La directive NIS2 pèse sur les ressources des entreprises : 95 % des entreprises de la région EMEA puisent dans d'autres budgets pour tenter de respecter les délais de mise en conformité

Budget dédié à NIS2, un effort qui coûte cher

Cette enquête révèle que si les responsables IT ont réussi à dégager un budget suffisant pour assurer la conformité à la directive NIS2, les conséquences sur d’autres domaines pourraient être significatives. Pourtant, alors que 68 % des entreprises déclarent avoir reçu la rallonge budgétaire nécessaire pour respecter la directive européenne, 20 % d’entre elles considèrent le budget comme étant un obstacle majeur à cette mise en conformité. Depuis l’entrée en vigueur de l’accord politique en janvier 2023, 40 % des entreprises ont vu leur budget informatique diminuer tandis que 20 % ont constaté un statu quo de leur budget. En outre, 95 % des entreprises ont réaffecté certains budgets provenant d’autres secteurs pour couvrir les coûts de mise en conformité à la directive NIS2. Plus précisément, 34 % des entreprises ont utilisé leur budget dédié à la gestion des risques, 30 % leur budget de recrutement, 29 % leur budget de gestion de crise et 25 % leurs réserves d’urgence. Cette réaffectation des fonds souligne la pression supplémentaire exercée sur les ressources financières déjà serrées de ces entreprises.

Edwin Weijdema, Field CTO EMEA, Veeam, déclare : « Dégager un budget approprié pour la cybersécurité constitue souvent un véritable défi pour les responsables informatiques, mais les pénalités élevées et l’accent mis sur la responsabilité de l’entreprise dans le cadre de la directive NIS2 peuvent contribuer à assouplir ce processus. Or, la plupart des budgets IT étant soit réduits, soit stagnants — en d’autres termes, en baisse compte tenu de l’augmentation des coûts et de l’inflation —, la directive NIS2 pioche dans une réserve déjà limitée. Il est particulièrement inquiétant que des fonds soient empruntés au recrutement et aux réserves d’urgence. NIS2 ne doit pas être traitée comme une crise, et pourtant, c’est ce qu’une entreprise sur quatre semble considérer ».

Une nouvelle source de défis pour les responsables informatiques

L’enquête met également en lumière les principales pressions métier ressenties par les responsables informatiques. La directive européenne se situe au bas de l’échelle des priorités (n° 10), ce qui illustre la multiplicité des défis que doivent relever les hauts dirigeants. Les cinq principaux défis sont le manque de compétences (24 %), les problèmes de rentabilité (23 %), la transformation numérique (23 %), la hausse du coût des activités (20 %) et le manque de ressources (20 %). Ces chiffres révèlent que les ressources humaines et financières représentent les principaux facteurs limitants pour les responsables IT, alors même que la directive NIS2 requiert les deux.

Pour assurer leur mise en conformité, les entreprises prennent diverses mesures : elles mènent des audits informatiques (29 %), examinent les processus et les bonnes pratiques de cybersécurité (29 %), élaborent de nouvelles règles et procédures (28 %), investissent dans de nouvelles technologies (28 %) et augmentent le budget alloué à la cybersécurité (28 %). Parmi les principaux « facilitateurs » de conformité, qui exigent un budget élevé et une précieuse expertise, figurent la nécessité d’investir dans de nouvelles solutions technologiques qualifiées (27 %), des audits informatiques (25%) et des compétences organisationnelles internes (25%).

Les budgets informatiques en zone EMEA sont dominés par la sécurité et la conformité

Malgré la baisse générale des budgets IT enregistrée depuis deux ans, des fonds supplémentaires ont quand même été alloués aux services informatiques pour assurer la conformité à la directive NIS2, que ce soit en ponctionnant le budget informatique ou d’autres sources de l’entreprise. Cette contrainte permet d’expliquer pourquoi 80 % du budget informatique des entreprises de la région EMEA tenues de se conformer à la nouvelle directive sont désormais alloués à la cybersécurité et à la conformité. Cette réaffectation ne laisse guère de latitude aux responsables informatiques pour relever d’autres défis, tels que le déficit de compétences, la rentabilité ou la transformation numérique.

« La sécurité et la conformité sont deux enjeux vitaux pour toutes les entreprises. Toutefois, le fait qu’ils consomment actuellement la majeure partie du budget informatique souligne à quel point les entreprises sont mal préparées et manquent de ressources. Bien que disposant de budgets limités, les responsables IT doivent trouver les moyens de répondre rapidement aux exigences de la directive NIS2. Ceux qui adoptent une approche holistique de la sécurité et appliquent des bonnes pratiques avant que la législation ne les impose subiront naturellement une pression moins élevée, ce qui leur permettra de répondre à d’autres priorités et de relever d’autres défis majeurs dans de meilleures conditions », ajoute Andre Troskie, Field CISO EMEA de Veeam.

Le Royaume-Uni en tête des investissements et de la confiance

Bien que n’étant pas directement concernées par cette nouvelle règlementation, les entreprises britanniques qui entretiennent des relations commerciales avec des entités de l’UE doivent se conformer à la directive NIS2, et leurs réponses révèlent une perspective différente. Dans le cadre de cette enquête, les entreprises britanniques sont les seules à témoigner d’une hausse de leur budget IT depuis janvier 2023, 62 % des décideurs basés au Royaume-Uni annonçant une augmentation de leur budget et seulement 14 % une baisse. Cette approche a permis aux entreprises d’outre-Manche d’investir massivement dans l’amélioration de leur posture de sécurité en amont de l’application de la directive.

Selon l’enquête, 38% des personnes britanniques interrogées ont déjà investi dans la révision de leurs processus et bonnes pratiques de cybersécurité, et 34 % dans de nouvelles technologies, qui sont des chiffres plus élevés que ceux rapportés par leurs homologues de l’UE. Les décideurs IT britanniques prévoient également de continuer à investir : 30 % d’entre eux ont l’intention de revoir leurs processus et bonnes pratiques de cybersécurité, et 25 % prévoient d’investir dans de nouvelles technologies, contre respectivement 15 % et 16 % en moyenne dans les autres pays interrogés.

Christophe Fontaine, Senior Regional Technical Sales Director, EMEA South de Veeam, déclare : « Du côté des résultats français, l’évolution des budgets informatiques est plus contrastée. 35% des répondants ont en effet constaté une augmentation de leur budget informatique, ce qui peut logiquement s’expliquer par des investissements en matière de sécurité pour recruter des experts, mais également par une anticipation des conséquences liées à l’augmentation des dépenses en matière de cloud public. D’un autre côté, un répondant sur deux partage le constat inverse, celui d’une diminution de son budget informatique sur la même période. Ce résultat peut davantage se comprendre dans le cas des petites entreprises, qui font bien souvent le choix du cloud pour diminuer leurs ressources humaines dédiées à l’informatique. Avec l’entrée en application de NIS2, les choix d’allocation et d’utilisation budgétaire connaîtront sûrement encore des évolutions dans un sens comme dans l’autre, le temps que les entreprises s’adaptent aux nouvelles exigences ».

À propos de l’enquête Veeam sur la directive NIS2

Cette enquête a été réalisée par Censuswide pour le compte de Veeam entre le 29 août et le 2 septembre 2024 auprès de plus de 500 décideurs en informatique et sécurité informatique opérant en Allemagne, en Belgique, en France, aux Pays-Bas et au Royaume-Uni — un État non-membre de l’UE étroitement concerné par la directive NIS2 en raison de ses liens commerciaux avec les pays européens. Un critère supplémentaire a permis de vérifier que les entreprises britanniques interrogées entretiennent actuellement des liens commerciaux dans l’UE ou l’envisagent. Afin d’assurer une représentation équilibrée, des quotas ont été établis pour chaque pays : 50 personnes actives dans des entreprises de taille moyenne (50-249 employés) et 50 dans des grandes entreprises (250+ employés). Les personnes interrogées représentent les secteurs d’activité figurant sur la liste des entités essentielles (EE) et des entités importantes (EI) soumises à la directive NIS2. L’étude est représentative au niveau national.