De l’escalade des menaces basées sur l’IA aux budgets qui ne s’adaptent pas à l’expansion du paysage des menaces, les responsables de la sécurité remodèlent leurs programmes pour répondre à plusieurs préoccupations clés de longue date et émergentes.
Le travail de RSSI est difficile, et il devient de plus en plus difficile : 66 % des responsables de la sécurité interrogés pour le rapport 2025 sur l’état de la cybersécurité de l’association professionnelle ISACA ont déclaré que leur rôle est plus stressant aujourd’hui qu’il y a cinq ans, en pleine pandémie.
Examinez tout ce à quoi ils sont confrontés et il n’est pas étonnant que les responsables de la sécurité et leurs équipes soient stressés.
Les RSSI sont confrontés à des risques croissants, à des priorités concurrentes, à des budgets limités, etc. Ici, ils citent les 10 questions qui préoccupent le plus aujourd’hui.
1. Sécuriser l’infrastructure de l’IA
Tout RSSI qui exerce la profession depuis assez longtemps sait que les technologies émergentes progressent plus rapidement que les outils et les stratégies permettant de les sécuriser efficacement.
Ce n’est pas différent avec l’intelligence artificielle.
« Nous sommes confrontés à un problème dans lequel la cybersécurité et les garde-fous pour l’utilisation de l’IA en sont à leurs balbutiements, mais l’utilisation de l’IA ne l’est pas », déclare Bryce Austin, PDG de TCE Strategy, expert en cybersécurité et consultant en risques.
La recherche le confirme. Environ 60 % des RSSI dans le monde estiment que l’IA générative présente un risque pour leur organisation, contre 54 % en 2024, selon le rapport Voice of the CISO 2025 de la société de technologie de sécurité Proofpoint.
Robert T. Lee, directeur de l’IA et chef de la recherche chez SANS, une société de formation et de certification en sécurité, affirme que certaines équipes de sécurité traitent l’IA comme s’il s’agissait d’une technologie conventionnelle, mais ce n’est pas le cas – et elles n’ont pas encore développé les connaissances et les compétences nécessaires pour développer le nouveau paradigme de sécurisation de l’IA.
« Il ne s’agit pas de pointer du doigt : nous apprenons tous », dit Lee. « On s’attend désormais à ce que les entreprises adoptent et évoluent rapidement avec l’IA. Les conseils d’administration et les cadres dirigeants disent : « Nous devons nous pencher davantage sur ce sujet », puis ils se tournent vers les équipes de sécurité pour soutenir l’IA. Mais la sécurité ne comprend pas pleinement le risque. Personne ne comprend cela parce que cela évolue si vite. «
En conséquence, de nombreuses organisations négligent le renforcement de la sécurité dans leur empressement à adopter l’IA. Mais les RSSI rattrapent leur retard. Selon les résultats de l’enquête de l’ISACA, 47 % des responsables de la sécurité ont déclaré avoir contribué au développement de la gouvernance de l’IA (contre 35 % en 2024) et 40 % ont déclaré avoir été impliqués dans la mise en œuvre de l’IA (contre 29 % l’année précédente).
2. Intensification – et accélération – des attaques basées sur l’IA
Une enquête réalisée en 2025 par le Boston Consulting Group a révélé que 80 % des RSSI du monde entier citent les cyberattaques basées sur l’IA comme leur principale préoccupation, soit une augmentation de 19 points par rapport à l’année précédente. Une enquête réalisée en 2025 par Darktrace, une entreprise de technologie de sécurité, a révélé que 78 % des RSSI ont signalé un impact significatif des menaces basées sur l’IA, soit une hausse de 5 % par rapport à 2024.
« L’une des choses qui m’empêche de dormir la nuit et qui me fait peur est le fait que l’IA a réduit le temps de compromission à quelques minutes et secondes », déclare Jenai Marinkovic, CTO et RSSI virtuel chez Tiro Security et expert en cybersécurité de l’ISACA.
Pour contrer cette nouvelle réalité, Marinkovic renforce les environnements informatiques qu’elle est chargée de sécuriser, de renforcer les défenses et de préparer ses équipes de sécurité aux attaques basées sur l’IA — et à la vitesse à laquelle elles peuvent se produire. « Auparavant, vous pouviez faire un exercice sur table une fois par mois et être prêt ; maintenant, vous devez le faire presque tous les jours », ajoute-t-elle.
3. Sécuriser les données dans un monde d’IA
Quelque 67 % des responsables de la sécurité interrogés dans le cadre du rapport Voice of the CISO 2025 de Proofpoint ont déclaré qu’ils considéraient la protection et la gouvernance des informations comme une priorité absolue. Le rapport révèle également que seulement deux tiers d’entre eux indiquent que les données au sein de leur organisation sont correctement protégées, même si presque tous les RSSI déclarent avoir mis en place des technologies de prévention des pertes de données.
Le rapport 2025 sur les menaces liées aux données de Thales, une multinationale de l’aérospatiale et de la défense spécialisée dans l’électronique, révèle que 36 % des personnes interrogées n’avaient pas ou peu confiance dans leur capacité à identifier l’emplacement de stockage de leurs données.
De plus, Todd Moore, vice-président mondial de la sécurité des données chez Thales, affirme que les RSSI sont confrontés à un torrent de données générées par l’IA – généralement des données non structurées telles que les journaux de discussion – qui doivent être sécurisées.
« À certains égards, l’IA devient la nouvelle menace interne au sein des organisations », dit-il. « La raison pour laquelle je dis qu’il s’agit d’une nouvelle menace interne est parce qu’un grand nombre d’informations sont placées dans des endroits auxquels on ne s’attendait pas. Les RSSI doivent identifier et trouver ces données et être en mesure de voir si ces données sont critiques et ensuite être en mesure de les protéger. »
4. Un paysage de menaces en constante expansion
Le volume, la rapidité et la rapidité des attaques sont en augmentation depuis des décennies, une tendance que les RSSI et leurs équipes tentent constamment de suivre. L’IA n’a fait qu’accélérer cette tendance, déclare Katell Thielemann, vice-présidente et analyste distinguée du cabinet de recherche Gartner.
« À l’ère de l’IA, le paysage des menaces a radicalement changé. La surface d’attaque s’est développée rapidement et l’adoption des technologies fantômes est encore plus répandue », explique Thielemann. « Les RSSI ont toujours dû gérer ces problèmes, mais c’est désormais beaucoup plus compliqué. »
Les pirates informatiques sont davantage organisés et soutenus par les syndicats du crime organisé et les gouvernements. Ils sont devenus plus professionnels et ont développé leurs propres chaînes d’approvisionnement pour améliorer leurs capacités d’attaque. Et ils utilisent l’IA pour augmenter leurs compétences, leur échelle et leurs taux de réussite.
L’environnement que les RSSI doivent protéger s’est également élargi.
« À l’ère de la production juste à temps et de toutes sortes de technologies liées les unes aux autres, les RSSI tentent de protéger un paysage plus vaste et plus interconnecté que jamais », explique Thielemann.
Considérez les conclusions du rapport Global Digital Trust Insights 2026 de PwC : environ la moitié des personnes interrogées ont déclaré que leur organisation n’est, au mieux, que « quelque peu capable » de résister aux cyberattaques ciblant des vulnérabilités spécifiques et seulement 6 % se sentent en confiance face à toutes les vulnérabilités.
Et avec la forte augmentation des exploits, de plus en plus de RSSI cherchent à repenser la gestion des vulnérabilités.
5. … et des attaques de plus en plus vicieuses
Les experts en sécurité préviennent depuis longtemps que n’importe qui peut être victime d’une cyberattaque, mais l’espoir persiste que certaines entités soient interdites. La violation en septembre 2025 de la chaîne Kido International Preschool, au cours de laquelle des pirates ont utilisé les photos et les noms de quelque 8 000 enfants servis par l’entreprise pour exiger une rançon, a été considérée par beaucoup comme un nouveau plus bas.
« Nous arrivons désormais au stade où personne n’est à l’écart », déclare Simon Backwell, responsable de la sécurité de l’information chez l’entreprise technologique Benifex et membre du groupe de travail sur les tendances émergentes de l’ISACA. « Les groupes d’attaquants sont de plus en plus audacieux et ne se soucient pas des conséquences. Ils veulent provoquer une destruction massive. »
6. Contraintes budgétaires
Les enquêtes montrent que la majorité des organisations dépensent davantage en matière de sécurité d’année en année, mais ces augmentations ne suivent pas le rythme de l’augmentation du volume et de la cruauté des attaques. Cela augmente la pression ressentie par les RSSI, explique Thielemann.
« Ils doivent rester dans le profil des coûts tout en étant de plus en plus exigeants et en même temps que la dette technologique et les anciens éléments plus difficiles à sécuriser ne disparaissent pas et que de nouveaux vecteurs d’attaque arrivent et que les nouvelles technologies rendent cela d’autant plus difficile », dit-elle.
Brian L. DePersiis, responsable de la stratégie de cybersécurité pour l’Amérique au sein de la société de services professionnels EY, prédit que les RSSI pourraient être confrontés à des pressions financières encore plus fortes à court terme, compte tenu de l’incertitude économique exprimée par de nombreux dirigeants d’entreprise.
« Les RSSI subissent une pression pour réduire les coûts », dit-il, soulignant que les RSSI automatisent leurs capacités, simplifient leur pile technologique de sécurité, abandonnent les solutions sur mesure et externalisent certaines fonctions pour gagner en efficacité et économiser de l’argent.
7. Préparer les employés à ne pas tomber dans le piège d’escroqueries de plus en plus sophistiquées
Austin de TCE Strategy a été confronté à une nouvelle attaque de phishing. Un pirate informatique avait créé ce qui semblait être une chaîne de courrier électronique d’une durée de plusieurs mois entre ce qui semblait être le PDG de l’entreprise (avec des logos et des informations d’apparence légitime) et un fournisseur. Le pirate informatique avait transmis le fil de discussion aux comptes créditeurs, le message principal recherchant un paiement en retard.
L’outil de filtrage des e-mails de l’entreprise avait mis cet e-mail en quarantaine, signalant le serveur à partir duquel il avait été envoyé, mais Austin dit qu’il aurait probablement été filtré par des filtres qui ne sont pas définis de manière aussi « agressive » que le filtre de cette entreprise. Et un email comme celui-là, une fois dans la boîte de réception d’un employé, avait de fortes chances de duper le destinataire.
Il existe déjà des exemples de ces escroqueries très sophistiquées qui fonctionnent, avec des deepfakes et des messages presque parfaits créés avec l’IA faisant croire à beaucoup que les demandes d’argent sont légitimes.
Les RSSI recherchent donc des campagnes de formation et de sensibilisation capables de contrecarrer la nouvelle génération de tentatives de phishing et de fraude.
Austin est l’un de ces RSSI. Il dit qu’il opte pour de fréquentes simulations d’attaques de phishing, estimant qu’il est « absolument impératif de garder les gens en colère ». Il met également en œuvre des conséquences plus importantes pour ceux qui tombent dans ces attaques simulées, comme faire remonter leurs inquiétudes à leurs patrons ou aux RH.
Son objectif est d’amener les gens à « assumer des intentions négatives » lorsqu’il s’agit du monde numérique, dit-il, et il espère qu’une formation et des exercices supplémentaires aideront les travailleurs à adopter un état d’esprit suspect afin qu’ils soient plus susceptibles de détecter même les escroqueries les plus sophistiquées.
8. Informatique quantique
Toujours confrontés à la nécessité d’accélérer l’adoption de l’IA et de faire face à l’escalade des menaces liées à l’IA, les RSSI doivent également préparer leurs organisations à l’arrivée de l’informatique quantique, déclare Tony Velleca, RSSI de l’UST et PDG de CyberProof, une filiale de l’UST.
Selon le rapport Thales sur les menaces liées aux données, les dirigeants de l’entreprise ont répertorié les futures compromissions de chiffrement, la distribution des clés et le futur décryptage des données actuelles, y compris les attaques « récolter maintenant, décrypter plus tard », comme les principales menaces à la sécurité de l’informatique quantique.
Pour se préparer, Velleca affirme que les responsables de la sécurité examinent le cryptage dont ils disposent dans leurs organisations et où il est nécessaire, ainsi que la priorité aux données qui doivent être transférées vers un cryptage à sécurité quantique et à quel moment.
9. Définir les bonnes priorités
La résolution de ces problèmes est en soi une préoccupation majeure des RSSI, déclare Matt Gorham, responsable du Cyber and Risk Innovation Institute de PwC.
« Ce qui occupe aujourd’hui énormément de temps pour les RSSI, ce sont des priorités concurrentes », dit-il. « L’environnement de menace est tel qu’ils passent beaucoup de temps à prioriser tout ce qu’ils doivent faire, et ils le font à un moment où nous sommes confrontés à une importante pénurie de talents, ils essaient donc de couvrir l’ensemble de la gamme avec moins d’aide qu’ils ne le souhaiteraient. C’est l’essence même de la difficulté avec laquelle les RSSI se battent aujourd’hui : simplement donner la priorité au large portefeuille de problèmes qu’ils ont. »
10. Maîtriser les risques
Pour prioriser le travail, les RSSI doivent comprendre ce qui compte le plus pour l’entreprise et quels sont les risques les plus conséquents pour l’organisation. Pourtant, nombreux sont ceux qui ont encore du mal à accomplir ces tâches, explique Chris Simpson, directeur du Centre pour la cybersécurité de l’Université nationale.
Les recherches confirment que cela reste un problème pour les RSSI : selon l’enquête Proofpoint, l’alignement des conseils d’administration avec les RSSI est passé de 84 % en 2024 à 64 % en 2025.
« La cybersécurité est là pour soutenir l’entreprise, les RSSI doivent donc comprendre la tolérance au risque de l’entreprise, qui déterminera les décisions sur les mesures à mettre en œuvre et les stratégies d’atténuation des risques. C’est un sujet sur lequel les RSSI travaillent toujours », explique Simpson.
