Une étude du Cesin (Club des experts de la sécurité de l’information et du numérique), réalisée avec Cybervadis, révèle que les entreprises assujetties à la directive NIS 2 présentent une maturité cyber significativement plus élevée que la moyenne du marché. Si cette réglementation européenne agit comme un levier de progrès pour l’ensemble des organisations, beaucoup peinent encore à passer de la politique à la pratique.
NIS 2, un moteur de maturité cyber
Basée sur l’analyse de 1 049 entreprises, l’étude établit un score moyen de 817 points (sur 1000) pour les organisations classées « essentielles » au sens de la directive NIS 2. Un score jugé proche des objectifs fixés par l’ANSSI, preuve d’un haut niveau de préparation.
Les entités dites « importantes » obtiennent une moyenne de 719 points, tandis que les entreprises hors champ réglementaire plafonnent à 652 points, révélant un écart notable entre structures régulées et non régulées.
Les entreprises soumises à NIS 2 se distinguent particulièrement dans plusieurs domaines clés :
- gouvernance de la sécurité (définition des rôles et responsabilités),
- gestion RH et audit,
- supervision et sécurisation des configurations,
- approche par les risques.
Selon le Cesin, ces écarts traduisent la maturité acquise grâce à l’expérience réglementaire et à la structuration imposée par les obligations de conformité.
Un effet d’entraînement sur l’ensemble du marché
Même au-delà du périmètre NIS 2, la réglementation semble exercer un effet d’entraînement positif. Une large majorité d’entreprises, y compris non concernées, ont initié des démarches formelles de gouvernance de la sécurité, souvent sous la pression croissante des audits de clients ou de leurs propres partenaires.
Les entreprises « essentielles » sont désormais proches du niveau « satisfaisant » défini par l’ANSSI (850 points). L’étude met toutefois en évidence des disparités selon la taille :
- les grandes entreprises affichent en moyenne 865 points,
- les ETI et PME progressent rapidement (+15 à +19 %),
- les TPE restent en retrait avec 647 points, mais montrent les plus fortes améliorations (+25 %).
Gestion des tiers : le maillon faible de la conformité
L’étude pointe une vulnérabilité persistante : la sécurisation de l’écosystème de partenaires et fournisseurs.
C’est le domaine où la maturité reste la plus faible, toutes catégories confondues.
« Les clauses contractuelles ne suffisent pas. Il faut dépasser l’engagement juridique pour instaurer une évaluation active et continue des risques liés aux tiers », soulignent le Cesin et Cybervadis.
Si 67 % des entreprises essentielles ont mis en place une politique d’évaluation des risques liés aux tiers, seules 40 % des importantes et 24 % des non soumises procèdent à des vérifications effectives des engagements de leurs partenaires.
Frank Van Caenegem, administrateur du Cesin et RSSI EMEA de Schneider Electric, rappelle la limite des démarches purement administratives :
« Inonder les fournisseurs de questionnaires ne garantit pas la sécurité. Il faut privilégier une approche collaborative et agile de la résilience. »
Le décalage entre intentions et réalité opérationnelle
L’étude révèle un écart constant entre la formalisation des politiques de sécurité et leur application effective.
Exemples marquants :
- Près de 90 % des organisations disposent d’une politique de sauvegarde, mais seulement 40 % (hors NIS 2) réalisent des tests de restauration ou de vérification d’intégrité.
- La gestion des accès distants illustre la même tendance : si la majorité a documenté ses mesures, seule la moitié des entreprises essentielles a déployé une authentification forte, contre moins d’un tiers des structures hors directive.
- En matière d’audits de sécurité, 56 % des organisations non soumises disposent d’une méthodologie, mais seules 30 % réalisent régulièrement des tests d’intrusion.
Autrement dit, formaliser ne suffit pas : la conformité réelle repose sur la mise en œuvre concrète, la vérification continue et la culture opérationnelle de la sécurité.
Vers une gouvernance plus structurée et résiliente
Cette étude confirme que la conformité réglementaire agit comme un catalyseur de maturité. Les entreprises sous NIS 2 ont globalement adopté une cyber-gouvernance plus structurée, intégrant la sécurité à la stratégie et aux processus métiers.
Mais elle rappelle aussi que la résilience numérique ne se décrète pas.
Elle s’incarne dans des pratiques quotidiennes : test, supervision, amélioration continue et gestion proactive des risques tiers.
À l’approche de la transposition complète de NIS 2 en droit français, les résultats du Cesin offrent une photographie encourageante — mais également un avertissement : le chemin entre intention stratégique et mise en œuvre opérationnelle reste encore à parcourir pour nombre d’organisations.
Source : Le Monde Informatique