Maturité cyber & investissements en France

Le manque de connaissances et de préparation à la mise en conformité sur la réglementation cyber est préoccupant avec les échéances dépassées pour la mise en conformité (DORA, GDPR, Cybersecurity Act) ou arrivant à échéance (NIS 2).

La priorité des investissements n’est pas axée sur la conformité, mais sur la prévention des cyberattaques avec une protection sur les points terminaux de l’infrastructure : antivirus et les pares-feux (24 %), et solutions de sauvegarde (17 %).

Conformité réglementaire NIS2 & DORA

Ainsi, le manque de connaissances et de préparation lié à la réglementation doit alerter.

Si on s’arrête sur NIS 2 :

• 23 % des décideurs n’ont jamais entendu parler de NIS 2 (évolution réglementaire de la norme NIS)
• 24 % ne connaissent NIS 2 que de nom

Si on s’arrête sur DORA :

• 26 % ne connaissent pas les principes du règlement DORA
• 26 % ne connaissent que le règlement DORA pour les services financiers

Si le RGPD semble maîtrisé (48%),  le Cybersecurity Act et l’AI Act, sont connues par moins d’un tiers des personnes interrogées

Compréhension & Freins

La compréhension de ces réglementations est un facteur essentiel dans la capacité d’anticipation et de préparation à la mise en conformité :

• 34% sont assez familiers avec le règlement NIS 2
• 32% avec DORA

Côté NIS 2, 24% des entreprises sont prêtes, 45% investissent pour se mettre en conformité, 24% veulent démarrer des projets d’investissement sans calendrier mentionné.

Toutefois, 27% sont déjà prêtes à se mettre en conformité avec l’AI Act, entrée en vigueur août 2024, mais 22% des entreprises ne considèrent pas cette question comme prioritaire.

Alors quels sont les freins ? Pour NIS 2, on observe une méconnaissance des questions réglementaires (33%) et un manque de ressources humaines (33%).

Des investissements stagnants

Les entreprises françaises investissent en moyenne 38 % de leur budget informatique annuel dans les ressources de sécurité.

Les PME et ETI investissent le plus dans leur sécurité (+5 points dans le segment 250-499 salariés par rapport au segment 3 000-9 999 salariés), soit entre 41% et 60% du budget annuel total.

Coté secteur d’activité, 39 % des entreprises du secteur public investissent moins de 20 % de leur budget annuel, contre 15 % dans le secteur des nouvelles technologies et 19 % dans le secteur des services financiers.

Il faut donc passer au mode proactif, « Le marché français a clairement besoin d’un changement d’état d’esprit et d’éducation pour passer d’un mode uniquement réactif à une grande proactivité. Qu’il s’agisse de NIS2, de DORA, de l’AI Act ou de toute autre réglementation à venir, les entreprises doivent mettre en place les processus nécessaires pour trouver l’équilibre entre la protection des données de leurs clients contre les cybermenaces et le respect de la réglementation. C’est le rôle de chaque cyber expert et chef d’entreprise de renforcer cette notion de travail préliminaire mais si nécessaire, voire obligatoire, en investissant et en formant leur personnel aux dernières normes réglementaires et aux principes du Zero Trust, incluant entres autres la connaissance de vos données, la sécurisation de leur accès et le test de votre défense comme base minimal », commente Xavier Mathis, directeur de la stratégie chez Okta France.

Source Etude « État de la maturité cyber et des investissements en France » Okta & IPSOS