digitemis 
Sécurité offensive
Gouvernance & conformité
Protection des données
Le dernier rapport Global Cybersecurity Outlook du Forum économique mondial confirme ce que beaucoup de RSSI constatent au quotidien : CEO et CISO ne regardent pas les mêmes menaces. Cette déconnexion n’est pas nouvelle, mais elle s’accentue. Les données 2026 montrent un écart croissant entre la vision stratégique des directions générales et les priorités techniques des équipes sécurité.
Divergence des préoccupations entre CEO et CISO
Les inquiétudes des décideurs ont nettement divergé cette année. Le consensus autour des ransomwares s’est fissuré, laissant place à des priorités distinctes selon qu’on pilote le business ou la sécurité.
Les ransomwares : un consensus qui s’effrite
En 2025, tout le monde s’accordait sur le ransomware comme menace numéro un. Ce n’est plus le cas. Les CISO continuent de le placer en tête, devant les perturbations supply chain et les vulnérabilités logicielles. Logique : pour un responsable sécurité, le ransomware représente l’échec en cascade de toutes les couches de protection.
Fraude et phishing : la priorité des CEO
Les ransomwares ont disparu du top 3 des CEO. Leur préoccupation principale : la fraude et le phishing. L’ingénierie sociale a gagné en sophistication grâce à l’IA générative, et les CEO y voient une menace directe sur la trésorerie et la réputation. Un virement frauduleux de plusieurs millions fait plus de bruit en comité de direction qu’un chiffrement de serveurs.
Vulnérabilités IA : l’effet CEO
Les organisations qui s’estiment très résilientes placent les vulnérabilités IA en dernière position. Mais si on isole les réponses des seuls CEO de ces mêmes organisations, l’IA remonte en première place. Les dirigeants perçoivent le risque émergent avant que les processus de remédiation soient stabilisés. C’est à la fois une force (anticipation) et un risque (décisions prématurées).
L’IA générative et les fuites de données
L’adoption massive des LLM en entreprise a déplacé le curseur. 2025 était l’année de la découverte, 2026 est celle des dégâts collatéraux.
L’exfiltration devient la crainte dominante
34 % des répondants citent les fuites de données comme risque majeur lié à la GenAI. C’est 12 points de plus que l’an dernier. Chez les CEO, le chiffre atteint 30 %. La crainte est concrète : des collaborateurs qui alimentent ChatGPT avec des données clients, des prompts contenant du code propriétaire, des documents confidentiels copiés-collés dans des interfaces tierces.
Les attaquants montent en compétence
29 % des experts s’inquiètent du renforcement des capacités offensives grâce à l’IA. Les attaquants automatisent leurs tests d’intrusion et personnalisent leurs campagnes de phishing à une échelle inédite. Un mail de spear-phishing généré par IA est grammaticalement parfait et contextuellement pertinent. Les vieux réflexes de détection (« cherchez les fautes d’orthographe ») ne fonctionnent plus.
La gouvernance algorithmique se complique
La sécurité technique des systèmes IA (13 %) et la complexification de la gouvernance (12 %) complètent le tableau. Les DPO doivent désormais intégrer le Privacy by Design non seulement dans les applications classiques, mais aussi dans les pipelines de données qui alimentent les modèles. Un chantier technique et juridique de plusieurs mois.
La supply chain : là où ça coince vraiment
Le risque tiers est identifié comme le maillon faible par les organisations matures. Mais les pratiques varient énormément selon le niveau de résilience de l’entreprise.
Évaluer la maturité cyber des fournisseurs
C’est la méthode la plus répandue : 68 % des organisations le font. Mais l’écart entre les entreprises résilientes (74 %) et les autres (48 %) atteint 26 points. Ne pas auditer ses prestataires, c’est accepter une surface d’attaque qu’on ne contrôle pas. Et en cas d’incident, c’est vous qui expliquerez au régulateur pourquoi votre sous-traitant n’avait pas de politique de mots de passe.
Impliquer la sécurité dans les achats
65 % des organisations intègrent la fonction sécurité dans leurs processus d’approvisionnement. Ce chiffre monte à 76 % chez les plus matures. L’objectif : vérifier avant signature que le partenaire respecte ISO 27001, répond aux exigences NIS2, et peut fournir des preuves d’audit récentes.
Les simulations de crise avec les partenaires
Seulement 27 % des entreprises font des exercices de récupération conjoints avec leurs prestataires. 16 % chez les peu résilientes, 44 % chez les matures. La gestion de crise ne peut pas s’arrêter aux murs de l’entreprise. Si votre hébergeur cloud tombe, avez-vous testé ensemble la procédure de bascule ?
Ce qui distingue les organisations résilientes
Le rapport identifie des marqueurs clairs entre les entreprises qui encaissent les incidents et celles qui chavirent.
Le profil type
Les organisations à haute résilience partagent plusieurs caractéristiques : budget sécurité stable sur trois ans, RSSI rattaché à la direction générale (pas à l’IT), exercices de crise trimestriels, et surtout une culture où signaler un incident n’est pas une faute professionnelle.
Les freins à l’adoption
Le principal obstacle à l’adoption d’outils de sécurité innovants reste le coût perçu versus le risque perçu. Les entreprises peu résilientes sous-estiment systématiquement la probabilité d’un incident majeur. Jusqu’à ce qu’il arrive.
La validation humaine reste indispensable
41 % des répondants insistent sur la nécessité d’une validation humaine des réponses de l’IA. Les faux positifs d’un SIEM mal calibré paralysent les équipes. L’automatisation doit assister l’analyste, pas le remplacer.
L’IA défensive : où elle apporte vraiment de la valeur
Malgré les risques, l’IA reste un outil de protection puissant quand elle est bien utilisée.
Détection du phishing
52 % des organisations utilisent l’IA pour détecter le phishing et les anomalies mail. C’est l’usage le plus mature et le plus rentable. Les solutions actuelles bloquent des campagnes entières avant qu’un seul utilisateur ne clique.
Automatisation de la réponse
43 % automatisent leurs opérations de sécurité, 46 % utilisent l’IA pour la détection d’intrusions. L’enjeu n’est plus de collecter des logs – c’est de traiter les alertes en temps réel. Le MTTD (temps moyen de détection) et le MTTR (temps moyen de réponse) sont devenus les KPI qui comptent.
Analyse comportementale
40 % déploient des outils UEBA (User and Entity Behavior Analytics) pour repérer les menaces internes. Un collaborateur qui télécharge 50 Go de données à 3h du matin avant sa démission, ça se détecte. Encore faut-il avoir les outils pour le voir.
Évaluer les outils IA avant de les déployer
64 % des organisations évaluent désormais leurs outils IA avant déploiement. C’est un progrès, mais le diable est dans les détails.
Une seule évaluation ne suffit pas
24 % font une évaluation unique, 40 % ont mis en place un cycle périodique. Seule la seconde approche tient la route. Un modèle IA évolue par apprentissage continu – son comportement change, ses risques aussi.
Le problème des compétences
54 % des répondants citent le manque de compétences comme premier obstacle. Trouver des profils qui comprennent à la fois la cybersécurité et le machine learning relève du parcours du combattant. Les salaires s’envolent, les candidats sont rares.
Former en interne
Faute de pouvoir recruter, beaucoup d’organisations forment. Les programmes certifiants se multiplient, mais il faut du temps pour monter en compétence une équipe entière. C’est un investissement sur 18 à 24 mois minimum.
Actions concrètes pour renforcer votre posture
Audits et tests d’intrusion ciblés
Un pentest annuel ne suffit plus. Les organisations matures testent leurs environnements critiques après chaque changement majeur. Les audits de configuration permettent de détecter les dérives avant qu’un attaquant ne les exploite.
RSSI externalisé pour les structures en croissance
Pour les ETI et les scale-ups qui n’ont pas les moyens d’un RSSI senior à temps plein, l’externalisation est une option viable. Un expert à temps partagé assure le pilotage stratégique, la conformité réglementaire, et libère les équipes IT des sujets de gouvernance.
Protection des données et RGPD
Le RGPD n’a pas disparu avec l’arrivée de l’IA. Les obligations de protection des données s’appliquent aux données d’entraînement comme aux outputs des modèles. Les sanctions continuent de tomber pour les organisations négligentes.
Digitemis peut vous accompagner sur l’ensemble de ces besoins. N’hésitez pas à nous contacter !
