L’étude, menée auprès de 1 500 responsables IT, a révélé que les organisations ont encore beaucoup de pain sur la planche, alors que l’horloge tourne. Les organisations françaises sont certes mieux préparées comparées aux allemandes et aux anglaises, néanmoins, près des trois quarts d’entre elles (74 %) doivent encore sécuriser correctement leurs chaînes d’approvisionnement, 71 % doivent également ajouter de nouvelles mesures de gestion des risques et mettre en place une sécurité des ressources humaines, tandis que 70 % doivent évaluer l’efficacité des mesures cybernétiques existantes. Enfin, près des deux-tiers doivent encore former leur personnel à la cybersécurité (68 %). Or, les entreprises ne peuvent pas se permettre de se reposer sur leurs lauriers : sur ces cinq étapes, les personnes interrogées estiment qu’il faudra en moyenne cinq mois pour toutes les franchir.

La directive NIS2 intervient à un moment où les organisations de toutes tailles sont confrontées à un nombre croissant de cybermenaces, et vise donc à améliorer la cybersécurité de manière large, complète et holistique dans l’ensemble de l’UE.

Stephen Bradford, Senior Vice President EMEA chez SailPoint, déclare : « À un an de l’échéance, les entreprises doivent mettre le pied à l’étrier en ce qui concerne la conformité à la directive NIS2 et prendre les devants dans leur plan de cyber-résilience. Le paysage des menaces a progressé tant en volume qu’en sophistication au cours des dernières années. Cela signifie que les enjeux n’ont jamais été aussi élevés. Les temps d’immobilisation opérationnels, les atteintes à la réputation, la perte de clients et la restauration des systèmes qui suivent toute violation peuvent constituer un véritable casse-tête pour les entreprises. »

Il ajoute : « Les organisations doivent tirer des leçons du RGPD et utiliser judicieusement les douze prochains mois pour s’assurer que la cyber-résilience est au cœur de leurs modèles d’entreprise. La chaîne d’approvisionnement étendue est souvent reléguée au second plan, alors que c’est bien souvent là qu’apparaissent les menaces. Il est donc important pour les entreprises de s’assurer que l’ensemble de leur écosystème est réellement protégé. Déployer la bonne technologie est à cet égard essentiel, notamment grâce à des initiatives de sécurité pilotées par l’IA. Elles aident à identifier les risques et à déclencher des réponses plus rapides et plus percutantes. Ce type de défense doit être un élément clé de la stratégie de gestion des risques de cybersécurité de chaque organisation et peut donner aux entreprises le coup de pouce nécessaire pour se conformer pleinement à la NIS2. »

Méthodologie de l’étude :

Cette étude a été réalisée par Censuswide en octobre 2023 pour le compte de SailPoint. 1 500 décideurs informatiques en France, au Royaume-Uni et en Allemagne ont été interrogés dans des secteurs critiques, au sein d’entreprises comptant 250 employés ou plus et réalisant un chiffre d’affaires de 10 millions d’euros ou plus, ce qui correspond aux entreprises qui seront touchées par le NIS2.

L’enquête a été menée pour comprendre le degré de préparation et de sensibilisation des entreprises au NIS2, un an avant la date limite de la norme (17 octobre 2024), date à laquelle les États membres de l’UE sont tenus d’intégrer cette nouvelle loi dans leur législation nationale.

Les secteurs étudiés sont les suivants : énergie, transport, banque et finance, santé, services publics, infrastructure informatique, gestion des services TIC, gouvernement, aérospatial, services postaux et de courrier, gestion des déchets, industrie manufacturière, fournisseurs de services numériques, agroalimentaire, organismes de recherche.