La plupart des responsables informatiques se disent confiants quant à la mise en conformité de leur entreprise à la directive NIS2. Pourtant, elles doivent composer avec la restriction des ressources et la pénurie de talents. Selon une récente enquête, le manque de compétences constitue le principal point de pression pour les entreprises européennes, dont 30 % déclarent avoir puisé dans leur budget de recrutement pour atteindre leurs objectifs de mise en conformité à la directive NIS2.
À l’heure où l’application de la directive NIS2 se poursuit dans tous les pays de l’Union européenne, une nouvelle enquête réalisée par Censuswide pour le compte de Veeam souligne l’impact significatif sur les entreprises pour s’adapter à cette règlementation relative à la cybersécurité.
Cette enquête révèle que, si les responsables IT ont réussi à dégager un budget suffisant pour assurer la conformité à la directive NIS2, les conséquences sur d’autres domaines pourraient être significatives. Pourtant, alors que 68 % des entreprises déclarent avoir reçu la rallonge budgétaire nécessaire pour respecter la directive européenne, 20 % d’entre elles considèrent le budget comme étant un obstacle majeur à cette mise en conformité.
Depuis l’entrée en vigueur de l’accord politique en janvier 2023, 40 % des entreprises ont vu leur budget informatique diminuer tandis que 20 % ont constaté un statu quo de leur budget. En outre, 95 % des entreprises ont réaffecté certains budgets provenant d’autres secteurs pour couvrir les coûts de mise en conformité à la directive NIS2. Plus précisément, 34 % des entreprises ont utilisé leur budget dédié à la gestion des risques, 30 % leur budget de recrutement, 29 % leur budget de gestion de crise et 25 % leurs réserves d’urgence. Cette réaffectation des fonds souligne la pression supplémentaire exercée sur les ressources financières déjà serrées de ces entreprises.
Nouvelle source de défis pour les responsables informatiques
L’enquête met également en lumière les principales pressions métier ressenties par les responsables informatiques. La directive européenne se situe au bas de l’échelle des priorités (n° 10), ce qui illustre la multiplicité des défis que doivent relever les hauts dirigeants. Les cinq principaux défis sont le manque de compétences (24 %), les problèmes de rentabilité (23 %), la transformation numérique (23 %), la hausse du coût des activités (20 %) et le manque de ressources (20 %). Ces chiffres révèlent que les ressources humaines et financières représentent les principaux facteurs limitants pour les responsables IT, alors même que la directive NIS2 requiert les deux.
Pour assurer leur mise en conformité, les entreprises prennent diverses mesures : elles mènent des audits informatiques (29 %), examinent les processus et les bonnes pratiques de cybersécurité (29 %), élaborent de nouvelles règles et procédures (28 %), investissent dans de nouvelles technologies (28 %) et augmentent le budget alloué à la cybersécurité (28 %). Parmi les principaux « facilitateurs » de conformité, qui exigent un budget élevé et une précieuse expertise, figurent la nécessité d’investir dans de nouvelles solutions technologiques qualifiées (27 %), des audits informatiques (25%) et des compétences organisationnelles internes (25%).
Des budgets dominés par la sécurité et la conformité
Malgré la baisse générale des budgets IT enregistrée depuis deux ans, des fonds supplémentaires ont quand même été alloués aux services informatiques pour assurer la conformité à la directive NIS2, que ce soit en ponctionnant le budget informatique ou d’autres sources de l’entreprise. Cette contrainte permet d’expliquer pourquoi 80 % du budget informatique des entreprises de la région EMEA tenues de se conformer à la nouvelle directive sont désormais alloués à la cybersécurité et à la conformité. Cette réaffectation ne laisse guère de latitude aux responsables informatiques pour relever d’autres défis, tels que le déficit de compétences, la rentabilité ou la transformation numérique.
