La législation NIS2 contraint les entreprises à examiner de près leur approche de sécurité et à opter pour une approche holistique, dans laquelle les organisations n’abordent plus leur cybersécurité comme des éléments distincts.
La NIS2 figure en tête des priorités, mais de nombreuses organisations ne ressentent toujours pas l’urgence d’agir concrètement. Alors que la directive européenne est déjà en vigueur en Belgique et que son introduction aux Pays-Bas approche à grands pas, de nombreuses entreprises repoussent encore leur approche en matière de sécurité par manque de temps, de connaissances et de budget.
« De nombreuses entreprises ne tireront la sonnette d’alarme que lorsqu’il sera trop tard, mais cela coûtera alors beaucoup plus cher », déclare Gijs Reijns, Product Manager chez Copaco Nederland. Avec son homologue belge, Warre De Boever, Internal Sales chez Copaco Belgique, nous examinons la situation de la NIS2 dans les deux pays.
L’urgence est absente
La NIS2 est un sujet très discuté, mais toutes les entreprises ne se conforment pas encore à cette législation. Selon M. De Boever, cela est notamment dû au manque de temps et aux coûts élevés. « La sécurité est encore trop souvent considérée comme un coût important, elle demande beaucoup de temps et de personnel supplémentaire au sein d’une entreprise. »
Il souligne en outre l’absence de sentiment d’urgence. « Les entreprises ne ressentent pas encore suffisamment l’urgence, ce qui les incite à reporter plus rapidement les mesures nécessaires. Ces entreprises n’ont souvent pas encore connu d’incidents de sécurité majeurs ou de cyberattaques », constate-t-il.
Les consultants peuvent renforcer le sentiment d’urgence autour de la NIS2.
Gijs Reijns, Product Manager bij Copaco Nederland
De Boever fait également remarquer que nous nous trouvons dans une période transitoire. « Il n’y a pas encore d’application ou de contrôle concret », dit-il. « Les sanctions telles que l’arrêt des activités et la divulgation du non-respect ne sont pas encore ressenties. Cela donne aux entreprises le sentiment qu’elles ont encore le temps, alors que les obligations existent bel et bien déjà. »
Approche holistique
Les coûts élevés et le manque de temps et de connaissances sont liés à la grande complexité de la sécurisation d’une entreprise. Beijns fait remarquer que les entreprises n’ont pas toujours une vue d’ensemble claire de leur sécurité numérique. « Une entreprise qui mise fortement sur la gestion des données, par exemple, doit savoir où se trouvent les données, à quelle fréquence elles sont partagées et qui peut y accéder. »
Cette complexité et ces risques augmentent encore avec l’utilisation d’outils modernes, tels que l’IA. Reijns constate que les organisations travaillent par exemple activement avec Copilot et partagent ainsi des données sensibles, sans être suffisamment conscientes des risques. « Si vous n’avez pas le contrôle sur qui peut voir ou utiliser quoi, vous courez le risque que des données soient divulguées à l’extérieur de manière indésirable. »
lire aussi
Un front uni contre les cybermenaces : comment embarquer les PME dans le train NIS2
Selon M. De Boever, la cybersécurité est complexe car elle comporte différents aspects. « Une sécurité efficace commence par de bonnes bases : la sécurisation des données, une protection solide du réseau et des terminaux, et une bonne gestion de la sécurité d’accès, par exemple par l’authentification multifactorielle », explique-t-il.
« Je crois fermement à une approche holistique de la sécurité. Grâce aux bonnes solutions de sécurité, les organisations peuvent créer une vue d’ensemble en gérant et en surveillant ces éléments de manière centralisée, ce qui permet de détecter plus rapidement les anomalies. »
Pays-Bas vs. Belgique
La NIS2 est une directive européenne. Cela signifie que tous les pays européens peuvent décider eux-mêmes du moment où la directive sera transposée en loi et entrera donc officiellement en vigueur. Les messieurs constatent une nette différence de rythme entre les pays voisins, les Pays-Bas et la Belgique.
« Aux Pays-Bas, la NIS2 joue un rôle beaucoup moins important, car la législation n’est pas encore en vigueur », explique M. Reijns. « Les grandes organisations savent que cela arrive et s’en occupent, mais pour les petites entreprises, ce n’est pas encore une priorité pour le moment. » M. De Boever ajoute : « Avec la situation politique actuelle, il n’est pas facile de transposer les directives NIS2 en une loi aux Pays-Bas. »
En Belgique, tout est déjà bien emballé et nous essayons ensuite de le reprendre aux Pays-Bas.
Gijs Reijns, Product Manager bij Copaco Nederland
Il fait en outre remarquer que, bien que la législation soit déjà en vigueur depuis un an en Belgique, il existe encore une incertitude chez les entreprises. « La mesure dans laquelle les organisations s’en occupent dépend également de leur taille. Les grandes organisations s’en occupent depuis longtemps, mais il reste encore du travail à faire pour les PME. »
Utilité d’un partenaire
Dans l’ensemble du contexte NIS2 et de la sécurité, Copaco s’efforce de se positionner comme un partenaire fiable. « Nous accompagnons les clients en nous basant sur la sensibilisation et le partage des connaissances. Quels sont les règlements, à quoi faut-il faire attention et comment se mettre en conformité ? Ce sont des questions auxquelles nous répondons avec le client », explique M. Reijns. Les consultants s’efforcent, avec le client final, de prendre les mesures appropriées pour se conformer à la directive NIS2.
« Le plus important est que la NIS2 n’est pas une liste de contrôle », souligne M. de Boever. « Elle offre justement aux entreprises informatiques la possibilité de devenir un partenaire commercial stratégique pour leurs clients finaux, dans le but de mieux les protéger et de les rendre plus résistants aux cyberrisques. »
Cet article a été réalisé en collaboration avec Copaco, partenaire d’ITdaily. Afin d’informer les entreprises sur la NIS2, Copaco a mis en place un podcast. Par ce biais, l’entreprise souhaite partager ses connaissances et son expérience, ainsi que sensibiliser à la NIS2. À l’aide de différents cas, les entreprises apprennent comment rendre leur sécurité plus mature. Cliquez ici pour plus d’informations.