Vue lecture

↗️

Cybersécurité : entre CISO et CEO, les priorités divergent

✇Silicon
Par : Clément Bohic

En matière de cyber, selon qu’on est CEO ou CISO, on privilégiera la prévention des pertes financières ou la résilience opérationnelle.

Rien d’exceptionnel dans ce constat. Mais il trouve une illustration notable dans le dernier rapport Global Cybersecurity Outlook du Forum économique mondial. D’une année à l’autre, les principales inquiétudes exprimées ont effectivement divergé entre les deux fonctions.

En 2025, les ransomwares étaient en tête de liste chez les CEO comme chez les CISO. Les premiers citaient ensuite fraude / phishing et perturbations de la supply chain. Les seconds faisaient de même, mais dans l’ordre inverse.

Cette année, les ransomwares restent la principale préoccupation des CISO (devant les perturbations de la supply chain et l’exploitation de vulnérabilités logicielles). Ils ne sont, en revanche, plus dans top 3 chez les CEO, qui s’inquiètent en premier lieu de la fraude et du phishing ; puis des vulnérabilités de l’IA et des logiciels.

Des différences entre organisations, il y en a aussi en fonction du niveau de cyberrésilience estimé. Les répondants* qui le jugent élevé ont tendance à craindre avant tout les perturbations de la supply chain. Et, au contraire, à mettre les vulnérabilités IA en dernier sur leur liste. Cependant, si on restreint cet échantillon aux CEO, les vulnérabilités deviennent la crainte numéro un…
Cet « effet CEO » est moins significatif parmi les organisations dont le niveau de cyberrésilience est jugé insuffisant.

La GenAI, désormais crainte en premier lieu pour les fuites de données

Si on zoome sur la GenAI, les inquiétudes des CEO sont plus proches de celles de l’échantillon dans son ensemble.

(Une seule réponse possible) Fuites de données Développement des capacités des attaquants Sécurité technique des systèmes d’IA Complexification de la gouvernance Risques de supply chain logicielle Propriété intellectuelle et responsabilité
Ensemble 34 % 29 % 13 % 12 % 7 % 4 %
CEO 30 % 28 % 15 % 13 % 9 % 6 %

Sur l’ensemble de l’échantillon, l’item « fuites de données » est nettement plus sélectionné que l’an dernier (+ 12 points).

Lorsqu’on leur demande quels risques sont en croissance, les répondants choisissent majoritairement les vulnérabilités de l’IA (87 %). Viennent ensuite :

  • Fraude / phishing (77 %)
  • Perturbations de supply chain (65 %)
  • Vulnérabilités logicielles (58 %)
  • Ransomwares (54 %)
  • Menaces internes (32 %)
  • Déni de service (28 %)

Face au risque de supply chain, la fonction sécurité souvent impliquée dans le processus d’approvisionnement

Concernant le risque sur la supply chain, la hiérarchie des méthodes de gestion est similaire entre niveaux de cyberrésilience, mais avec un écart de 20 à 30 points.

Évaluation de la maturité cyber des fournisseurs Implication de la fonction sécurité dans les processus d’achat Paetages d’informations sur la menace avec les partenaires Cartographie du niveau d’exposition des partenaires Simulation d’incidents et/ou d’exercices de récupération avec les partenaires
Ensemble 68 % 65 % 38 % 33 % 27 %
Haute résilience 74 % 76 % 53 % 44 % 44 %
Résilience insuffisante 48 % 53 % 31 % 23 % 16 %
CEO, haute résilience 59 % 70 % 30 % 48 % 44 %
CEO, résilience insuffisante 31 % 31 % 38 % 31 % 6 %

L’adoption de l’IA dans la cyber sert le plus souvent la détection du phishing et des autres menaces sur la messagerie électronique (52 % des sondés ont sélectionné cette réponse parmi 3 maximum). Suivent :

  • Détection et réponse aux intrusions ou anomalies (46 %)
  • Automatisation des opérations (43 %)
  • Analyse du comportement des utilisateurs et détection des menaces internes (40 %)
  • Tri du renseignement sur les menaces et priorisation des risques (39 %)
  • Autres objectifs (8 %)

Dans 64 % des organisations ici représentées, les outils IA sont évalués avant déploiement (révision unique pour 24 %, périodique pour 40 %). Ce taux passe à 45 % chez celles où le niveau de cyberrésilience est jugé insuffisant.

Le manque de connaissances et/ou de compétences est le premier obstacle à l’adoption de ces outils. 54 % des répondants le citent. Ils sont 41 % à évoquer la nécessité d’une validation humaine des réponses de l’IA avant implémentation.

* 804 répondants dont 544 C-Levels parmi lesquels 316 CISO et 105 CEO.

Illustration générée par IA

The post Cybersécurité : entre CISO et CEO, les priorités divergent appeared first on Silicon.fr.

  •  
  • ↗️
↗️

Cyberrésilience : des organisations plus confiantes en elles-mêmes qu’envers les États

✇Silicon
Par : Clément Bohic

À l’échelle mondiale, les organisations apparaissent plutôt confiantes quant à leur cyberrésilience.

Ce constat était ressorti de la première édition du rapport Global Security Outlook réalisé par le Forum économique mondial avec Accenture. C’était en 2022. Les deux tiers des répondants (67 %) estimaient que leur organisation atteignait les exigences minimales. Près d’un sur cinq (19 %) jugeait qu’elle les dépassait. Ils n’étaient que 14 % à déclarer un niveau insuffisant de cyberrésilience.

Depuis, en quatre autres éditions, le niveau de confiance est resté élevé. En 2026, il repart même globalement à la hausse.

Insuffisant Remplit les exigences minimales Dépasse les exigences
2022 14 % 67 % 19 %
2023 21 % 51 % 28 %
2024 25 % 36 % 39 %
2025 22 % 69 % 9 %
2026 17 % 64 % 19 %

La cyberrésilience des États, jugée moins positivement

Pour cette édition 2026, 804 réponses ont été retenues, issues de 92 pays. 544 proviennent de C-levels parmi lesquels 316 CISO* et 105 CEO. Le reste de l’échantillon est constitué par des membres de la société civile et du monde académique, ainsi que des « leaders en cybersécurité » du secteur public.

Si on trie les réponses par secteurs, le secteur privé apparaît plus confiant quant à sa cyberrésilience.

Insuffisant Remplit les exigences minimales Dépasse les exigences
Secteur privé 11 % 67 % 22%
Secteur public et « grandes organisations internationales » 23 % 54 % 24 %
ONG 37 % 55 % 8 %

Les répondants ne jugent pas aussi positivement la cyberrésilience du pays où leur organisation est basée. Ils sont en tout cas 37 % à se dire confiants quant à la capacité de réponse aux incidents touchant des infrastructures critiques (contre 42 % en 2025). Et 31 % à se déclarer non confiants (contre 26 % en 2025).
Si on s’en tient aux CEO du secteur privé, le taux de répondants confiants est un peu plus élevé (43 %, pour 31 % de non confiants).

Le risque géopolitique fait croître les budgets cyber… dans une certaine mesure

Quand on leur demande comment la géopolitique fait évoluer la stratégie de cyberrésilience de leur organisation, les répondants sélectionnent le plus souvent l’item « focus accru sur la threat intelligence liée aux acteurs étatiques » (36 %). Arrivent ensuite :

  • Interactions accrues avec les agences gouvernementales ou les groupes de partage de renseignements (33 %)
  • Augmentation du budget cyber (21 %)
  • Changement – ou intention de changer – de fournisseurs (19 %)
  • Arrêt des activités dans certains pays (14 %)

Si on zoome sur les CEO, par niveau de résilience estimé :

Acteurs étatiques Gouvernements Budget Fournisseurs Activités
Haute résilience 52 % 48 % 30 % 30 % 19 %
Résilience insuffisante 13 % 6 % 13 % 13 % 6 %

Des défis corrélés au niveau de résilience estimé

Lorsqu’on leur demande de sélectionner au maximum trois éléments qui constituent un défi à la cyberrésilience, les sondés choisissent :

  • À 61 %, l’évolution rapide du paysage de la menace et les technologies émergentes
  • À 46 %, les vulnérabilités tierces et sur la supply chain
  • À 45 %, le manque de compétences
  • À 31 %, les systèmes hérités
  • À 30 %, le manque de fonds
  • À 24 %, le manque de visibilité sur les environnements IT/OT/IoT
  • À 24 %, les complexités de conformité et de gouvernance
  • À 22 %, une planification insuffisante de la réponse à incident

Dans le secteur privé, on invoque prioritairement le paysage de la menace (59 %), les vulnérabilités tierces (53 %), le manque de compétences (38 %) et le manque de fonds (26 %).
Dans le secteur public et les grandes organisations, la hiérarchie est similaire, sinon que le manque de compétences est nettement plus cité (57 %). Même constat dans les ONG (51 %), où les répondants sont également nombreux à déplorer le manque de fonds (62 %).

Sur l’ensemble de l’échantillon, par niveau de résilience estimé :

Évolution des menaces Vulnérabilités tierces Compétences Legacy Fonds IT/OT/IoT Gouvernance Réponse aux incidents
Haute résilience 67 % 71 % 35 % 22 % 14 % 17 % 31 % 15 %
Résilience insuffisante 41 % 23 % 53 % 35 % 52 % 28 % 15 % 37 %

Si on s’en tient aux CEO, toujours par niveau de résilience estimé, l’argument des fonds est plus souvent invoqué :

Évolution des menaces Vulnérabilités tierces Compétences Legacy Fonds IT/OT/IoT Gouvernance Réponse aux incidents
Haute résilience 56 % 78 % 19 % 15 % 15 % 19 % 41 % 15 %
Résilience insuffisante 13 % 31 % 56 % 25 % 63 % 56 % 25 % 19 %

* Dont au moins, côté français, Christophe Blassiau (CISO groupe de Schneider Electric), qui a participé à des focus groups en complément au volet qualitatif de l’étude. 

The post Cyberrésilience : des organisations plus confiantes en elles-mêmes qu’envers les États appeared first on Silicon.fr.

  •  
  • ↗️
↗️

Résilients !

✇OpenNews

«RÉSILIENTS est une clef USB de 64Go accompagnée d’un petit livret imprimé. Elle contient une interface avec des centaines et des centaines de ressources légères, accessibles, choisies pour continuer à apprendre, réparer, comprendre, soigner, créer, coder, cultiver, se cultiver… même sans réseau. Elle est pensée comme une amorce, un point de départ à personnaliser selon vos usages.»
vid{264b93c4a3a4d80dafcc27fd6e4ad7f6302c34d253cd12a3fd161a5e78c50555}
Permalink

  •  
  • ↗️
❌