La prochaine loi NIS2 affinera la politique de cybersécurité des entreprises. Libérer de l’argent ne semble pas être un problème, mais trouver le personnel pour résoudre les problèmes ou faire face à des obligations, c’est une autre paire de manches, comme il ressort d’une enquête effectuée par Proximus NXT.
NXT, la branche ICT de Proximus, a mené une enquête auprès de 150 entreprises en Belgique et au Luxembourg. Moitié grandes organisations, moitié PME. Il en ressort que pas moins de 30 pour cent d’entre elles ont été confrontées à un incident de cybersécurité au cours des 12 derniers mois. Chez les grandes entreprises (plus de 2.000 employés), ce nombre est quelque peu plus élevé, puisqu’il est de 45 pour cent. Et chez les entreprises de moins de dix employés, on en est à 16 pour cent en moins que la moyenne.
Une cyberattaque a aussi des conséquences. ‘48 pour cent évoquent une réduction de la productivité et des coûts ou des ressources consacrées à la notification des incidents. Mais une atteinte à la réputation a également été mentionnée dans 15 pour cent des cas’, explique Wouter Vandenbussche, product owner cybersecurity chez Proximus NXT, à Data News.
Au cours de son enquête, Vandenbussche a également examiné quels appareils avaient été impactés. ‘La moitié des entreprises interrogées indiquent que les appareils des utilisateurs finaux: ordinateurs portables, smartphones, etc. ont été affectés. 28 pour cent mentionnent l’environnement cloud et les serveurs.’
Sur le plan numérique, 22 pour cent déclarent que les informations client ont été affectées, suivies par les données d’exploitation (19 pour cent), la propriété intellectuelle et les données des employés (11 pour cent chacune).
Devenir davantage conscient de la cybersécurité
Cette enquête a été effectuée juste avant l’entrée en vigueur de la directive NIS2 cet automne, à partir du 18 octobre. C’est pourquoi Proximus NXT a également demandé dans quelle mesure les entreprises se sentaient prêtes. Quelques tendances étonnantes se manifestent.
‘Deux tiers d’entre elles s’estiment suffisamment matures en matière de détection et de prévention’, affirme Vandenbussche. ‘Si on prend en compte des éléments tels que la réaction et la récupération, cela tombe à une entreprise sur deux. Et au niveau de la prédiction, cela chute à quarante pour cent.’
Des personnes et des ressources sont nécessaires pour couvrir correctement tous ces éléments. Mais ce dernier point ne semble pas être le problème majeur. ‘Financièrement parlant, la cybersécurité est un domaine dans lequel aucune économie n’est réalisée. Un cinquième des personnes interrogées parlent même d’une augmentation du budget sécurité allant jusqu’à vingt pour cent. Quasiment personne ne déclare que le budget de son organisation diminue.’
Selon Vandenbussche, cela est directement lié à la loi NIS2. ‘D’autant plus maintenant que cela devient une responsabilité formelle, les administrateurs ne vont pas lésiner.’
Mais l’argent ne résout pas tout: ‘Nous constatons effectivement une pénurie de profils spécialisés dans le domaine de la cybersécurité. L’année dernière, une entreprise sur trois parlait d’une carence (36 pour cent, ndlr), alors qu’aujourd’hui c’est une sur deux (54 pour cent, ndlr). Dans les grandes entreprises, on en est à deux tiers.’
Cela déclenche du reste une autre tendance: davantage d’externalisation (outsourcing). ‘Bien sûr, le phénomène existe depuis assez longtemps déjà. Mais nous constatons désormais que les petites entreprises envisagent aussi plus rapidement l’externalisation, alors que dans le passé, c’était principalement le cas des grandes entreprises. Il ne s’agit pas tant d’embaucher des experts/consultants que d’externaliser certains processus, ce qui se produit désormais beaucoup plus souvent.’
Priorités
Enfin, on peut s’interroger également sur les priorités pour l’année prochaine. Quatre points ressortent ici dans un ordre aléatoire: l’Operational Readiness, comme l’inventaire, la gestion des vulnérabilités et la mise en œuvre de processus appropriés. Le deuxième point est la conscientisation et la formation des utilisateurs, par exemple en matière d’hameçonnage (phishing).
Le troisième point d’intérêt a pour nom Risk & Compliance (les risques et la mise en conformité). ‘C’est également porté à l’avant-plan par NIS2. Plusieurs milliers d’entreprises seront obligées de devenir plus matures en matière de cybersécurité. Le CCB le recommande d’ailleurs à toutes les organisations. Et la quatrième priorité porte sur des mesures de sécurité spécifiques telles que la protection de la vie privée, la détection des terminaux et une plus grande maturité à cet égard.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici