Chargés de responsabilités et de surveillance croissantes, les RSSI cherchent des moyens d’étendre les cybercapacités grâce à l’IA, tout en testant de nouveaux outils, en recrutant davantage de partenaires et en trouvant des moyens d’augmenter davantage leurs budgets, selon l’étude sur les priorités de sécurité du CSO.
En outre, 57 % des personnes interrogées déclarent que leur organisation a eu du mal à trouver la cause profonde des incidents de sécurité qu’ils ont subis au cours de l’année écoulée.
De nos jours, les responsables de la sécurité se voient confier une série de responsabilités de haut niveau, notamment l’élaboration de stratégies et de politiques en matière de cybersécurité, la gestion des risques et la gestion des risques liés aux technologies basées sur l’IA. De plus, 67 % des responsables de la sécurité déclarent que leurs responsabilités les obligent à résoudre les problèmes de sécurité en dehors de leur pays ou de leur région.
Les freins sont des problèmes récurrents : sensibilisation des employés ; manque de budget ; retenir les employés qualifiés; complexité du processus ; et, de plus en plus, la capacité à faire face aux risques présentés par les technologies de rupture telles que l’IA.
La protection des données reste une priorité clé
Zach Lewis, CIO et RSSI de l’Université des sciences de la santé et de la pharmacie de Saint-Louis, affirme que la consolidation des outils et l’utilisation plus complète de ce dont ils disposent sont ses principales priorités pour l’année prochaine. «Nous nous dirigeons davantage vers les plates-formes plutôt que vers les meilleures solutions pour essayer de réaliser des économies et de simplifier la pile technologique», déclare Lewis.
De plus, le parcours de gouvernance des données de l’université se poursuit. « Nous avons réussi à classer et à catégoriser nos données », dit-il. « Maintenant, nous verrouillons ces données dans notre politique de période de conservation et nettoyons les données en double. »
Les plans d’IA varient
Keavy Murphy, vice-président de la sécurité chez Net Health, réfléchit longuement à l’impact de l’IA et à la manière dont l’organisation va gérer cette technologie d’ici 2026.
« Cette année, il est devenu tout à fait clair que l’IA ne va nulle part. En fait, elle devient plus intégrée que jamais, même dans des secteurs comme la santé qui ont toujours été considérés comme à la traîne », dit Murphy. Dans une récente enquête auprès des dirigeants de la santé à laquelle Net Health a participé, 93 % des personnes interrogées ont indiqué que leurs organisations donnaient la priorité à l’adoption de l’IA pour l’aide à la décision clinique au cours des 12 à 24 prochains mois, dit-elle.
La même enquête a révélé que la confiance dans l’IA est encore en train de se former et que son adoption dépendra de la question de savoir si ces outils démontrent un retour sur investissement suffisant, une facilité d’utilisation et une sécurité réglementaire, note Murphy. Bien qu’elle soit « pleinement favorable à ce niveau d’adoption de l’IA », Murphy reconnaît que cela « pourrait être une vision inhabituelle de la part d’un expert en cybersécurité, car beaucoup d’entre nous se méfient des technologies avancées qui pourraient nous exposer à des menaces ».
Murphy estime que, puisqu’« il ne fait aucun doute que les mauvais acteurs utiliseront l’IA et les logiciels les plus avancés possibles dans leurs attaques », les organisations sensibles à ces attaques, comme les hôpitaux ou les cabinets privés, doivent réagir avec des outils tout aussi sophistiqués.
« Je pense que l’IA est une innovation incroyable qui peut aider les établissements de santé à rationaliser un grand nombre de leurs opérations quotidiennes comme la documentation, les tâches administratives, etc. », explique-t-elle. « Il est tout à fait normal que nous en profitions également à des fins de cybersécurité. »
L’IA fait déjà partie de la planification des cyber-risques chez Aflac, déclare Tim Callahan, RSSI mondial, qui s’attend à ce que son utilisation n’augmente qu’en 2026. Déjà, son équipe exploite l’IA et l’apprentissage automatique pour la détection et la réponse aux menaces ainsi que l’identification des logiciels malveillants.
« En outre, l’IA nous aide également à automatiser les tâches répétitives, à trier les alertes et à hiérarchiser les vulnérabilités, mais jamais au détriment d’une approche pratique où l’évaluation par des experts et les renseignements sont essentiels », souligne Callahan. « Alors que les adversaires du monde entier lancent des attaques de plus en plus sophistiquées basées sur l’IA, il est essentiel que nous utilisions ces technologies non seulement pour suivre le rythme, mais aussi pour garder une longueur d’avance. »
Il affirme que les dirigeants évaluent soigneusement le rôle de l’IA à l’Aflac et au sein des équipes de cybersécurité, « d’autant plus que les cadres réglementaires s’adaptent aux nouvelles technologies ».
Lewis, de l’Université des sciences de la santé et de la pharmacie, n’est pas aussi enthousiasmé par l’IA, affirmant qu’elle ne jouera pas un rôle significatif dans sa planification des cyber-risques. Même si des choses comme les courriels de phishing, les vidéos deepfakes, les fausses voix et les fausses images sont préoccupantes, « fondamentalement, beaucoup de choses tiennent toujours », dit-il. « Je n’y consacre pas beaucoup d’argent ; je renforce simplement ces… éléments de pile de sécurité que j’ai déjà en place et je m’assure que les utilisateurs en sont conscients et que nos systèmes sont correctement réglés.
Les inquiétudes concernant les attaques basées sur l’IA augmentent
Comme Murphy de Net Health, les acheteurs de sécurité s’inquiètent des cyberattaques basées sur l’IA.
Plus précisément, 38 % des personnes interrogées ont exprimé leur inquiétude concernant les ransomwares basés sur l’IA, tandis que les responsables de la sécurité ont également cité les attaquants tirant parti de l’IA pour faciliter l’automatisation des attaques (35 %) et l’utilisation de l’IA par un adversaire pour rechercher les vulnérabilités de leur entreprise (33 %) comme autres principales préoccupations liées à l’IA.
Par conséquent, 41 % prévoient d’exploiter l’IA pour détecter les menaces, détecter les anomalies et automatiser les réponses de sécurité. D’autres personnes interrogées ont cité des projets visant à exploiter l’IA pour la détection des logiciels malveillants et la prévision des risques en temps réel (39 %), ainsi que la DLP et l’amélioration de la visibilité des systèmes d’entreprise.
En outre, 40 % s’attendent à ce que des améliorations de l’IA soient intégrées à leurs systèmes de sécurité existants – sans frais supplémentaires – tandis que 32 % sont prêts à payer plus cher pour des solutions de sécurité basées sur l’IA qui répondent à leurs besoins de sécurité spécifiques.
Les avantages offerts par la technologie de sécurité de l’IA
Pas moins de 99 % des personnes interrogées ont déjà constaté les avantages des technologies de sécurité basées sur l’IA, contre 72 % en 2023.
Parmi les avantages : une identification plus rapide des menaces inconnues (44 %), des temps de détection et de réponse accélérés (42 %), la possibilité de passer au crible de grandes quantités de données plus rapidement (42 %), une charge de travail réduite des employés grâce à l’automatisation (42 %) et la capacité d’être plus proactif (42 %).
Priorités en matière d’outils pour un paysage de menaces changeant
Les responsables de la sécurité signalent un large éventail d’outils en production, notamment des solutions d’authentification (36 %), de sensibilisation et de formation à la sécurité (35 %), de réponse aux incidents (34 %), de DLP (33 %) et d’EDR (32 %).
Les outils sur leur radar incluent l’analyse de sécurité (28 %), la gestion de la sécurité d’entreprise (27 %), le SIEM (26 %) et la gouvernance des données (26 %).
Callahan d’Aflac affirme que son organisation donne la priorité aux « outils de sécurité très évolués ». Par exemple, l’entreprise a adopté une approche personnalisée lors de la mise en œuvre du modèle Zero Trust, y compris la détection et le blocage des accès, dit-il. « Cette approche nous a aidé à éviter les erreurs et les pièges qui pourraient avoir un impact sur notre activité », déclare Callahan.
L’année prochaine, le plan est de mettre en œuvre des outils « qui augmentent la visibilité et offrent une meilleure automatisation et intégration dans notre environnement », ajoute-t-il.
L’Université des Sciences de la Santé et de la Pharmacie a récemment ajouté un nouvel outil DLP qui est toujours en mode furtif, ce qui « revient aux préoccupations de l’IA », explique Lewis.
Il envisage également de consolider quelques outils axés sur la sécurité de la messagerie électronique et d’utiliser la passerelle de messagerie de Microsoft et d’autres éléments de sécurité, puisque l’université est une boutique Microsoft. Cela lui donnera la possibilité d’acheter le système DLP, « ce qui est très important, car nos données sont désormais intégrées à davantage de systèmes d’IA », dit-il. «Je veux être sûr de garder un œil sur cela et de m’assurer que des données ou des recherches sensibles et exclusives ne glissent pas dans ces LLM publics.»
Les budgets resteront relativement inchangés
Quelque 55 % des personnes interrogées ont déclaré que leurs budgets de sécurité resteraient les mêmes, tandis que 43 % déclarent s’attendre à une augmentation, selon l’enquête sur les priorités de sécurité.
Lewis prévoit un financement uniforme l’année prochaine, avec une augmentation possible de 1 %, ce qui est normal dans l’enseignement supérieur, dit-il. «Je me débrouillerai avec les outils dont je dispose», dit-il.
Toute augmentation du budget de Callahan chez Aflac « sera motivée par la nécessité d’investir dans des technologies avancées, des tactiques pour répondre aux exigences réglementaires émergentes et le besoin continu de développement des talents », dit-il.
Les répondants à l’enquête ont indiqué que les principales priorités commerciales motivant les dépenses en matière de sécurité étaient : l’augmentation des protections en matière de cybersécurité (42 %), l’augmentation de l’efficacité opérationnelle (37 %), l’accélération de l’innovation et des applications basées sur l’IA (31 %), l’amélioration de la rentabilité (30 %) et la transformation des processus commerciaux existants tels que l’automatisation et l’intégration (30 %).
Les MSP conservent leur valeur à mesure que le paysage de la sécurité devient plus complexe
Une autre conclusion de l’enquête de cette année est que 90 % des personnes interrogées prévoient d’externaliser les fonctions de sécurité vers un fournisseur de services gérés (MSP) ou un autre fournisseur tiers au cours de l’année prochaine.
Aflac fait appel à des fournisseurs de services de sécurité gérés (MSSP) depuis des années, notamment pour fournir une couverture 24h/24 et 7j/7, explique Callahan.
« En 2026, nous continuerons d’élargir nos partenariats avec des fournisseurs tiers, non pas pour remplacer notre équipe principale, mais plutôt pour améliorer les résultats de notre équipe autour d’initiatives stratégiques », dit-il. « À mesure que l’environnement devient plus complexe, nous nous attendons à voir un soutien supplémentaire dans des domaines tels que la gestion des vulnérabilités et la conformité. »
Lewis fait écho à cela, affirmant que l’université continuera à faire appel à des fournisseurs tiers pour bénéficier d’une couverture SOC 24h/24 et 7j/7. Son MSSP gère également le SIEM, la journalisation des événements et l’EDR.
La visibilité des OSC est en hausse
À mesure que leurs responsabilités augmentent, les responsables de la sécurité attirent l’attention de leurs conseils d’administration : 95 % d’entre eux déclarent s’engager avec leur conseil d’administration, contre 85 % en 2023. Quarante-huit pour cent s’engagent avec leur conseil d’administration plusieurs fois par mois.
De plus, 70 % des personnes interrogées déclarent qu’un membre du conseil d’administration de leur organisation a une responsabilité ou une surveillance spécifique en matière de cybersécurité, contre 59 % en 2024. Soixante-douze pour cent ont déclaré que l’engagement auprès de leur conseil d’administration a contribué à améliorer les initiatives de cybersécurité/sécurité, contre 66 % en 2024.
Lewis rencontre le conseil d’administration ou le comité d’audit de l’université presque tous les trimestres, et il pense que c’est suffisant.
« Je pense que beaucoup de RSSI pensent vraiment qu’ils ont besoin d’une place à la table », ce qui peut être spécifique à une organisation ou à un secteur, dit-il. Mais il estime que les responsables de la sécurité devraient plutôt s’efforcer d’avoir de meilleures relations avec leur PDG.
Les RSSI devraient « s’efforcer de sécuriser davantage les choses en interne que ce qui se passe nécessairement en externe, et entretenir cette relation avec l’équipe de direction (et) d’autres dirigeants fonctionnels de l’organisation », dit-il. Cela, ajoute Lewis, est « sans doute plus important que d’avoir nécessairement un siège à la table du conseil d’administration ».
