peu plus d'un tiers des organisations confient la responsabilité au CISO (35 %), beaucoup d'autres s'appuient sur le département IT dans son ensemble (24 %) et/ou sur l'OT (18 %), entre autres. Le CISO a plus d’importance en France (responsable dans 43 % des entreprises) qu’en Allemagne (21 %).

S’approprier la gestion des risques

Les organisations ont des angles morts en matière de cybersécurité, en particulier en ce qui concerne leur SI d’Importance Vitale (SIIV). Afin de bénéficier d’une plus grande visibilité sur leurs réseaux OT et IoT, les organisations doivent adopter une sécurité proactive. Pourtant, selon l’étude, seule une organisation sur deux suit un calendrier pour la réalisation et la mise à jour d'une analyse des risques liés à leurs SIIV. Un tiers (34 %) le font de manière ponctuelle. 29 % des organisations interrogées en France ne mènent actuellement pas d’analyses des risques, ce chiffre étant le plus élevé de tous les pays interrogés, puisqu’il s’élève à 4% en Allemagne et aux Pays-Bas et à 15% sur l’ensemble des pays.

Selon l’étude, seules 6 % des organisations appliquent aujourd’hui la directive NIS initiale, adoptée en 2016. Cela montre que les organisations peinent à se conformer à la nouvelle législation et que la mise en œuvre de NIS 2 est un défi inatteignable pour de nombreuses organisations. Alors qu’elles sont confrontées à des menaces toujours plus variées, les organisations devront accorder une attention spéciale à la gestion des risques, au-delà de l’IT, afin d’inclure l’OT et pour être conformes avec la directive NIS 2.

Alors que l’étude montre que les entreprises peinent à identifier l’ensemble de leurs équipements et les failles qui pourraient en découler, une plus grande visibilité de tous les équipements et réseaux sera cruciale pour être mieux protégée, mais aussi être conforme avec la directive NIS 2. Une directive ambitieuse, certes, mais à la hauteur des risques : le développement rapide des nouvelles technologies (comme l’intelligence artificielle ou la 5G) et la multiplicité des systèmes connectés vont augmenter les potentiels points d’accès et les failles à exploiter par les pirates et cybercriminels.