• Services
  • Insights
  • A propos
  • Carrières
  • Ressources
de en sv
Contactez-nous
Fermer le menu
PH_wp_[EN]_Blog listing - banner
Suivez nos actualités ! News, articles, conseils et invitations à des évènements QA directement par email.
Je m'inscris
de en sv
icon-software_testing

Test Logiciel
icon-strategy Stratégie de test icon-management Test Management icon-performance_testing Test de performance scopeprocess Gestion des données icon-agile Méthodes Agiles icon-risk_based_testing Risk-based testing icon-embedded_testing Systèmes embarqués icon-training-1 Formations QA
icon-high end automation

Intelligent Automation
icon-test_automation Automatisation des tests icon-continuous_integration CI/CD
icon-AI_growth

Qualité optimisée par l'IA
IA Générative IA Générative icon-ai_testing AI testing icon-training Formations IA
icon-sap_testing

Migration SAP
icon-cybersecurity

Cybersecurite
icon-security_governance Gouvernance icon-security_compliance Conformité icon-security_architecture Architecture de sécurité icon-penetration_testing Tests d'intrusion icon-software_testing Analyses des vulnérabilités icon-operational_security Sécurité opérationnelle
icon-systems

Systèmes de Test
icon-additional_services

Exigences & UX Design
icon-requirements Gestion des exigences icon-ux_design UX Design
icon-location_pin

Testing Centers
iconai_integration

IA et Qualité Logicielle
icon-cybersecurity

Cybersécurité : les enjeux
icon-sap_testing

Migration SAP et données
icon-salary

Optimisation des coûts
icon-quality service

A propos de QESTIT
icon-time

Notre Histoire
icon-growth

Notre Top Management
icon-CSR governance

Notre approche RSE
icon-partnership

Nos références
icon-check

Nos partenaires
icon-launch-02

Boostez votre carrière
icon_collaboration

Découvrez-nous
icon-personal_development

We take you further
icon-profile

Imaginez-vous chez QESTIT
icon-job_board

Offres d'emploi
icon-news

Actualités
icon-blog

Blog
icon-resources

Plus de ressources
Contactez-nous
Ordinateur principes de cybersécurité

De la sensibilisation à l'action : se préparer à la directive NIS2

La directive sur la sécurité des réseaux et des systèmes d'information 2 (NIS2), entrée en vigueur en janvier 2023, représente un tournant majeur dans l'approche de l'Union européenne en matière de cybersécurité. Renforçant la première directive NIS, la NIS2 introduit des mesures de sécurité plus strictes, des délais plus courts pour la notification des incidents et une attention accrue portée à la sécurité des chaînes d'approvisionnement. Les entreprises qui ne respectent pas cette directive risquent désormais des amendes allant jusqu'à 10 millions d’euros ou 2 % de leur chiffre d'affaires mondial, selon le montant le plus élevé.

 

Une récente enquête menée par SANS offre un aperçu précieux sur la préparation des entreprises à la NIS2 et sur les défis rencontrés. Elle rassemble les réponses d’environ 500 professionnels, allant des administrateurs de sécurité aux CSO et CTO, couvrant une large gamme de perspectives européennes, avec des contributions additionnelles d'Amérique du Nord et d'Asie. Cela reflète l'importance mondiale de la NIS2 pour les entreprises opérant dans l’UE ou y fournissant des services.

 

Comprendre le paysage des menaces

Selon l’enquête, près de la moitié des répondants (47 %) jugent le niveau actuel des cybermenaces « élevé », tandis que 37 % le qualifient de « grave ou critique ». Cela souligne l'inquiétude croissante face à l’évolution constante des cybermenaces. Malgré cela, il existe aussi de l'optimisme quant au rôle positif de la NIS2, puisque 60 % des répondants considèrent la directive comme essentielle à l'amélioration de la cybersécurité des infrastructures critiques et des services numériques.

 

État d’avancement et défis de mise en œuvre :

Mettre en place les exigences de la directive NIS2 représente un défi important. D’après l’enquête, 35 % des entreprises ont déjà commencé ce processus, et 50 % supplémentaires travaillent activement pour atteindre la conformité. Cependant, le parcours comporte des obstacles notables : près de la moitié des entreprises évoquent un manque de ressources comme défi majeur, tandis que 37 % mentionnent des budgets insuffisants pour supporter les mesures de sécurité requises. De plus, 32 % rapportent des difficultés dues à un manque de compétences internes, soulignant le besoin évident de formation spécialisée.

 

Focus sectoriel

Certains secteurs apparaissent particulièrement vulnérables aux cybermenaces selon la directive. L’enquête identifie l'énergie, la santé et l’administration publique comme les trois secteurs les plus susceptibles d’être affectés par des incidents majeurs, avec l’énergie en tête (52 %). Cela confirme l’importance cruciale de protéger des services essentiels qui, perturbés, pourraient avoir des impacts sociétaux et économiques considérables.

 

Réponse et notification des incidents

Un élément clé de la NIS2 est sa demande de réponses rapides et efficaces aux incidents. L'enquête indique que 70 % des entreprises disposent déjà de plans formels de réponse aux incidents, essentiels pour détecter et réagir rapidement aux cyberattaques. Néanmoins, environ 30 % des organisations manquent encore de mécanismes structurés de notification, un écart problématique face à l'exigence stricte de la directive qui impose une notification des incidents sous 24 heures. Heureusement, 26 % des incidents connus sont maîtrisés entre 6 et 24 heures après leur détection, même si leur résolution complète nécessite généralement de 2 à 7 jours. Cela montre une bonne réactivité initiale mais révèle aussi une marge d'amélioration sur le processus global de résolution.

 

Différences de préparation entre systèmes IT et ICS/OT

L’enquête révèle une disparité notable de préparation entre les systèmes informatiques (IT) et les systèmes industriels (ICS) ou les technologies opérationnelles (OT). Alors que 75 % des organisations réalisent des évaluations annuelles de sécurité pour leurs systèmes IT, seulement 38 % le font pour leurs environnements ICS/OT. Cet écart est préoccupant, notamment pour les fournisseurs d'infrastructures critiques, soulignant le besoin d'évaluations plus fréquentes et adaptées à la protection des opérations industrielles.

 

Le rôle clé de la formation et de la sensibilisation

Selon 26 % des répondants, l’amélioration de la sensibilisation à la cybersécurité et la formation des employés constituent une étape essentielle vers la conformité à la NIS2. Des programmes réguliers de formation peuvent réduire significativement le risque d’attaques par ingénierie sociale telles que le phishing. Investir dans des initiatives complètes de sensibilisation est donc indispensable pour renforcer la résilience organisationnelle.

 

Recommandations clés pour atteindre la conformité

Face à la complexité de la NIS2, les entreprises devraient privilégier plusieurs actions essentielles. Renforcer la sécurité de la chaîne d'approvisionnement demeure la principale préoccupation, citée par 25 % des répondants. Cela implique des procédures renforcées d'évaluation des fournisseurs, des audits réguliers et l'intégration de clauses de cybersécurité dans les contrats fournisseurs.

 

Il est également recommandé aux entreprises de constituer des équipes dédiées à la réponse aux incidents, améliorant ainsi leur capacité à gérer efficacement les événements de sécurité. De plus, attribuer des ressources suffisantes et augmenter les budgets cybersécurité facilitera l’adoption d’outils avancés comme les systèmes SIEM (Security Information and Event Management) et les solutions XDR (Extended Detection and Response).

 

Regarder vers l’avenir – Passer de la sensibilisation à l’action

Le délai initial de conformité à la NIS2 ayant expiré le 18 octobre 2024 et avec l’adoption imminente des législations nationales spécifiques, il est impératif pour les organisations de s’assurer de leur conformité. Cela implique d’aligner le leadership avec les objectifs de la directive, de sécuriser les ressources nécessaires et de sensibiliser toutes les parties prenantes aux conséquences d'une non-conformité. En procédant ainsi, les entreprises respecteront leurs obligations réglementaires tout en renforçant globalement leur cybersécurité et leur résilience face aux menaces modernes.

 

Rapport complet en anglais :  NIS2 Directive Readiness: Compliance, Challenges, and Recommendations

Shahin Imanverdiyev

Shahin met sa passion pour la cybersécurité au service d'une multitude de projets passionnants. En collaboration avec ses clients, il développe des solutions de sécurité pratiques et sur mesure, que ce soit sur place ou à distance. Il attache une grande importance au partage de ses connaissances et à la réussite des défis en équipe. Toujours à l'affût des nouveaux développements, il reste à l'écoute du secteur et aborde chaque tâche avec enthousiasme et des idées neuves.

Restez Informés Envie d'en savoir plus ?

Recevez directement par e-mail les derniers articles QESTIT sur l'assurance qualité, nos guides spécialisés, des invitations à des webinaires et autres événements.

share the article

Sièges

QESTIT

20 rue d’Athènes
75009 Paris, France

QESTIT AG

Thurgauerstrasse 54
8050 Zurich, Suisse

Voir toutes nos agences
Suivez-nous sur les réseaux :
linkedin linkedin instagram instagram youtube youtube
Nos Services
Test Logiciel Intelligent Automation Qualité optimisée par l'IA Migration SAP Cybersécurité Systèmes de test Exigences & UX Design Testing Centers
A propos
Qui sommes-nous Carrières Offres d'emploi Contact
Ressources
Actualités Blog Plus de ressources
Copyright© 2025 Qestit
Politique de confidentialité Mentions Légales Annonce Légale