Directive NIS2 : 29 % des décideurs français peinent à anticiper la sécurisation des systèmes d’information critiques

0
227

Nozomi Networks, spécialiste de la sécurité OT et IoT, a récemment dévoilé une étude menée en collaboration avec Vanson Bourne et menée auprès de 300 décideurs en matière de sécurité IT dans de grandes entreprises (de plus de 500 employés) en Allemagne, en France, en Suède et aux Pays-Bas. Alors que les États européens doivent adopter les dispositions de la directive NIS 2 dans un an, beaucoup tentent encore d’élaborer les critères et les exigences en matière de cybersécurité pour les structures qui desservent une grande partie de la population et sont considérées comme vitales pour l’économie.

Tribune – Le chemin à parcourir pour mettre en œuvre la directive NIS 2 semble encore très long. 81 % des responsables interrogés déclarent que leur organisation manque de programmes associés à l’identification des équipements et à la gestion de l’inventaire alors qu’une grande visibilité de tous les équipements et réseaux est cruciale pour être mieux protégée, mais aussi être en conformité avec la directive NIS 2. En France, 29 % des organisations ne mènent actuellement pas d’analyses des risques, un chiffre inquiétant quand on sait à quel point les systèmes et réseaux organisationnels (OT et IoT) des organisations des secteurs d’infrastructure critique sont régulièrement la cible de cyberattaques.

L’étude, menée par Vanson Bourne auprès de 300 décideurs en Europe, révèle quelques chiffres marquants :

  • 29 % des organisations françaises ne procèdent actuellement pas à une analyse des risques sur leurs systèmes d’information critiques, le chiffre le plus haut parmi les pays sondés
  • Les responsables IT estiment que la formation est le domaine d’action de la directive NIS 2 dans lequel leur organisation est le plus en retard (seuls 7 % estiment leur organisation prête)
  • 81 % des responsables déclarent que leur organisation manque de programmes associés à l’identification des équipements et à la gestion de l’inventaire

NIS2 : une directive ambitieuse dans un paysage croissant de menaces multiformes

Cette dernière vise à coordonner la cybersécurité dans l’Union européenne et à établir de nouveaux critères et mandats, élaborés par les États membres, mais mis en œuvre et validés par les entreprises et les organisations. Face à des acteurs malveillants toujours plus performants, , la directive NIS 2 élargit ses objectifs et son périmètre d’applicabilité pour apporter davantage de protection. Cette extension du périmètre prévue par NIS 2 est sans précédent en matière de réglementation cyber.

La directive charge les dirigeants d’élaborer des critères et des exigences en matière de cybersécurité pour les structures qui desservent une grande partie de la population et sont considérées comme vitales pour l’économie, en fonction de la portée et de l’ampleur des services fournis ainsi que de la taille de leurs opérations. Les États doivent adopter les dispositions de la directive NIS 2 d’ici  octobre 2024, avec des plans présentant la manière dont ils comptent s’y conformer.

Alors que le paysage de la cybersécurité devient de plus en plus multiforme, la conformité sera une opportunité pour encourager l’amélioration de la sécurité dans tous les domaines, notamment l’économie et la sécurité nationale. Les mandats permettront de faire appliquer la nouvelle législation et l’UE pourra imposer des amendes conséquentes à ceux qui ne se conformeraient pas à la directive. Les cyberattaquants ciblent régulièrement les systèmes et réseaux organisationnels (OT et IoT) dont les professionnels de la sécurité informatique sont responsables. La directive NIS2 est une réponse directe au paysage croissant des menaces pour que les organisations des secteurs d’infrastructures critiques améliorent leurs capacités de résilience, de détection et de réponse aux incidents.

La responsabilité et la cybersécurité de l’IoT ne reposent pas uniquement sur le Chief Information Security Officer (CISO)

Selon les responsables IT interrogés, la responsabilité de la sécurisation des technologies opérationnelles (OT) et des appareils et réseaux IoT est partagée entre les acteurs internes et des acteurs tiers externes. Si un peu plus d’un tiers des organisations confient la responsabilité au CISO (35 %), beaucoup d’autres s’appuient sur le département IT dans son ensemble (24 %) et/ou sur l’OT (18 %), entre autres. Le CISO a plus d’importance en France (responsable dans 43 % des entreprises) qu’en Allemagne (21 %).

S’approprier la gestion des risques

Les organisations ont des angles morts en matière de cybersécurité, en particulier en ce qui concerne leur SI d’Importance Vitale (SIIV). Afin de bénéficier d’une plus grande visibilité sur leurs réseaux OT et IoT, les organisations doivent adopter une sécurité proactive. Pourtant, selon l’étude, seule une organisation sur deux suit un calendrier pour la réalisation et la mise à jour d’une analyse des risques liés à leurs SIIV. Un tiers (34 %) le font de manière ponctuelle. 29 % des organisations interrogées en France ne mènent actuellement pas d’analyses des risques, ce chiffre étant le plus élevé de tous les pays interrogés, puisqu’il s’élève à 4% en Allemagne et aux Pays-Bas et à 15% sur l’ensemble des pays.

Selon l’étude, seules 6 % des organisations appliquent aujourd’hui la directive NIS initiale, adoptée en 2016. Cela montre que les organisations peinent à se conformer à la nouvelle législation et que la mise en œuvre de NIS 2 est un défi inatteignable pour de nombreuses organisations. Alors qu’elles sont confrontées à des menaces toujours plus variées, les organisations devront accorder une attention spéciale à la gestion des risques, au-delà de l’IT, afin d’inclure l’OT et pour être conformes avec la directive NIS 2.

La solution de Nozomi Networks fournit une identification détaillée des équipements et une découverte du réseau qui aide une organisation à obtenir une visibilité approfondie de l’état de ses réseaux de contrôle industriel. La technologie apprend et comprend le comportement ordinaire du réseau et des processus. Ainsi, lorsque des variations par rapport à cette norme se produisent, les équipes sont alertées et peuvent détecter les « indicateurs de compromission » (IoC) connus et les nouvelles tentatives de menace.

Alors que l’étude montre que les entreprises peinent à identifier l’ensemble de leurs équipements et les failles qui pourraient en découler, une plus grande visibilité de tous les équipements et réseaux sera cruciale pour être mieux protégée, mais aussi être conforme avec la directive NIS 2. Une directive ambitieuse, certes, mais à la hauteur des risques : le développement rapide des nouvelles technologies (comme l’intelligence artificielle ou la 5G) et la multiplicité des systèmes connectés vont augmenter les potentiels points d’accès et les failles à exploiter par les pirates et cybercriminels.

 

Méthodologie :

Nozomi Networks a chargé Vanson Bourne, spécialiste indépendant des études de marché technologiques, de réaliser l’étude quantitative sur laquelle repose ce rapport. Au total, 300 décideurs en matière de sécurité IT ont été interrogés en mars et avril 2023 en Allemagne, en France, en Suède et aux Pays-Bas. Les personnes interrogées appartenaient à des organisations appartenant à des industries d'”infrastructures critiques” et comptaient au moins 500 employés. Les entretiens ont été menés en ligne à l’aide d’un processus de sélection rigoureux à plusieurs niveaux afin de s’assurer que seuls les candidats adéquats avaient la possibilité de participer.