Les entreprises françaises se considèrent plutôt matures sur les questions de sécurité, malgré une inquiétude croissante coté règlementations …
Maturité cyber & investissements en France
Le manque de connaissances et de préparation à la mise en conformité sur la réglementation cyber est préoccupant avec les échéances dépassées pour la mise en conformité (DORA, GDPR, Cybersecurity Act) ou arrivant à échéance (NIS 2).
La priorité des investissements n’est pas axée sur la conformité, mais sur la prévention des cyberattaques avec une protection sur les points terminaux de l’infrastructure : antivirus et les pares-feux (24 %), et solutions de sauvegarde (17 %).
Conformité réglementaire NIS2 & DORA
Ainsi, le manque de connaissances et de préparation lié à la réglementation doit alerter.
Si on s’arrête sur NIS 2 :
- 23 % des décideurs n’ont jamais entendu parler de NIS 2 (évolution réglementaire de la norme NIS)
- 24 % ne connaissent NIS 2 que de nom
Si on s’arrête sur DORA :
- 26 % ne connaissent pas les principes du règlement DORA
- 26 % ne connaissent que le règlement DORA pour les services financiers
Si le RGPD semble maîtrisé (48%), le Cybersecurity Act et l’AI Act, sont connues par moins d’un tiers des personnes interrogées
Compréhension & Freins
La compréhension de ces réglementations est un facteur essentiel dans la capacité d’anticipation et de préparation à la mise en conformité :
- 34% sont assez familiers avec le règlement NIS 2
- 32% avec DORA
Côté NIS 2, 24% des entreprises sont prêtes, 45% investissent pour se mettre en conformité, 24% veulent démarrer des projets d’investissement sans calendrier mentionné.
Toutefois, 27% sont déjà prêtes à se mettre en conformité avec l’AI Act, entrée en vigueur août 2024, mais 22% des entreprises ne considèrent pas cette question comme prioritaire.
Alors quels sont les freins ? Pour NIS 2, on observe une méconnaissance des questions réglementaires (33%) et un manque de ressources humaines (33%).
Des investissements stagnants
Les entreprises françaises investissent en moyenne 38 % de leur budget informatique annuel dans les ressources de sécurité.
Les PME et ETI investissent le plus dans leur sécurité (+5 points dans le segment 250-499 salariés par rapport au segment 3 000-9 999 salariés), soit entre 41% et 60% du budget annuel total.
Coté secteur d’activité, 39 % des entreprises du secteur public investissent moins de 20 % de leur budget annuel, contre 15 % dans le secteur des nouvelles technologies et 19 % dans le secteur des services financiers.
Il faut donc passer au mode proactif, « Le marché français a clairement besoin d’un changement d’état d’esprit et d’éducation pour passer d’un mode uniquement réactif à une grande proactivité. Qu’il s’agisse de NIS2, de DORA, de l’AI Act ou de toute autre réglementation à venir, les entreprises doivent mettre en place les processus nécessaires pour trouver l’équilibre entre la protection des données de leurs clients contre les cybermenaces et le respect de la réglementation. C’est le rôle de chaque cyber expert et chef d’entreprise de renforcer cette notion de travail préliminaire mais si nécessaire, voire obligatoire, en investissant et en formant leur personnel aux dernières normes réglementaires et aux principes du Zero Trust, incluant entres autres la connaissance de vos données, la sécurisation de leur accès et le test de votre défense comme base minimal », commente Xavier Mathis, directeur de la stratégie chez Okta France.
Source Etude « État de la maturité cyber et des investissements en France » Okta & IPSOS
Téléchargez cette ressource
Comment lutter contre le Phishing ?
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.