De plus en plus d’entreprises s’inscrivent pour NIS2, mais ce sont principalement les PME qui sont à la traîne. Comment pouvons-nous les guider dans le paysage de la sécurité ?
« Si vous voulez continuer à faire partie de l’écosystème en tant que PME, vous devez surfer sur la vague NIS2 », commence Bart Loeckx, Directeur Networking & Security chez Telenet Business. Les PME se heurtent souvent à des difficultés telles que le manque de connaissances et de budget pour configurer leur infrastructure IT conformément à la réglementation NIS2.
Lors d’une table ronde organisée par ITdaily, des experts du domaine se penchent sur une solution commune. « Nous devons regrouper l’expertise fragmentée du marché et l’apporter aux PME », déclare Johan Klykens, Autorité de Certification en Cybersécurité (NCCA) au CCB.
Autour de la table se trouvent également Ron Nath Mukherjee, Consultant en Cybersécurité chez Eset, Sabine van Hoijweghen, Responsable des Ventes et Partenaire chez Secutec et Patrick Banken, Responsable du Développement Commercial chez Kappa Data.
S’inscrire ou non ?
Entre-temps, la première phase de NIS2 a commencé, à savoir l’enregistrement. « Pour le moment, il est encore difficile de prédire combien d’entités doivent s’enregistrer », déclare Klykens. Il présente les chiffres actuels : « 1 500 entités essentielles et 2 500 entités importantes se sont enregistrées aujourd’hui en Belgique. Ces chiffres sont actuellement plus élevés que ce que nous avions initialement estimé. »
La première phase s’avère déjà être un obstacle pour de nombreuses PME. « Beaucoup de petites entreprises tombent des nues et ne savent pas si elles doivent même se conformer à la réglementation NIS2 », entend-on autour de la table.
Klykens trouve cela pourtant surprenant. « Le CCB agit comme un levier pour chaque organisation. Les PME peuvent nous demander par e-mail si elles sont soumises à la réglementation NIS2, à quoi nous pouvons immédiatement donner une réponse claire », fait-il remarquer.
Évangéliser
La plupart des PME adoptent une attitude attentiste en ce qui concerne NIS2. Mukherjee : « Chez Eset, nous remarquons que les PME en Wallonie adoptent une attitude très attentiste. Un an après, nous devons encore évangéliser. »
Banken ajoute que ce n’est pas seulement le cas en Wallonie, mais aussi en Flandre. « Nous constatons une augmentation, entre autres, dans la
Van Hoijweghen souligne également le manque de connaissance chez les PME et fait une distinction entre deux types d’entreprises : « il y a les organisations qui ont toujours pris la sécurité au sérieux et qui voient la directive comme une prochaine étape logique où la direction assume également sa responsabilité, et les entreprises qui doivent maintenant faire un bond en avant mais qui manquent de personnel et de budget pour cela. Dans ce dernier groupe, cela conduit souvent à de l’incertitude, voire de la panique, car elles n’ont jamais abordé la cybersécurité de manière structurelle auparavant. »
Connaissances et coûts
Selon les participants, le manque de connaissances et les coûts élevés sont à la base de l’incertitude des PME. Certaines petites entreprises n’ont tout simplement pas les moyens financiers pour investir dans leur infrastructure IT, ou ne savent pas où investir. « Les entreprises peuvent choisir des solutions qui coûtent un demi-million d’euros ou une simple mise à jour de licence de quelques euros incluant la configuration standard. Pour les PME, il manque les connaissances appropriées pour faire un choix rentable », déclare Klykens.
La cybersécurité est encore trop souvent considérée comme un problème purement informatique.
Patrick Banken, Responsable du Développement Commercial chez Kappa Data
« De plus, la cybersécurité est encore trop souvent considérée comme un problème purement informatique, alors qu’il s’agit en réalité d’un risque pour l’ensemble de l’entreprise », déclare Banken. « Au sein de la PME, la cybersécurité est encore considérée au niveau C comme un problème purement informatique, alors que ce n’est plus le cas depuis longtemps. Il est important que nous créions également une prise de conscience au sein de la direction. »
Établir des priorités
« Si vous ne savez pas ce que vous devez protéger, par où commencer ? », se demande Loeckx. Il attire l’attention des participants sur une approche
Vous n’investissez pas dans NIS2, mais dans la continuité de votre activité.
Bart Loeckx, Director Networking & Security bij Telenet Business
« De quoi ai-je besoin demain en tant qu’entreprise pour poursuivre mes activités ? », commence Loeckx. La réponse à cette question contient vos priorités en tant qu’entreprise. Il illustre cela par un exemple. « Une entreprise de restauration qui perd soudainement toutes les coordonnées de ses clients, et ne sait donc pas ce qui doit être livré et où, ces informations sont prioritaires pour l’entreprise pour mener ses activités. »
Van Hoijweghen souligne également l’importance d’établir des priorités. « Chaque entreprise se trouve à un niveau de maturité différent en matière de sécurité. Il est important d’analyser quels éléments disparates sont présents pour en extraire ensuite les priorités. On ne peut pas tout aborder en même temps », dit-elle. Un conseiller peut aider la PME à déterminer étape par étape quelles mesures sont nécessaires et comment les mettre en œuvre de manière réaliste.
Écosystème de partenaires
« De plus, les PME travaillent souvent avec un partenaire IT de confiance », déclare van Hoijweghen. De ce fait, elles seront moins enclines à travailler avec un spécialiste en cybersécurité distinct. Secutec répond à cela en se positionnant délibérément derrière ces partenaires IT.
Le partenaire IT d’une PME s’accroche à notre wagon et nous fournissons les informations nécessaires.
Sabine van Hoijweghen, Responsable des Ventes et Partenaire chez Secutec
« Nous fournissons les connaissances, les outils et les flux nécessaires pour que le partenaire puisse bien guider son client, sans avoir besoin de toute l’expertise en sécurité lui-même », explique-t-elle. Ainsi, la PME conserve son point de contact familier, tandis que Secutec garantit le soutien en arrière-plan.
Unir les forces
L’expertise au sein du marché est fragmentée. Mukherjee l’expérimente principalement au sein des services publics. « Nous recevons souvent la question des villes et des communes s’il existe une solution partagée car elles ne voient plus la forêt à travers les arbres. »
Tout le monde autour de la table est d’accord sur une approche commune pour faire monter les PME dans le train NIS2. Klykens parle d’une collaboration entre les entreprises de sécurité et les fournisseurs IT pour offrir un service certifié aux PME. « Surtout pour les petites entreprises d’à peine dix employés qui ne connaissent rien, et n’ont pas besoin de connaître, à l’IT mais qui cherchent simplement une solution », dit-il. C’est une prochaine étape où le CCB travaillera très concrètement avec les acteurs.
Les services gérés sont également avancés par Banken comme une solution pour les PME qui n’ont pas les connaissances en interne pour configurer leur infrastructure IT conformément à NIS2. De cette manière, les PME peuvent compter sur une surveillance continue, des correctifs et un suivi sans avoir à construire une équipe de sécurité interne.