Près de 60 % des PME ignorent si elles sont soumises à la nouvelle réglementation européenne en matière de cybersécurité
À l'approche de Cybersec Europe 2025, Proximus NXT publie son sixième rapport annuel sur la cybersécurité, réalisé en collaboration avec sa filiale Proximus NXT Luxembourg. Selon ce rapport, 56 % des très grandes entreprises ont signalé un nombre de cyberincidents en hausse en 2024. Parallèlement, près de six PME du Belux sur dix ignorent ou ne savent pas avec certitude si une mise en conformité avec la nouvelle directive NIS2 s'impose.
Pour la sixième année consécutive, Proximus NXT et Proximus NXT Luxembourg ont mené une enquête sur la cybersécurité dans les entreprises belges et luxembourgeoises. Plus de 190 CEO, CIO et autres décideurs en la matière y ont participé. Les résultats sont à lire dans le rapport intitulé "L'impact des cybermenaces sur les entreprises du Belux".
Les très grandes entreprises signalent une augmentation des cyberincidents, les PME restent dans le flou
Le pourcentage de très grandes entreprises (> 2.000 employés) ayant subi un incident au cours des 12 derniers mois est passé de 45 % en 2023 à 56 % en 2024. Un cyberincident se définit comme tout événement ayant eu un impact sur la confidentialité, l'intégrité et la disponibilité des systèmes d'information d'une organisation et/ou ayant entraîné une perte de productivité, des conséquences juridiques, une atteinte à la réputation, une perte de données, etc.
Parmi les PME, 5 % déclarent ignorer si elles ont été touchées par un cyberincident au cours des douze derniers mois. Dans les entreprises de moins de 10 employés, ce pourcentage grimpe même à 9 %. Plus l'entreprise est petite, plus l'incertitude est grande quant à une éventuelle exposition à un cyberincident en 2024. Or, selon les données les plus récentes de Statbel, 95,9 % des entreprises belges sont des micro-entreprises. L'impact potentiel n'est donc pas à négliger.
Le rapport de Proximus montre également que les PME victimes d'un cyberincident n'en connaissent pas toujours exactement la cause. Environ une PME sur huit (13 %) ignore si le cyberincident auquel elle a été exposée était d'origine volontaire ou accidentelle. Cette situation contraste avec celle des grandes entreprises, où la cause des cyberincidents est généralement connue.
Cyberincidents : un impact à ne pas sous-estimer
Le rapport révèle également l'impact multiforme des cyberincidents sur les entreprises du Belux : 56 % des répondants pointent les dépenses et ressources liées à la notification des incidents, 33 % déclarent avoir subi une baisse de productivité, tandis qu'un quart des entreprises touchées déplorent une atteinte à leur réputation. Dans 40 % des entreprises ayant répondu à l'enquête, les activités ont été perturbées. Dans la plupart des cas, cependant, ces perturbations ont duré moins d'une semaine.
Les cyberincidents peuvent entraîner de lourdes pertes financières, un dysfonctionnement opérationnel ainsi que des responsabilités sur le plan juridique. Comprendre l'impact économique de ces menaces est dès lors essentiel pour les entreprises qui s'efforcent de protéger leurs actifs et de conserver la confiance de leurs clients.
Parmi les grandes entreprises touchées, toutes ont pu déterminer avec certitude la cause du cyberincident. Cela peut sembler anodin, mais ce résultat est très révélateur. Il montre que la maturité en matière de cybersécurité est plus faible chez les PME, notamment en termes de capacités de détection et de réponse. Or, comment pouvez-vous apprendre, vous adapter ou améliorer vos processus et politiques de cybersécurité si vous ignorez la cause du problème ?
Alors que la directive européenne NIS2 impacte indirectement de nombreuses PME du Belux, 60 % d'entre elles ignorent si elles y sont soumises
Près de six PME du Belux sur dix ignorent ou déclarent ne pas savoir avec certitude si elles sont soumises à la réglementation NIS2, entrée en vigueur en octobre 2024. Cette directive européenne impose aux organisations des exigences de sécurité strictes à l'égard des infrastructures critiques et des données à caractère personnel. Elle vise ainsi à renforcer la sécurité des réseaux et des systèmes d'information, et à garantir la résilience de la société et de l'économie face aux cybermenaces.
La directive NIS2 s'applique aux entreprises actives dans 18 secteurs dès lors qu'elles comptent au moins 50 employés ou réalisent un chiffre d'affaires annuel (ou un bilan total) supérieur à 10 millions d'euros. Mais ce n'est pas tout. Les organisations soumises à la NIS2 doivent également veiller à la qualité des mesures de cybersécurité de leurs fournisseurs et prestataires de services directs. Le fait qu'une entreprise ne réponde pas aux critères généraux du cadre de la loi n'entraîne donc pas automatiquement son exemption à l'obligation de se conformer à la directive NIS2.
La directive NIS2 doit être considérée comme une opportunité de renforcer les capacités de résilience organisationnelle. Elle vise à aider les entreprises à mieux se protéger dans un environnement digital de plus en plus complexe. Chez Proximus NXT, nos équipes pluridisciplinaires de spécialistes, soutenues par un solide écosystème de partenaires en sécurité, sont là pour aider nos clients professionnels à renforcer leur cyber-résilience. Au besoin, nous guidons les organisations à chaque étape du processus de mise en conformité avec la directive NIS2 et les aidons à garantir une conformité continue. Cet accompagnement est assuré par des experts de Proximus NXT dans le cadre de notre offre CISO-as-a-service.
Le rapport complet est disponible ici :
