De la perception aux compétences en passant par la rapidité de la cyberdéfense, voici les lacunes stratégiques et tactiques les plus courantes qui devraient figurer en tête des priorités des responsables de la sécurité.
Les RSSI reconnaissent qu’aucune organisation n’est totalement sûre, mais beaucoup admettent également que leurs mesures de sécurité ne sont pas celles qu’ils souhaiteraient.
Un tiers des RSSI interrogés dans le cadre du rapport Voice of the CISO 2025 de Proofpoint ont déclaré que les données au sein de leur organisation ne sont pas suffisamment protégées, et 58 % ont déclaré que leur organisation n’était pas préparée à répondre à une cyberattaque. Parallèlement, seuls 67 % estiment que leur organisation propose un budget, un personnel et des outils adéquats pour atteindre leurs objectifs en matière de cybersécurité.
De tels chiffres indiquent que des lacunes critiques en matière de cybersécurité subsistent dans de nombreuses organisations, sinon la plupart. Alors que les adversaires se tournent vers l’automatisation et l’intelligence artificielle, la pression augmente pour remédier aux failles de sécurité qui pourraient être exploitées. Voici six failles de sécurité critiques qui nécessitent l’attention des RSSI, selon leurs collègues responsables de la sécurité informatique et observateurs du secteur.
1. L’écart de perception
« Les RSSI considèrent encore une mauvaise journée du point de vue informatique ; ils considèrent toujours la sécurité comme un problème informatique », note-t-il. «Ils doivent cesser de protéger les systèmes à tout prix pour plutôt renforcer la résilience et réfléchir aux impacts en aval en cas de défaillance.»
Weiss note que cet écart persiste dans de nombreuses organisations est en partie dû au fait que la continuité des activités, qui est au cœur de la résilience, incombe généralement à des dirigeants autres que les RSSI. « La question de la continuité des activités a toujours été le problème de quelqu’un d’autre, mais elle doit désormais devenir une priorité pour l’organisation de la sécurité », dit-il.
Lorsque les RSSI réfléchissent globalement à l’impact potentiel des menaces numériques sur l’entreprise, plutôt que de se concentrer sur l’impact des attaques sur l’environnement informatique, ils obtiennent une vision plus précise des principaux risques et peuvent mieux connaître la portée d’un incident, explique Weiss. Cela permet aux RSSI de prioriser plus efficacement les mesures défensives et les mesures correctives, ce qui augmente la probabilité qu’un incident puisse être contenu et n’ait pas d’impacts ultérieurs inattendus qui entravent les opérations commerciales.
La cyberattaque de 2024 contre Change Healthcare, dont les conséquences se sont répercutées sur l’ensemble du secteur de la santé, montre pourquoi les RSSI doivent combler cet écart en matière de cybermenaces et de risques, dit-il.
2. L’écart entre la rapidité des acteurs menaçants et la sécurité
Le rapport 2025 Year in Review de la société de renseignement sur les menaces Cisco Talos indique que « le paysage des menaces de 2025 a été défini par une accélération sans précédent de la vitesse d’exploitation des vulnérabilités, les adversaires utilisant de nouvelles failles de sécurité comme React2Shell et ToolShell presque immédiatement après leur divulgation ».
La plupart des équipes de sécurité n’évoluent pas aussi rapidement, ce qui crée un écart d’agilité entre elles et les acteurs de la menace, explique Buck Bell, directeur de la stratégie de sécurité chez le fournisseur de services informatiques CDW.
« La plupart des lacunes que nous constatons aujourd’hui sont des lacunes dans l’exécution », ajoute-t-il.
De nombreux programmes de sécurité reposent encore sur des réflexions héritées du passé, notamment « certaines mesures de sécurité statiques dans un monde qui nécessite des ajustements en temps réel », dit-il. Les tests d’intrusion mensuels et les patch Tuesdays, par exemple, sont des reliques d’une époque plus ancienne, mais demeurent dans certains services de sécurité. « La réalité est que les organisations doivent aujourd’hui s’exécuter à une vitesse plus élevée », ajoute-t-il.
Bell affirme que les principaux RSSI accélèrent leurs opérations en adoptant l’IA, l’automatisation et des pratiques telles que la gestion continue de l’exposition aux menaces (CTEM).
3. L’écart entre la rapidité de l’entreprise et la sécurité
De la même manière, certains RSSI doivent également accroître leur rapidité et leur agilité afin que la sécurité puisse évoluer aussi rapidement que l’entreprise. Comme le note la société de services professionnels PwC dans ses Perspectives du RSSI 2026 : « Le rôle du RSSI se situe à un moment charnière. À mesure que la technologie s’accélère et que de nouvelles menaces émergent, vous êtes censé diriger au rythme du changement. L’IA, l’informatique quantique et un monde hyperconnecté remodèlent le risque – et votre entreprise surveille. »
Chirag Shah, responsable mondial de la sécurité de l’information et responsable de la protection des données chez la société de logiciels Model N, sait que les entreprises sont aujourd’hui les leaders. « Les entreprises veulent aller plus vite, et si elles veulent aller plus vite, cela signifie que nous, en matière de sécurité et de conformité, devons les suivre », dit-il.
Mais il sait aussi que la sécurité a du mal à suivre. « Nous jouons toujours un jeu de rattrapage », ajoute-t-il.
Shah a pris des mesures pour accélérer le processus, notamment en perfectionnant les compétences du personnel de sécurité en matière d’IA afin qu’il soit prêt à travailler avec l’entreprise sur ses projets prioritaires.
Chris Cochran, RSSI sur le terrain et vice-président de la sécurité de l’IA au SANS Institute, affirme que les RSSI qui adoptent des cadres et des normes et qui collaborent avec leurs collègues en sécurité peuvent également accélérer en apprenant et en déployant des tactiques éprouvées qui peuvent rapidement se développer et évoluer à mesure que l’entreprise évolue.
4. L’écart entre les compétences existantes et nécessaires
Les RSSI ont longtemps eu du mal à trouver les talents dont ils ont besoin. Dans le passé, le problème consistait principalement à recruter suffisamment de personnes pour occuper les postes ; ils craignent désormais davantage que les professionnels de la sécurité ne possèdent pas les compétences mises à jour dont ils ont besoin pour réussir.
Selon le rapport SANS 2026 Cybersecurity Workforce Research, « le personnel de cybersécurité subit une transformation fondamentale. Les organisations reconstruisent leurs équipes de haut en bas, alors que l’intelligence artificielle perturbe les points d’entrée traditionnels tandis que les exigences de conformité réglementaire créent de nouveaux cadres de validation des compétences. Cette convergence produit un écart de compétences croissant que les organisations ont du mal à combler, même si elles reconnaissent de plus en plus qu’avoir les bonnes capacités compte plus que simplement ajouter des effectifs. »
Il indique en outre que « le besoin de spécialistes dans de nouveaux rôles a presque doublé d’une année sur l’autre, tandis que le recrutement supplémentaire pour les compétences existantes a considérablement augmenté ».
Ici, l’inquiétude des RSSI s’est accélérée, avec 60 % des responsables de la sécurité identifiant ce manque de compétences comme leur principal défi en matière de main-d’œuvre en 2026 (contre 52 % l’année dernière) – et contre 40 % qui ont déclaré que la pénurie d’effectifs était leur principal problème.
Beth Miller, RSSI de terrain mondiale chez l’éditeur de logiciels Mimecast, affirme que ce n’est pas seulement un manque de compétences en matière de sécurité qui affecte les RSSI, mais aussi un manque de compétences en matière de sécurité nécessaires dans l’ensemble de l’organisation.
« Vous pouvez disposer d’une équipe de sécurité parfaitement compétente, mais si vous ne disposez pas également de compétences en matière de sécurité dans l’entreprise, vous aurez toujours un déficit », dit-elle.
Combler l’écart nécessite « d’investir dans la couche humaine à travers l’organisation », ajoute-t-elle.
Cochran du SANS Institute a fait des observations similaires, affirmant que les RSSI doivent construire une culture d’apprentissage et de formation continus. « Combler l’écart se résume à un seul mot : intention », dit-il.
5. Lacunes dans la sécurisation des déploiements d’IA
Les RSSI sont à la traîne dans la sécurisation des déploiements d’IA pour plusieurs raisons.
Pour commencer, déclare Miller de Mimecast, « le mandat autour de l’IA évolue plus rapidement que ce à quoi les RSSI sont préparés. La tendance que nous observons dans nos organisations et dans d’autres est que la direction annonce une initiative d’adoption de l’IA, elle est descendante, et elle est souvent liée à la pression concurrentielle ou aux attentes du conseil d’administration. Et puis, en quelques semaines, les unités commerciales créent des outils d’IA, connectés aux données et intègrent l’IA dans les systèmes existants, et les RSSI découvrent ces (initiatives) pendant ou après la mise en œuvre. «
Il existe également des déploiements d’IA qui se font de bas en haut, souvent sans aucune implication ni connaissance du leadership. « Shadow AI est répandu dans toute l’industrie », déclare Shah de Model N. Et même si la sécurité ou l’informatique peuvent détecter ces déploiements après coup, cette découverte ne supprime pas à elle seule la faille de sécurité.
Les experts citent également les défis consistant, premièrement, à développer les contrôles de sécurité appropriés pour l’IA à mesure que la technologie évolue et, deuxièmement, à amener tout le monde à adhérer et à suivre ces contrôles et cadres de gouvernance à mesure qu’ils évoluent avec l’évolution de la technologie. Ces dynamiques créent inévitablement des écarts entre ce qui est nécessaire pour sécuriser l’IA et les contrôles mis en œuvre.
« Il s’agit d’une lacune en matière de gouvernance qui se fait passer pour un problème informatique », ajoute Miller.
Le rapport SANS révèle que seulement 54 % des organisations interrogées avaient mis en place des politiques de sécurité en matière d’IA et que seulement 20 % disposaient de cadres de gouvernance complets, et environ 75 % mettaient en œuvre ou étaient en train de construire des structures de gouvernance.
SANS a conclu que « la gouvernance de la sécurité de l’IA en est encore à ses débuts ». D’autres experts l’ont reconnu, affirmant que les RSSI doivent s’appuyer sur des outils d’observabilité, des compétences d’influence des dirigeants, une sensibilisation et une formation à la sécurité liée à l’IA, les meilleures pratiques émergentes en matière de sécurité de l’IA et de nouveaux cadres de gouvernance de l’IA pour combler ce qui semble être une lacune béante dans de nombreuses organisations.
6. Le fossé de l’héritage
Jason Lish, RSSI mondial de Cisco, affirme que de nombreux dirigeants d’entreprise ont adopté une mentalité de « configuration et oubli » avec la technologie, résistant aux tentatives de modernisation de l’informatique tant que les systèmes fonctionnent et ne se différencient pas.
Cela représente un défi non seulement pour les DSI qui tentent d’intégrer l’IA et d’autres nouvelles technologies dans les technologies existantes, mais également pour les RSSI qui cherchent à mettre en œuvre des pratiques et des technologies de sécurité modernes, explique Lish. Et cela devient un problème de sécurité de plus en plus aigu à mesure que les acteurs malveillants deviennent plus habiles à utiliser l’IA pour exploiter des systèmes non pris en charge et des technologies héritées qui ne peuvent pas mettre en œuvre des contrôles de sécurité modernes.
Une étude réalisée en 2026 par la National Association of State CIOs et Deloitte & Touche a révélé que les RSSI citent les infrastructures existantes comme l’un des trois principaux obstacles à la résolution des défis de cybersécurité, aux côtés de la sophistication croissante des menaces et du financement insuffisant de la cybersécurité.
« Les RSSI devraient réfléchir à une approche basée sur les risques », déclare Lish, « en s’adressant au conseil d’administration ou à la direction et en leur disant : ‘Ce sont les éléments d’équipement ou de dispositifs existants les plus critiques que nous devons remplacer’ et les aider à comprendre le risque de ne pas le faire. Le RSSI doit être celui qui donne cette priorité. »
