

Alors que la date limite de transposition de la directive NIS2 a été fixée au 17 octobre 2024 par la Commission européenne, les pays de l’UE avancent à des rythmes différents… Ayant pris les devants par rapport à cette date butoir, la Belgique, l’Italie, la Lettonie, la Lituanie, la Hongrie et la Croatie font partie des bons élèves, comme le rappelle une analyse de Wavestone sur le sujet.
En France, la transposition de NIS2 doit se faire à travers un projet de loi sur la résilience qui englobe également les directives REC (résilience des entités critiques) et DORA. En raison de la dissolution de l’Assemblée nationale intervenue en juin 2024, le processus a été fortement « perturbé » et n’annonce pas, pour le moment, de date précise (vraisemblablement mi-2025).
Mise en conformité NIS2 : d’importantes différences entre grands groupes et PME
Au sein des entreprises concernées, la mise en conformité à NIS2 est vécue différemment. « Chez les 500 plus grands groupes français, NIS2 va créer assez peu de troubles. Conformes à ISO 27001, et concernés – pour certains – par DORA, les grands groupes sont dans des démarches déjà très avancées sur le plan réglementaire. Et surtout, ce sont des entités qui ont pris en charge leur sécurité depuis très longtemps. En ce qui concerne les ETI, elles sont déjà concernées par NIS2, elles vont donc être obligées de dépenser un peu plus. En revanche, la grande inconnue concerne les PME car, en l’absence de transposition, nous ne savons pas précisément où et comment va s’appliquer la règle », détaille Éric Domage, Analyste en cybersécurité chez PAC France
À l’occasion du Cybermoi/s 2024, le site Cybermalveillance.gouv.fr a confié à OpinionWay la réalisation d’une étude sur le niveau de cyberprotection des TPE et PME françaises. Il en ressort que 61 % des entreprises françaises de moins de 250 salariés s’estiment faiblement protégées en matière de cybersécurité. 72 % ne disposent d’aucun salarié dédié à cette tâche et, pour 68 % d’entre elles, le budget en sécurité informatique est de moins de 2 000 euros par an.
« La plupart du temps, les PME se considèrent comme ‘plus ou moins équipées’ en matière de cybersécurité. Elles disposent soit d’un antivirus ou d’un firewall à jour, soit d’une défense automatique dans tel ou tel logiciel, soit d’une suite de sécurité vendue par leur opérateur téléphonique… Pour se mettre au niveau de NIS2, ces entreprises n’auront pas les moyens de s’offrir un RSSI. Elles vont dans la plupart des cas s’adresser à une entreprise de conseil ou de services managés, le plus près possible de chez elles. Les sommes dépensées par toutes les PME vont générer une croissance des dépenses globales et il y a fort à parier que ce sont les entreprises de services (consulting d’abord et services managés ensuite) qui vont en profiter », note Éric Domage.
Qui tire profit de la manne financière NIS2 ?
Parmi les acteurs qui tirent d’ores et déjà profit de cette manne financière provenant des PME figure Orange Cyberdéfense. « Cet acteur se positionne depuis un an sur ce type d’offres en vendant des suites de services, avec du conseil intégré. Grâce à son canal de distribution en région (agences régionales), il avance très vite, notamment avec ses offres Micro-SOC (solution managée de détection et protection des postes de travail et serveurs) et le pack Orange Cybersecure. Mais il faut bien avoir en tête qu’Orange Cyberdéfense vend avant tout du service donc s’il y a de la croissance, c’est le service qui en bénéficiera », complète Éric Domage.
Parmi les champions du service se trouve Hub One, opérateur de technologies digitales pour les entreprises, filiale du Groupe ADP. « Hub One assure le niveau 1 de défense (N1). Il passe le N2 et le N3 à des fournisseurs spécialisés. Mais avec l’automatisation et l’IA, le niveau 1 est en train de disparaître », commente Éric Domage.
Et parmi les fournisseurs spécialisés figurent Microsoft et sa suite de sécurité, Palo Alto et Fortinet, dans leurs spécialités respectives, ainsi que Cato Networks et sa plateforme SASE. « Sur le marché des PME, qui est un marché durable, nous voyons s’imposer en deuxième rideau des fournisseurs extrêmement capables, de très bonne tenue, dont beaucoup ne sont pas européens, ce qui peut agacer quand certains acteurs vont bénéficier d’aides publiques pour leur mise en conformité. Donc, finalement, remonter grâce à NIS2 le niveau de sécurité de tous, pour le bienfait de tous, dans une logique de bloc européen, est parfait, mais nous avons juste raté une chose : flécher ces dépenses vers l’industrie européenne de la cybersécurité », analyse Éric Domage.
Fortinet, un des acteurs cités par Éric Domage, livre par l’intermédiaire de son RSSI EMEA, Alain Sanchez, son analyse : « Concernant NIS2, les acteurs qui vont remporter la mise sont ceux qui comprennent les trois facettes du problème : la technique, le business et les aspects légaux. Face aux demandes des entreprises, il ne peut plus y avoir aujourd’hui d’acteurs fonctionnant en silo. Une collaboration de plus en plus grande entre ces trois aspects est désormais nécessaire. La vision de Fortinet a toujours été de fusionner réseau et sécurité, dans une approche ‘security-driven networking’, ce qui nous positionne sur les deux premiers piliers. Sur la partie conformité, nous partons du postulat suivant : ‘Qui voit le réseau, voit l’entreprise’. Nous sommes donc en capacité d’extraire les informations nécessaires et de faire en sorte qu’elles soient utiles aux décideurs », conclut Alain Sanchez.
la newsletter
la newsletter