Un nouveau rapport de Proximus NXT révèle que près de 60 pour cent des PME en Belgique et au Luxembourg ne savent pas avec certitude si elles sont concernées par la nouvelle directive européenne NIS2. Parallèlement, les très grandes entreprises signalent davantage d’incidents cybernétiques que l’année précédente.
Proximus NXT et Proximus NXT Luxembourg ont interrogé plus de 190 dirigeants d’entreprises, directeurs des systèmes d’information et autres décideurs pour leur rapport annuel sur la cybersécurité. Il en ressort que le nombre de très grandes entreprises (plus de 2 000 employés) ayant signalé un incident cybernétique est passé de 45 pour cent en 2023 à 56 pour cent en 2024. Un incident cybernétique est défini de manière large : de la perte de données et de productivité aux conséquences juridiques ou à l’atteinte à la réputation.
Les PME ne sont pas épargnées, mais signalent nettement moins d’incidents. Néanmoins, 5 pour cent d’entre elles indiquent ne pas savoir si elles ont subi un incident cybernétique. Pour les micro-entreprises – moins de dix employés – cette proportion atteint 9 pour cent. Selon Statbel, 95,9 pour cent des entreprises belges entrent dans cette catégorie, ce qui accroît le risque pour l’économie au sens large.
Une sensibilisation moindre et une détection limitée dans les petites entreprises
L’incertitude quant à leur propre situation s’étend également à la connaissance de la réglementation. Ainsi, 59 pour cent des PME ne savent pas si la législation NIS2 leur est applicable. Cette directive européenne impose des exigences plus strictes en matière de cybersécurité et de signalement des incidents.
En outre, le rapport révèle que les petites entreprises ont une visibilité moindre sur la cause d’un incident cybernétique. Pour 13 pour cent des PME touchées, il n’était pas clair si l’incident était le résultat d’une attaque ciblée ou d’une erreur humaine. Dans les grandes entreprises, une cause claire a pu être identifiée à chaque fois. Cela indique une différence de maturité en matière de détection et de réponse.
Selon le rapport, les incidents cybernétiques entraînent souvent des perturbations opérationnelles : 40 pour cent des entreprises touchées ont connu des perturbations dans leurs activités, 33 pour cent ont subi une perte de productivité. Dans 56 pour cent des cas, l’incident a entraîné des coûts supplémentaires pour le signalement ou la gestion de celui-ci. Un quart des organisations ont subi une atteinte à leur réputation.
Les résultats montrent que les PME en Belgique et au Luxembourg doivent urgemment travailler à une plus grande sensibilisation à la cybersécurité, y compris la connaissance de leurs obligations en vertu de la réglementation européenne.
lire aussi