La cybersécurité allemande est une illusion – Pourquoi les rapports du BSI et NIS2 nous bercent dans une fausse sécurité

L’Allemagne se présente comme un leader en matière de cybersécurité – avec les rapports de situation du BSI, la mise en œuvre de NIS2 et la réglementation KRITIS. Pourtant, la réalité dans les entreprises et les administrations montre un autre tableau : la plupart des mesures sont du papier sans effet opérationnel. Un état des lieux inconfortable.

L’essentiel

• Les rapports de situation du BSI décrivent correctement la situation des menaces – mais la protection opérationnelle dans les administrations et les PME est en retard de plusieurs années
• NIS2 oblige environ 30 000 entreprises, mais beaucoup n’ont ni budget ni personnel pour la mise en œuvre
• La numérisation de l’administration publique échoue sur des bases : logiciels obsolètes, correctifs manquants, absence de réponse aux incidents
• La pénurie de main-d’œuvre dans la cybersécurité est plus grave en Allemagne que dans les pays de l’UE comparables

Le village Potemkine de la cybersécurité allemande

Chaque année, le BSI publie son rapport de situation. Chaque année, la situation des menaces augmente. Chaque année, de nouvelles réglementations suivent. Et chaque année, il se passe trop peu de choses sur le plan opérationnel.

Le problème n’est pas l’analyse. Les rapports du BSI font partie des meilleurs au monde. Le problème est l’écart entre la connaissance et l’action. Un exemple : le district d’Anhalt-Bitterfeld a été mis hors service par un ransomware en 2021. L’administration est restée hors service pendant des mois. Quatre ans plus tard, des centaines de communes allemandes exploitent encore des infrastructures identiques sans durcissement notable.

NIS2 devrait changer cela. Sur le papier, cela semble ambitieux : obligations de déclaration dans les 24 heures, responsabilité personnelle des dirigeants, sanctions allant jusqu’à 10 millions d’euros. Dans la pratique ? La mise en œuvre allemande est en retard sur le calendrier de l’UE. Beaucoup des 30 000 entreprises concernées ne savent même pas qu’elles relèvent de NIS2.

Où se situent les lacunes concrètement

Administration publique : Des milliers d’autorités fonctionnent avec des systèmes Windows au-delà de la fin du support. La gestion des correctifs existe souvent seulement en tant que concept. Les départements informatiques se composent d’une ou deux personnes qui réparent les imprimantes et administrent Active Directory en même temps.

PME : Les entreprises de 200 à 500 employés n’ont souvent pas de responsable de la sécurité dédié. L’informatique est gérée par le directeur général ou externalisée à un prestataire de services qui assure principalement la disponibilité, pas la sécurité.

Infrastructures critiques : Hôpitaux, fournisseurs d’eau, réseaux énergétiques – théoriquement protégés par les règlements KRITIS. En pratique, les audits montrent toujours : la segmentation fait défaut, les réseaux OT sont connectés à Internet, les sauvegardes ne sont pas disponibles hors ligne.

L’auto-illusion de la conformité

Le problème réel est structurel : l’Allemagne confond conformité et sécurité. Un certificat ISO-27001 prouve que les processus sont documentés – pas qu’ils fonctionnent. Un test de pénétration tous les deux ans montre une image instantanée – mais les attaquants testent quotidiennement.

La densité réglementaire augmente, mais la résilience opérationnelle ne suit pas proportionnellement. Les entreprises investissent dans des rapports d’audit et des outils de conformité plutôt que dans la détection et la réponse. Le résultat : une documentation parfaite, mais en cas de problème, aucun plan de réponse aux incidents qui ait été testé sous pression.

Ce qui devrait vraiment changer

1. Vérifications opérationnelles plutôt que des audits sur papier : Les régulateurs ne devraient pas seulement vérifier la documentation, mais effectuer des exercices de red team non annoncés. Celui qui ne réussit pas l’examen ne reçoit pas de période de grâce, mais doit corriger immédiatement.

2. Services de sécurité centralisés pour les PME : Les PME ne peuvent pas gérer leurs propres SOC. L’État doit – comme en Israël ou en Estonie – fournir des services centralisés : renseignement sur les menaces, réponse aux incidents, analyse des vulnérabilités en tant qu’infrastructure publique.

3. Offensive sur les compétences plutôt que des déclarations de principe : L’Allemagne forme moins de 5 000 experts en cybersécurité par an. Le besoin est de plus de 100 000. Sans une réorientation radicale de la formation – y compris des programmes de reconversion et une rémunération attractive dans le secteur public – toute réglementation reste inefficace.

Conclusion : L’honnêteté comme premier pas

L’Allemagne n’a pas de problème de connaissance, mais de mise en œuvre. Les rapports de situation sont corrects, les réglementations ambitieuses – mais entre le texte de loi et la pratique, il y a un écart dangereux. La première étape serait de nommer honnêtement cet écart, plutôt que de se bercer d’illusions de conformité.

Faits clés

Personnel du BSI : Le BSI compte environ 1 700 employés – l’autorité israélienne comparable INCD opère avec une force similaire pour un dixième de la population.

Pannes KRITIS : Selon le BSI, il y a eu plus de 670 incidents de cybersécurité déclarables dans les infrastructures critiques en 2024 – une augmentation de 28 pour cent.

Questions fréquentes

NIS2 est-il inefficace ?

NIS2 n’est pas inefficace, mais sa mise en œuvre en Allemagne est trop lente. La directive donne les bons impulsions – responsabilité personnelle, délais de déclaration courts, amendes élevées. Le problème réside dans la législation nationale retardée et les capacités d’audit insuffisantes.

Que peuvent concrètement faire les PME si le budget et le personnel manquent ?

Trois mesures immédiates : Premièrement, acheter la détection et la réponse gérées (MDR) en tant que service externe – cela coûte une fraction d’un SOC propre. Deuxièmement, mettre en place des sauvegardes hors ligne et les tester mensuellement. Troisièmement, mettre en œuvre les dix contrôles CIS les plus importants – cela réduit 85 pour cent de tous les vecteurs d’attaque.

Comment l’Allemagne se situe-t-elle dans le classement de l’UE ?

Dans le rapport de maturité ENISA, l’Allemagne se situe dans le haut du milieu de tableau – derrière l’Estonie, les Pays-Bas et la France. Il y a un besoin important de rattrapage, notamment dans la mise en œuvre dans les PME et l’administration publique.

Articles connexes

• Convention de Genève numérique : Pourquoi le droit international échoue dans le cyberspace
• Interdire les paiements de ransomware ? La pire idée de la politique cybernétique
• Le CISO est un bouc émissaire – Pourquoi le rôle doit être fondamentalement réformé

Plus du réseau MBF Media

• Numérisation dans les PME : Meilleures pratiques sur mybusinessfuture.com
• Perspectives des cadres supérieurs sur la cybersécurité sur digital-chiefs.de

Source de l’image : Pexels

À propos de l'auteur: Tobias Massow

Plus d'articles de Tobias Massow