Anticiper la sécurisation des systèmes d’information critiques : où en sont les DSI ?

Le chemin pour mettre en œuvre la directive NIS 2 semble encore très long. 81 % des responsables informatiques déclarent que leur organisation manque de programmes associés à l’identification des équipements et à la gestion de l’inventaire, selon une étude.

En France, 29 % des organisations ne mènent actuellement pas d’analyses des risques, un chiffre inquiétant quand on sait à quel point les systèmes et réseaux organisationnels (OT et IoT) des organisations des secteurs d’infrastructure critique sont régulièrement la cible de cyberattaques. C’est l’une des conclusions de la dernière étude Nozomi Networks commanditée à Vanson Bourne. Particularité : c’est le chiffre le plus haut parmi les pays sondés.

Tout cela est inquiétant à l’aube de l’entrée en vigueur de la directive NIS2. Cette dernière vise à coordonner la cybersécurité dans l’Union européenne et à établir de nouveaux critères et mandats, élaborés par les États membres, mais mis en œuvre et validés par les entreprises et les organisations.

La directive charge les dirigeants d’élaborer des critères et des exigences en matière de cybersécurité pour les structures qui desservent une grande partie de la population et sont considérées comme vitales pour l’économie, en fonction de la portée et de l’ampleur des services fournis ainsi que de la taille de leurs opérations. Les États doivent adopter les dispositions de la directive NIS 2 d’ici octobre 2024, avec des plans présentant la manière dont ils comptent s’y conformer.

Selon les responsables IT interrogés, la responsabilité de la sécurisation des technologies opérationnelles (OT) et des appareils et réseaux IoT est partagée entre les acteurs internes et des acteurs tiers externes. Si un peu plus d’un tiers des organisations confient la responsabilité au CISO (35 %), beaucoup d’autres s’appuient sur le département IT dans son ensemble (24 %) et/ou sur l’OT (18 %), entre autres. Le CISO a plus d’importance en France (responsable dans 43 % des entreprises) qu’en Allemagne (21 %).

Les organisations ont des angles morts en matière de cybersécurité, en particulier en ce qui concerne leur SI d’Importance Vitale (SIIV). On l’a dit, un peu moins d’un tiers de entreprises françaises ne mènent actuellement pas d’analyses des risques. Ce chiffre s’élève à 4% en Allemagne et aux Pays-Bas et à 15% sur l’ensemble des pays.

Selon l’étude, seules 6 % des organisations appliquent aujourd’hui la directive NIS initiale, adoptée en 2016. Cela montre que les organisations peinent à se conformer à la nouvelle législation et que la mise en œuvre de NIS 2 est un défi inatteignable pour de nombreuses organisations.