Avec l’expansion continue de la surface d'attaque due aux avancées de l'IA, aux appareils connectés, aux technologies cloud, ainsi qu’à un environnement réglementaire en constante évolution, atteindre la cyber-résilience au niveau de l'entreprise est devenu crucial.
Cependant, malgré une prise de conscience généralisée des défis à relever, des lacunes importantes persistent. Pour protéger leurs organisations, les dirigeants doivent considérer la cybersécurité comme un enjeu systématique à l'ordre du jour de leur entreprise, l'intégrant dans chaque décision stratégique et exigeant une collaboration au niveau de la C-suite.
L'enquête 2025 Global Digital Trust Insights de PwC, menée auprès de 4 042 dirigeants d'entreprises et de technologies de 77 pays, a révélé des défis essentiels que les entreprises doivent relever avant d'atteindre la cyber-résilience.
Tout cela souligne la nécessité d'une meilleure collaboration au niveau de la C-suite et d'investissements stratégiques pour renforcer la cyber-résilience. En comblant ces lacunes et en faisant de la cybersécurité une priorité pour l’entreprise, les dirigeants peuvent se diriger vers un avenir plus sûr. Les RSSI peuvent contribuer à ce résultat en partageant des informations technologiques et en expliquant les priorités cybers en termes commerciaux (coût, opportunité, risque).
Playback of this video is not currently available
Alors que le paysage de la cybersécurité continue d'évoluer, les organisations sont confrontées à des menaces de plus en plus volatiles et imprévisibles. La surface d'attaque en expansion (stimulée par une dépendance croissante au cloud, à l'IA, aux appareils connectés et aux tiers) exige une approche agile et à l'échelle de l'entreprise pour assurer la résilience. Aligner les priorités organisationnelles et la préparation est essentiel pour maintenir la sécurité et la continuité des activités.
Ce qui inquiète le plus les organisations, c'est ce pour quoi elles sont le moins préparées. Les quatre menaces cybers les plus préoccupantes sont : les menaces liées au cloud (ou la France semble être moins préparée que la moyenne des répondants 45% vs 34%), les fuites de données (qui préoccupent tout particulièrement la France à 51%), les violations via des tiers et les attaques sur les produits connectés. Cet écart souligne le besoin urgent de meilleurs investissements et de capacités de réponse renforcées.
Soulignez au reste de la C-suite les menaces qui mettent le plus en péril l'entreprise, surtout si les efforts d'investissement doivent être réorientés.
Sur la base des conversations avec les responsables des risques, évaluez comment certaines menaces peuvent compromettre la sécurité de l'information et des infrastructures dans leur ensemble et identifiez celles qui posent le plus grand défi pour la résilience.
Obtenez des informations approfondies du CISO et du CRO sur les priorités de gestion et d'investissement cybers les plus critiques.
Rencontrez régulièrement le CRO et le CISO pour comprendre les vecteurs de menace les plus préoccupants. Assurez-vous de recevoir des rapports réguliers sur les efforts actuels concernant l’atténuation des menaces.
Comprenez les principaux risques cyber pour l'organisation et posez les questions difficiles à la direction. Comment ces risques sont-ils atténués ? Avons-nous des plans et des financements adéquats pour aborder ces risques de manière proactive et répondre en cas d’attaque ?
L'avancement rapide de l'IA générative (GenAI) ouvre de nouvelles opportunités dans tous les secteurs mais présente également des risques en matière de cybersécurité. À mesure que les organisations adoptent la GenAI et d'autres technologies émergentes, la C-suite doit faire face à des vecteurs d'attaque de plus en plus complexes et imprévisibles, intégrant les défis et la nature à double tranchant de la GenAI à la fois dans la défense et l'attaque cyber.
La cybersécurité est principalement une problématique de données. Il devient impératif pour les défenseurs cybers de tirer parti de la puissance de l'IA générative et du machine learning pour se rapprocher des données afin de générer des informations opportunes et exploitables qui comptent le plus.
Bien que la GenAI augmente la surface d'attaque des risques cyber pour la plupart des organisations, les dirigeants utilisent également cette même technologie pour la défense. Les trois principales façons dont ils exploitent la GenAI incluent la détection et la réponse aux menaces, le renseignement sur les menaces et la détection des logiciels malveillants/phishing.
Standardisez l'ensemble du parc technologique pour faciliter l'intégration de l'IA. Renforcer l’affectation des droits d'accès en fonction de l’utilisateur pour identifier les vecteurs d'attaque probables.
Elaborez une évaluation de l'impact de l'IA afin de sensibiliser les dirigeants sur les domaines où l'investissement et la mise en œuvre sont les plus judicieux. Préparez vos plateformes pour les évolutions à venir à mesure que l'utilisation de la GenAI augmente.
Collaborez avec le CISO pour prioriser la protection et la confidentialité des données financières.
Renforcez les protocoles de gouvernance des données et évaluez les risques de confidentialité des données vis-à-vis des lois et des directives des régulateurs.
Travaillez avec l’ensemble des équipes de risque et de conformité pour prévenir les utilisations inappropriées des données et les risques juridiques potentiels.
Les cadres réglementaires demandent aux entreprises de se conformer rapidement à un nombre croissant d'exigences. Une vague de nouvelles réglementations (DORA, NIS 2, Cyber Resilience Act, AI Act, etc.) souligne l'urgence pour les organisations d'aligner leurs pratiques sur ces attentes accrues. Relever ces défis est essentiel pour construire une posture de cybersécurité résiliente et conforme, capable de résister à la fois à l'examen réglementaire et aux menaces émergentes.
Même s’il ne fait aucun doute que les réglementations cybers aident l'organisation, il existe une différence significative entre la confiance des CEO et celle des CISO/CSO dans leur capacité à se conformer à ces réglementations. Les plus grands écarts de confiance concernent la conformité à l'IA, la résilience et les exigences en matière d'infrastructures critiques. Les CISO, qui sont en première ligne de défense de la cybersécurité, sont moins optimistes que les CEO quant à la capacité de leur organisation à répondre à ces exigences réglementaires.
Fournissez des rapports fréquents aux dirigeants sur l'état des réglementations qui impactent directement les besoins de l'industrie ou du territoire. Travaillez à la mise en œuvre de processus de gestion des changements technologiques et réglementaires.
Vérifiez l'exactitude, l'exhaustivité et la pertinence de toutes les informations réglementaires concernant la gestion des risques et la posture du programme cyber. Développez une compréhension claire du coût et de l'impact spécifique d'un incident cyber, en intégrant la quantification des risques cyber afin d’évaluer et communiquer avec précision les risques potentiels.
Comprenez les responsabilités de supervision pour guider les efforts de conformité, y compris toute coordination nécessaire entre les différentes unités de l’entreprise. Identifiez les questions essentielles à poser aux CISO pour combler les lacunes dans la compréhension de la posture de conformité.
Restez informé des exigences de conformité réglementaire et collaborez avec le CISO et le CRO pour intégrer proactivement des mesures de conformité et des contrôles afin de pour confirmer la conformité périodiquement.
Déterminez la quantité appropriée de détails nécessaires pour remplir les obligations de rapport du programme cyber, en trouvant un équilibre entre transparence et confidentialité.
Restez informé des nouvelles exigences réglementaires émergentes et demandez à la direction des mesures proactives pour s’y préparer. Appropriez-vous les méthodes utilisées par la direction pour évaluer et communiquer sur les incidents cyber.
Alors que les menaces cyber évoluent rapidement en termes de portée et de sophistication, la quantification des risques cyber est devenue un outil essentiel que les organisations ne peuvent se permettre d'ignorer. Cependant, malgré ses avantages largement reconnus, plusieurs défis, tels que des problèmes de qualité des données et la fiabilité des résultats, ont entravé une adoption plus large.
Bien que les dirigeants soient largement d'accord pour dire que mesurer les risques est crucial pour prioriser les investissements en matière de risques cyber (88 %) et allouer des ressources aux domaines de risque les plus élevés (87 %), seulement 15 % des organisations le font réellement de manière significative (par exemple, par une quantification extensive des risques cyber avec automatisation et rapports étendus.
Commencez petit avec un résultat précis en tête. Exploitez les informations disponibles au sein de votre organisation (par exemple, efficacité des contrôles, maturité, données d'incidents ou de pertes). Bien que de nouveaux outils peuvent aider à la quantification des risques, ils ne sont pas indispensables. Définissez votre programme et recherchez des technologies adaptées à vos besoins.
Présentez aux dirigeants de la C-suite les résultats les plus percutants de la mesure des risques financiers obtenus grâce aux outils et pratiques de quantification. Ces exemples peuvent aider à convaincre la direction de prioriser et d'allouer les ressources adéquates aux domaines de risque les plus élevés.
Collaborez avec votre CISO et CRO pour mieux comprendre l’importance de la quantification des risques cyber ainsi que les coûts potentiels et les opportunités manquées de ne pas mesurer ces risques.
Comprenez les méthodes actuelles utilisées par votre organisation pour évaluer les risques cyber. Interrogez la direction sur ses plans pour étendre la quantification des risques afin de mieux évaluer et rapporter la posture de risque cyber de l'entreprise.
Alors que la cybersécurité devient une priorité critique, les organisations commencent à percevoir son potentiel comme un différenciateur clé, améliorant ainsi leur réputation et leur fiabilité. Pour se préparer, beaucoup augmentent leurs budgets cyber en mettant l’accent sur la protection des données et la fiabilité. En investissant stratégiquement dans ces domaines, les entreprises ne se contentent pas de démontrer leur résilience, elles se positionnent également de manière positive auprès de leurs clients.
Au cours des 12 prochains mois, les organisations priorisent la protection des données, la confiance ainsi que la sécurité du cloud par rapport à d’autres investissements cyber. Elles comprennent que sécuriser les informations sensibles est vital pour maintenir la confiance des parties prenantes et l’intégrité de la marque.
Les dirigeants d’entreprise et de la technologie ont des priorités différentes en fonction de leurs domaines spécifiques..
Les organisations considèrent de plus en plus la cybersécurité comme un différenciateur clé afin d’avoir un avantage concurrentiel. En effet, 57% des dirigeants citent la confiance des clients et 49% citent l’intégrité et la fidélité de la marque comme des domaines d’influence majeurs. A mesure que les menaces cyber augmentent, une posture de cybersécurité solide ne concerne pas seulement la protection, mais aussi la construction d’une réputation fiable sur laquelle les clients et les parties prenantes peuvent compter.
Le paysage des menaces est de plus en plus imprévisible, car nous voyons des menaces multi-vecteurs pour les environnements physiques et numériques. Nous investissons des ressources dans des capacités de réponse et de récupération intégrées pour améliorer la sécurité physique et la cybersécurité. Les acteurs malveillants ne font pas de distinction. Nous devons être préparés à tous les niveaux avec nos programmes de continuité des activités et de résilience.
Traduire l'analyse de rentabilité des priorités d'investissement en matière de protection des données et de sécurité du cloud auprès des directeurs financiers en se basant sur la valeur commerciale des résultats clés (par exemple, la réduction du temps de récupération des données critiques ou la mise en place de correctifs sur un système).
Evaluez la valeur pour l’organisation de protéger des données et de sécuriser le cloud afin de renforcer la confiance des parties prenantes et prendre des décisions d’investissement en cybersécurité plus éclairées.
Collaborez avec les responsables de la technologiques, de la sécurité et des finances pour identifier les priorités essentielles en matière de sécurité et d’intégrité des données afin de guider la stratégie d’investissement en sécurité de l’information et du cloud. Confirmer que la qualité et la disponibilité des données est nécessaire pour justifier des investissements accrus en sécurité.
Des efforts de résilience en retard aux lacunes dans l’implication des CISO dans les décisions stratégiques, il existe des domaines clairs où un alignement stratégique est nécessaire. Pour y parvenir, les organisations devraient imiter les meilleures pratiques de cybersécurité de leurs pairs les plus performants. Elles devraient également aller au-delà de la gestion des menaces connues et mettre en œuvre une approche agile et sécurisée dès la phase de design pour l’organisation, une approche qui s’efforce de bâtir la confiance et une résilience durable.
C’est le travail du CISO de contextualiser et de connecter les menaces existantes aux vulnérabilités au sein de l’organisation. Cela signifie éduquer les gens sur les menaces que l’entreprise est prête à gérer et celles pour lesquelles elle n’est pas prête. Avec une approche axée sur l’éducation, il y a généralement plus de coopération à travers l’organisation.
Malgré les préoccupations croissantes concernant les risques cyber, la plupart des entreprises peinent à mettre en œuvre pleinement la résilience cyber à travers les pratiques de base. Une revue de 12 actions de résilience couvrant les personnes, les processus et la technologie révèle que 42% ou moins des dirigeants pensent que leurs organisations ont pleinement mis en œuvre l’une de ces actions. Plus préoccupant encore, seulement 2% disent que toutes les 12 actions de résilience ont été mises en œuvre dans toute leur organisation. Cela laisse une faiblesse évidente — sans résilience à l’échelle de l’entreprise, les organisations restent dangereusement exposées aux menaces croissantes qui pourraient compromettre l’ensemble de leurs activités.
Voici quelques domaines clés qui bénéficieraient d’une attention transversale au sein de l’organisation.
De nombreuses organisations manquent des opportunités critiques en n’impliquant pas pleinement leurs CISO dans les initiatives clés. Moins de la moitié des dirigeants nous disent que leurs CISO sont largement impliqués dans la planification stratégique des investissements cyber, les rapports au conseil d’administration et la supervision des déploiements technologiques. Cette lacune laisse les organisations vulnérables à des stratégies mal alignées et à des postures de sécurité plus faibles.
Expliquez à la direction pourquoi il est impératif que les CISO soient impliqués dans la stratégie, la planification et la supervision de la mitigation des risques cyber et de résilience.
Participez aux évaluations et exercices de résilience cyber pour mieux comprendre les lacunes et les approches que les CISO pourraient rencontrer pour intégrer les meilleures pratiques, normes et contrôles.
Restez informé et formé sur les évolutions des programmes de gestion des risques cyber, en particulier en ce qui concerne l’exposition aux risques et aux menaces cyber de l’organisation, afin de répondre aux responsabilités croissantes en matière de supervision et de gouvernance.
Les Global Digital Trust Insights 2025 sont est une enquête menée auprès de 4 042 dirigeants d’entreprise et de la technologie entre mai et juillet 2024. Un quart des dirigeants proviennent de grandes entreprises avec des revenus de 5 milliards de dollars ou plus. Les répondants opèrent dans divers secteurs, notamment l’industrie et les services (21%), la technologie, les médias, les télécommunications (20%), les services financiers (19%), le commerce de détail et les marchés de consommation (17%), l’énergie, les services publics et les ressources (11%), la santé (7%) et les services gouvernementaux et publics (4%).
Les répondants sont basés dans 77 pays. La répartition régionale est la suivante : Europe de l’Ouest (30%), Amérique du Nord (25%), Asie-Pacifique (18%), Amérique latine (12%), Europe centrale et orientale (6%), Afrique (5%) et Moyen-Orient (3%).
L’enquête Global Digital Trust Insights était auparavant connue sous le nom de Global State of Information Security Survey (GSISS). Maintenant dans sa 27e année, c’est l’enquête annuelle la plus ancienne sur les tendances en cybersécurité. C’est aussi la plus grande enquête dans l’industrie de la cybersécurité et la seule qui attire la participation de dirigeants d’entreprise seniors, et pas seulement des dirigeants de la sécurité et de la technologie.
PwC Research, le Centre d’excellence mondial de PwC pour la recherche et les insights de marché, a mené cette enquête.