Autrefois, les cybermenaces se limitaient aux compromissions, aux risques techniques et à l’extorsion financière. Mais depuis quelques années, elles menacent directement la continuité opérationnelle. Les schémas d’extorsion se sont substitués aux ransomwares, les vulnérabilités cloud mettent en péril l’ensemble de l’entreprise, et les cyberattaques ont pris de vitesse les solutions de sécurité traditionnelles.
Dès lors, comment réagir face à ces nouveaux dangers ? Le premier constat à tirer du rapport mondial 2025 sur la réponse à incident est que sécurité ne rime pas seulement avec prévention des compromissions. Les entreprises doivent être en mesure de résister aux attaques, de reprendre rapidement leurs activités et de déjouer des menaces de plus en plus efficaces et sophistiquées. En résumé, les dirigeants doivent cesser de voir la cybersécurité comme une fonction IT isolée, et traiter la résilience non pas comme une mesure défensive, mais comme un levier essentiel de croissance, de continuité et de compétitivité.
Cybermenaces : les trois grandes tendances en 2025
Le rapport mondial annuel sur la réponse à incident met en exergue trois tendances phares qui imposent aux entreprises de repenser immédiatement leur approche de la sécurité.
1. Les ransomwares sont devenus une arme de disruption massive
Aujourd’hui, les cybercriminels ne se contentent plus de bloquer l’accès aux fichiers et de demander une rançon. Ils exfiltrent les données avant de les chiffrer, menacent de divulguer des informations sensibles et perturbent volontairement les opérations. Les chiffres parlent d’eux-mêmes :
- 92 % des incidents de ransomware en 2024 comportaient un chiffrement des données
- 60 % impliquaient par ailleurs un vol de données, faisant peser un risque accru sur la réputation et la conformité
- 13 % de ces incidents se sont transformés en harcèlement, les attaquants ciblant des clients et des collaborateurs pour arriver à leurs fins
En clair, les dirigeants ne doivent plus raisonner seulement en termes de perte de données. Le risque réel réside dans la paralysie opérationnelle, la destruction de la réputation et les sanctions réglementaires. Les organisations doivent donc partir du principe que leurs données seront dérobées et, surtout, mettre en œuvre les plans de réponse adéquats. Car la réactivité n’est pas une solution. En revanche, les mesures de sécurité proactives – comme la détection des menaces pilotée par IA, les architectures Zero Trust et les playbooks de réponse rapide – sont devenues obligatoires.
2. Le cloud et les identités sont les nouvelles cibles
À l’heure où les entreprises se tournent en nombre vers des environnements hybrides et cloud-first, les attaquants ajustent leur ligne de mire :
- 29 % des incidents de sécurité en 2024 impliquaient l’infrastructure cloud
- 70 % des incidents se sont déroulés sur trois fronts ou plus, d’où la nécessité de protéger conjointement les réseaux, les terminaux, les environnements cloud ainsi que le facteur humain
- Près de la moitié des compromissions cloud reposait sur l’exploitation d’identités et de contrôles des accès mal configurés
- Les auteurs de menaces exfiltrent les données cloud avant de les détruire, s’assurant de pouvoir extorquer les entreprises qui refusent de céder au chantage
Le périmètre de sécurité traditionnel n’existe plus, tout comme l’idée que la sécurité du cloud incombe uniquement à la fonction IT. En effet, une compromission des identités constitue un échec à l’échelle de l’entreprise. En sachant que la compromission d’un seul identifiant peut mettre les opérations à l’arrêt, les responsables sécurité doivent prioriser les stratégies « identity-first ». En plus d’imposer le principe du moindre privilège pour les accès, ils doivent déployer une surveillance continue et des contrôles de sécurité cloud pilotés par IA qui s’adaptent au rythme des nouvelles menaces.
3. Les cyberattaques ont pris de vitesse les solutions de sécurité traditionnelles
Le rapport confirme également les craintes que certains avaient déjà : les cybercriminels s’emparent de l’IA et de l’automatisation pour lancer des attaques avec une rapidité surhumaine.
- Délai médian entre compromission et exfiltration de données : 2 jours
- 25 % des cas ont abouti à une exfiltration dans les cinq heures suivant l’incident, soit un délai trois fois plus court qu’en 2021
- Près de 20 % des incidents ont entraîné une exfiltration en moins d’une heure
Pour les entreprises qui privilégient encore la détection manuelle, et dont les délais de réponse sont intrinsèquement plus longs, cette réalité doit faire l’effet d’un électrochoc. La cyber-résilience doit passer désormais à la vitesse machine. Il s’agit d’exploiter la CTI pilotée par IA, de déployer des systèmes de réponse automatisés et d’évaluer constamment la posture de sécurité pour prendre une longueur d’avance sur les attaquants.
De la cybersécurité à la cyber-résilience
Le playbook de sécurité traditionnel (détection, isolation, neutralisation) est certes nécessaire, mais pas suffisant. Les entreprises doivent abandonner leur posture défensive au profit d’une stratégie de cyber-résilience, en intégrant la cybersécurité à la gestion globale des risques opérationnels.
1. Faire de la sécurité une fonction continue pilotée par IA
La cyber-résilience ne doit pas se limiter à des checklists de conformité ou à des audits périodiques. Elle doit s’étendre à des opérations de sécurité en temps réel, optimisées par IA et capables de détecter, d’analyser et de neutraliser les menaces à la racine.
- Les SOC pilotés par IA doivent être des moteurs de détection autonomes, capables de signaler les anomalies et de prioriser les risques à la lumière des données d’attaque en temps réel.
- Les architectures Zero Trust doivent valider les accès en continu, en préservant la sécurité des identifiants, des identités et des autorisations même lorsque les utilisateurs et les workloads transitent sur des environnements hybrides.
- Pour cela, la sécurité ne doit pas être un exercice ponctuel, mais un système dynamique qui évolue au rythme des menaces.
2. Penser le risque comme une décision stratégique, et non comme un problème de sécurité
Les RSSI peinent souvent à trouver les bons arguments pour sensibiliser les dirigeants aux cyber-risques. Cela doit changer.
- Quantifiez le risque cyber en termes financiers
En sachant qu’un ransomware peut coûter 25 millions de dollars en temps d’arrêt, manque à gagner et sanctions réglementaires, les dirigeants doivent le calculer en tant que risque opérationnel, et pas seulement sécuritaire. - Associez la résilience à la compétitivité
Une reprise rapide des activités à la suite d’une cyberattaque peut constituer un avantage sur la concurrence. La cyber-résilience ne consiste pas seulement à éviter les pertes, mais surtout à protéger sa position sur le marché.
3. Réunir le cloud, les identités et la sécurité au sein d’une stratégie unifiée
Les attaquants ne font pas de distinction entre cloud et réseau d’entreprise. Pourquoi le feriez-vous ?
- Éliminez les silos entre vos équipes cloud et SOC
La sécurité des identités, du runtime et des terminaux doit être opérationnalisée sous la forme d’un écosystème unique. - Intégrez l’IA aux contrôles des identités
Puisque la moitié des compromissions cloud sont liées à des accès mal configurés, la sécurité pilotée par IA doit évaluer en permanence les autorisations et combler les brèches exploitables.
4. Raccourcir les délais de récupération
Jusqu’à présent, on mesurait la sécurité par le nombre de compromissions évitées. Mais en 2025, la résilience se définit par la vitesse de récupération.
- Adoptez des métriques de résilience
À quelle vitesse pouvez-vous détecter, isoler et neutraliser une attaque avant qu’elle ne perturbe vos opérations ? - Automatisez le playbook de restauration
Lorsqu’elle est efficace, la réponse à incident peut passer d’une gestion de crise à un avantage stratégique. Une reprise rapide des activités constitue un levier de compétitivité.
La cyber-résilience doit être une priorité de la direction
Le rapport indique sans équivoque que la cyber-résilience ne peut plus reposer uniquement sur les épaules des équipes de sécurité. Les dirigeants doivent en faire une priorité, avec des résultats mesurables et des responsabilités bien définies. Nos recommandations :
- Les DSI doivent promouvoir une sécurité pilotée par IA, avec des défenses adaptatives qui opèrent à vitesse machine
- Les RSSI doivent passer de la conformité à la résilience, en priorisant l’analyse des risques pilotée par IA et la réponse à incident en temps réel
- Les DAF doivent quantifier le risque cyber en tant que métrique financière, en alignant les investissements de sécurité sur le ROI et l’impact opérationnel mesurable
- Les DG doivent monter au front, en intégrant la sécurité à la culture de l’entreprise et en faisant de la résilience un pilier de la stratégie de croissance
L’avenir de la cyber-résilience commence aujourd’hui
Les cybermenaces sont une problématique cruciale, dont les dirigeants doivent aussi s’emparer. Pour durer, les entreprises ne peuvent pas se contenter de réagir aux attaques : elles doivent ancrer la cyber-résilience au cœur de leurs opérations pour garantir la sécurité, la continuité et la compétitivité face à la recrudescence des attaques et aux risques de perturbation inhérents.
Pour les dirigeants, la question n’est plus de savoir si l’entreprise est sécurisée, mais plutôt si elle est suffisamment armée pour déjouer des attaques qui sont devenues inévitables.
Pour plus de détails, téléchargez le rapport 2025 complet sur la réponse à incident.
