NIS-2 : Les entreprises ne sont pas encore prêtes à assumer les réglementations à venir en matière de cybersécurité

août 2024 par Kaspersky

En octobre 2024, une série de lois sur la cybersécurité, entrera en vigueur dans l’Union européenne (UE), pour améliorer la sûreté, la sécurité et l’intégrité numériques des réseaux et des systèmes d’information dans l’UE, en passant par les réseaux d’infrastructure, les voitures ou encore les chaînes d’approvisionnement. Pourtant, le dernier rapport de Kaspersky révèle que les chefs d’entreprise pourraient ne pas être prêts à assumer les nouvelles règles numériques, à l’instar du WP.29, de NIS-2, la loi sur la résilience de l’UE et la directive de l’UE sur la chaîne d’approvisionnement. Comme l’indique l’étude, peu d’entreprises ont mis en place des mesures de cybersécurité concernant l’utilisation de l’IA : seules 22 % d’entre elles ont envisagé de la réglementer. La situation est similaire pour le WP.29 : si 23 % des entreprises ont déjà élaboré des plans, elles n’ont pas commencé à les mettre en œuvre et ne les ont pas encore concrétisés.

L’UE et ses États membres déploient des efforts considérables pour renforcer la cybersécurité sur l’ensemble du territoire européen :

• Le WP.29 réglemente un ensemble de normes de cybersécurité communes pour l’automatisation des véhicules automobiles, visant à optimiser les systèmes chargés de gérer les risques liés aux technologies de l’information pour les nouveaux véhicules.

• De leur côté, les nouvelles règles de cybersécurité NIS-2 visent à moderniser le cadre juridique existant des secteurs d’infrastructures critiques de l’UE tels que l’énergie, l’eau, les télécommunications, les transports, la santé, la finance et les banques, et les services numériques, en tenant compte de la transition numérique et de l’évolution du paysage des menaces cyber.

• Visant à renforcer la sécurité informatique et numérique des banques, des compagnies d’assurance et des entreprises d’investissement dans l’UE, la loi sur la résilience de l’UE garantit leur résilience en cas de perturbation opérationnelle grave.

• La directive européenne sur la chaîne d’approvisionnement soumet quant à elle les grandes entreprises de l’UE à des obligations juridiques en matière de diligence raisonnable dans leurs chaînes d’approvisionnement mondiales, à l’égard des droits humains et des droits environnementaux

La majeure partie de ces législations est déjà en vigueur, ou le sera bientôt, mais les conclusions du rapport de Kaspersky pointent une difficulté : bien que les chefs d’entreprise soient conscients des dangers liés aux cybermenaces, la plupart d’entre eux en comprennent mal la complexité et sous-estiment la capacité des groupes malveillants à atteindre leurs cibles. Ce constat, associé à une mauvaise répartition des ressources, conduit de nombreux dirigeants à devoir difficilement composer avec les complexités inhérentes à la cyberdéfense.

Une étude de Kaspersky montre que même si l’IA se généralise sur le lieu de travail, les chefs d’entreprise ont encore besoin d’être informés sur les cyber-risques liés à sa mise en œuvre. Plus de la moitié (53 %) des cadres dirigeants reconnaissent que l’IA est déjà bien présente dans leur entreprise, pour rationaliser les opérations et simplifier certaines tâches quotidiennes. On y apprend également que 91 % des chefs d’entreprise souhaitent en savoir plus sur le fonctionnement de l’IA et les processus de gestion des données, ce qui témoigne d’une approche proactive de l’exploitation de son potentiel. Mais malgré cette volonté affichée, peu d’entre eux mesure l’ampleur des risques, avec seulement 59 % des répondants s’inquiétant des fuites de données liées à l’IA, et moins d’un quart (22 %) d’entre eux ayant porté le sujet de la réglementation en matière d’IA aux conseils d’administration .

Malheureusement, l’IA n’est pas le seul problème, et un certain manque de préparation est observable dans l’ensemble des pays et des industries concernés. Dans le secteur automobile, une enquête de Kaspersky indiquait qu’à un an de l’entrée en vigueur d’une des réglementations clé de WP.29, 42 % des dirigeants interrogés n’avaient pas encore de plan pour la mise en œuvre de la norme, et 63,5 % d’entre eux avaient avoué ne pas être très impliqués dans la planification des réglementations à venir. L’industrie automobile et ses fournisseurs sont donc encore très en retard dans la mise en œuvre des réglementations.

« La cybersécurité est au cœur de toutes nos activités aujourd’hui, de nos déplacements, à la bonne conduite des activités de nos entreprises et des institutions. Pourtant, on observe des lacunes alarmantes concernant la mise en œuvre des mesures de protection numérique de l’UE, au risque d’engendrer une grave crise de cybersécurité. Au vu du peu d’entreprises s’appliquant à réglementer le recours à l’IA dans leur organisation, et de l’insuffisance des mesures de cybersécurité qui y sont mises en place, le risque d’être confronté à des cyberattaques et des fuites de données est décuplé. Les entreprises doivent de toute urgence allouer des ressources et anticiper la législation à venir, sous peine de subir de graves conséquences. », commente Thierry Gourdin, directeur avant-vente de Kaspersky France.

