Le rapport d’IDC commandé par Insight Entreprise met en lumière les obstacles qui freinent la mise en conformité avec la directive NIS 2 au sein des entreprises. En cause : un manque de connaissances généralisé et une pénurie de personnel qualifié pour accompagner cette transition.
Selon ce rapport d’IDC, chiffre clé à l’appui, 75 % des décideurs informatiques européens ne sont pas sûrs des exigences de la directive NIS 2 pour leur entreprise. Rappelons que le texte, lui, est entré en vigueur le 17 octobre 2024. Le projet de loi visant à transposer la directive en droit national a été adopté en Conseil des ministres le 16 octobre, mais il doit encore être voté au Parlement avant son application. Les entreprises disposeront ensuite de trois ans pour se mettre en conformité.
Un manque d’implication de la direction
Cette mise en application progressive ne sera pas de trop pour les entreprises françaises et européennes, au vu des enseignements du rapport d’IDC. En interne, elles font face à divers obstacles freinant leur mise en conformité. Parmi eux, une méconnaissance des étapes nécessaires pour se conformer à NIS 2.
Pire encore : trois entreprises européennes sur quatre ne sont pas « pleinement conscientes de l’existence de la directive NIS 2 et n’en avaient pas une connaissance approfondie », souligne IDC. Une problématique d’autant plus préoccupante lorsque l’on sait que les sondés sont, pour beaucoup, des directeurs et responsables informatiques.
L’étude identifie également un « désalignement » entre la direction et les équipes informatiques concernant NIS 2. Concrètement, si 46 % des PDG européens placent la gestion des risques comme une priorité absolue, 42 % des responsables informatiques estiment que leur conseil d’administration n’est pas suffisamment impliqué dans la directive NIS 2 et préfère se concentrer sur l’activité et la croissance. Par ailleurs, 33 % des sondés déclarent que la direction ne prend pas pleinement la mesure des risques liés à la cybersécurité.
Un manque de personnel compétent
Autre frein majeur : le manque de personnel qualifié pour répondre aux exigences de mise en conformité. Ainsi, 57 % des répondants déclarent que leur charge de travail en matière de conformité dépasse les capacités de leurs équipes internes, et 52 % estiment ne pas disposer des compétences nécessaires en interne. Pour pallier ces insuffisances, 54 % des sondés indiquent qu’ils feront appel à un fournisseur de services de sécurité managés pour les assister.
Ce constat n’est pas nouveau : d’autres études ont déjà mis en lumière les lacunes des entreprises vis-à-vis de NIS 2. Selon une enquête IPSOS pour Okta sur l’état de la maturité et des investissements en cybersécurité en France, 23 % des décideurs déclarent n’avoir jamais entendu parler de NIS 2, 24 % affirment ne connaître la directive que de nom, et 26 % ne connaissent que le règlement DORA, destiné aux services financiers. Sans surprise, la proportion d’entreprises s’estimant prêtes pour NIS 2 reste relativement faible (24 %), et moins de la moitié (45 %) ont investi dans leur mise en conformité.