Management

8 pièges dans lesquels les RSSI ne doivent pas tomber en 2026

L’adaptation des procédures de sécurité au cloud, la vigilance quant aux configurations qui y sont déployées et la surveillance de ses usages font partie des principaux pièges guettant les RSSI. (Photo : Growtika/Unsplash)

L'IA, le cloud et l'interdépendance croissante des entreprises et des technologies confrontent les RSSI à toute une série de risques et menaces qui s'annoncent particulièrement difficiles à gérer. Voici quelques pièges que les RSSI doivent impérativement éviter en 2026.

Publicité1) Relâcher la vigilance sur la gestion des identités, alors se profile l'IA agentique

Le déploiement des agents d'IA connaît une croissance rapide, les entreprises cherchant à tirer parti de l'automatisation et des gains d'efficacité qu'ils promettent. Selon le cabinet Grand View Research, le marché mondial des agents IA était estimé à 5,4 Md$ en 2024 et devrait dépasser les 50 Md$ d'ici 2030.

L'utilisation accrue des agents représente un défi en matière de cybersécurité pour les entreprises. En particulier sur la gestion d'identité. Parmi les menaces potentielles figurent l'usurpation d'identité et une gestion des accès trop permissive. Les cybercriminels peuvent exploiter ces failles par injection de prompts ou via des instructions malveillantes afin de contourner les contrôles et d'obtenir un accès non autorisé aux systèmes et applications.

« Gérer correctement l'identité, y compris celle des agents IA, permet de contrôler qui peut faire quoi à la vitesse de la machine, affirme Morgan Adamski, directrice adjointe en charge des risques cyber, data et technologiques chez PwC. Les attaquants cherchent de plus en plus à se connecter de façon légitime aux systèmes, sans s'y introduire de force, or les agents IA modifient désormais concrètement les systèmes et les données ».

Pour la responsable du cabinet de conseil, « les dirigeants ne peuvent pas se permettre de négliger l'association de chaque utilisateur, application et agent à une identité propre, en attribuant des comptes dédiés, en y couplant une authentification multifacteur (MFA) résistante au phishing, en minimisant les accès et en les limitant au strict nécessaire, en imposant des mots de passe/clés à renouvellement automatique et une surveillance permanente des modifications d'autorisations et des sessions piratées.»

Les entreprises doivent intégrer la gouvernance des agents IA à leurs processus quotidiens, afin que les équipes puissent agir rapidement sans perdre le contrôle, conseille Morgan Adamski. Par exemple, exiger une MFA matérielle pour les administrateurs, faire expirer les privilèges élevés par défaut et enregistrer chaque nouvel agent comme une application dotée de ses propres politiques. « La gestion des identités et des accès pour les agents et les plateformes d'IA est l'une des principales préoccupations des RSSI, abonde Jason Stading, directeur du cabinet de conseil et de recherche ISG. Actuellement, les autorisations et les droits d'accès pour l'IA restent opaques dans de nombreux domaines. Nous assisterons, au cours des prochaines années, à une forte impulsion en faveur d'outils et de méthodes permettant une plus grande transparence et un meilleur contrôle dans ce domaine. »

2) Négliger la complexité croissante de la supply chain

PublicitéLes chaînes d'approvisionnement représentent un risque croissant pour les entreprises, compte tenu de l'essor du commerce numérique et de la complexité grandissante de la supply chain sur des marchés globalisés. Ce domaine est particulièrement stratégique pour les entreprises des secteurs de la fabrication, de la distribution et de la logistique. « En 2026, les RSSI qui négligent la cybersécurité des chaînes d'approvisionnement et environnements de production complexes s'exposent à des conséquences catastrophiques », estime Greg Zelo, directeur technique d'AMFT, fournisseur de produits et composants métalliques.

« La production moderne ne se limite plus à une seule usine ; elle repose sur un réseau de fournisseurs interconnectés, de machines connectées à l'Internet des objets (IoT) et de systèmes de production pilotés par le cloud, détaille le CTO. Cette complexité crée une surface d'attaque considérable au sein de systèmes où une seule faille peut paralyser l'ensemble des opérations. »

Des incidents récents soulignent l'importance de ces enjeux. Par exemple, en septembre 2025, Jaguar Land Rover a subi une cyberattaque, ce qui a interrompu la production au Royaume-Uni, en Slovaquie, en Inde et au Brésil pendant plusieurs semaines, pour un coût estimé à 2 Md€, souligne Greg Zelo. « La faille s'est propagée à des centaines de fournisseurs, entraînant des licenciements et des faillites. Il ne s'agissait pas simplement d'une panne informatique ; c'était une crise opérationnelle qui a révélé à quel point la production à l'échelle globale est devenue interdépendante. »

Selon Greg Zelo, les attaquants ciblent de plus en plus les systèmes de technologie opérationnelle (OT) qui contrôlent la robotique, les chaînes de montage ou les systèmes de contrôles qualité, car l'arrêt de la production oblige les entreprises à payer rapidement des rançons. « Au-delà des pertes financières, les risques incluent le vol de propriété intellectuelle, les sanctions réglementaires et les atteintes à la sécurité nationale, reprend le CTO. Pour les RSSI, la leçon est claire : les défenses périmétriques traditionnelles sont obsolètes. Sécuriser des chaînes d'approvisionnement complexes exige des architectures Zero Trust pour les environnements IT et OT, un monitoring constant des risques liés aux tiers, incluant les mises à jour de firmwares et de logiciels, un déploiement rapide des correctifs et une segmentation des réseaux pour isoler les systèmes critiques, ainsi que des exercices de réponse aux incidents impliquant les fournisseurs et sous-traitants. »

3) Minimiser l'escalade des tensions géopolitiques

On peut facilement imaginer que les RSSI, focalisés sur la protection de leur organisation contre les menaces externes et internes, en oublient les tensions géopolitiques. Ou peut-être les considèrent-ils comme non pertinentes pour les enjeux de cybersécurité auxquels leur organisation est confrontée. Dans tous les cas, c'est une grave erreur.

« Il est crucial d'intégrer des scénarios systémiques aux plans de cyber-résilience des organisations, affirme ainsi Jason Stading d'ISG. Ces scénarios doivent prendre en compte l'évolution de la situation mondiale et les tensions géopolitiques susceptibles d'affecter l'activité. »

On observe également une demande croissante de renseignements sur les menaces spécifiques à chaque secteur d'activité, afin de fournir aux entreprises des indicateurs de compromission personnalisés pouvant impacter leurs activités et leurs actifs, souligne l'analyste. « Et on parle dans certains cas de menaces avancées et persistantes émanant d'États malveillants », souligne Jason Stading.

L'imbrication croissante de la cybersécurité et de la géopolitique est une réalité, confirme AJ Thompson, directeur commercial du cabinet de conseil en informatique Northdoor. « Les cyberattaques menées par des acteurs étatiques s'inscrivent dans des conflits bien plus vastes qui ciblent les infrastructures critiques et les chaînes d'approvisionnement globales, explique-t-il. Ne pas intégrer les données géopolitiques dans la modélisation des menaces expose les organisations de manière disproportionnée à des cyberattaques étatiques à fort impact. » De plus, une implication involontaire dans de tels événements peut également avoir de graves conséquences réglementaires et nuire à la réputation de l'entreprise, ajoute AJ Thompson.

4) Se montrer laxiste sur les usages du cloud

Avec l'essor des services cloud, les risques liés à la sécurité et à la confidentialité augmentent en proportion. Si les RSSI négligent cet aspect de la cybersécurité, ils risquent d'exposer leur organisation. « C'est crucial à la fois pour les services cloud et pour les outils d'IA, qui sont souvent interdépendants, explique Jason Stading (ISG). Une sensibilisation et une formation à la sécurité adaptée et moderne, liée aux rôles et responsabilités, sont essentielles. Elles doivent notamment prendre en compte l'utilisation des outils et technologies d'IA, aujourd'hui omniprésents en entreprise. »

Or, selon l'analyste, la formation des administrateurs et ingénieurs cloud aux bonnes pratiques et procédures de sécurité est souvent insuffisante. « L'adoption et l'utilisation des outils constituent également un axe d'amélioration majeur pour de nombreuses équipes cloud, ajoute-t-il. Nombre d'organisations ont investi dans des outillages de sécurité cloud aujourd'hui sous-utilisés. »

L'approche périmétrique de la sécurité n'est, une fois encore, plus d'actualité, surtout avec l'adoption du multicloud, selon AJ Thompson. « Les organisations qui misent sur une sécurité cloud réactive passent souvent à côté de menaces sophistiquées », souligne-t-il. Une gestion proactive de la sécurité du cloud (CSPM) et des directives claires pour les utilisateurs constituent des points fondamentaux pour prévenir de coûteuses violations de données et des interruptions opérationnelles, affirme AJ Thompson. « Il est essentiel d'inculquer en permanence les bonnes pratiques aux utilisateurs afin de minimiser les risques d'erreur humaine dans des environnements cloud complexes », explique-t-il.

5) Négliger la complexité croissante de la conformité

Certaines entreprises, notamment dans les secteurs fortement réglementés comme les services financiers et la santé, sont depuis longtemps soumises à des réglementations relatives à la sécurité et à la confidentialité des données. Or, aujourd'hui, notamment avec l'arrivée de NIS 2, quasiment tous les types d'entreprises doivent se conformer à un nombre croissant d'exigences portant sur la protection et la confidentialité des données. Et ce, un peu partout dans le monde. Négliger ou sous-estimer cet aspect peut aboutir à des amendes et autres sanctions.

« Il est vrai que les organisations fortement réglementées supportent des coûts supplémentaires importants liés à la conformité, et la lassitude face à cette réglementation est un phénomène courant, constate Jason Stading (ISG). Le rôle du RSSI ayant évolué ces dernières années pour inclure une responsabilité accrue en matière de conformité, celui-ci ne peut plus se permettre de négliger ou de sous-estimer les efforts à déployer dans ce domaine. »

Les RSSI de grandes entreprises internationales, en particulier, doivent se tenir informés des dernières évolutions des lois dans les différents pays où opère leur organisation. « Le cadre réglementaire de la cybersécurité au Royaume-Uni et en Europe évolue rapidement, souligne AJ Thompson de Northdoor. Des réglementations telles que le RGPD (Règlement général sur la protection des données) et la DORA (Digital Operational Resilience Act) établissent de nouvelles normes qui exigent des organisations qu'elles démontrent non seulement l'existence de contrôles documentés, mais aussi une efficacité de leurs procédures de cybersécurité vérifiable empiriquement. »

Les autorités de réglementation exigeront des preuves solides montrant que la cybersécurité et la résilience opérationnelle sont profondément intégrées à tous les niveaux des processus métier, et non pas traitées comme une simple case à cocher, ajoute AJ Thompson. « La gestion des risques liés aux tiers est tout aussi importante, et les autorités de réglementation exigent de plus en plus des organisations qu'elles en soient responsables, dit-il. À mesure que les chaînes d'approvisionnement se complexifient et se distribuent, les vulnérabilités liées aux fournisseurs externes deviennent des risques majeurs en matière de conformité et de sécurité. Ne pas intégrer de manière proactive ces exigences réglementaires dans les stratégies de sécurité expose l'entreprise à de lourdes sanctions financières, mais aussi à des perturbations opérationnelles et à une atteinte durable à sa réputation. »

6) Sous-estimer les risques liés aux chatbots IA

Les chatbots IA représentent un risque émergent pour la protection des données, affirme Daniel Woods, chercheur en chef chez Coalition, un assureur américain spécialisé en cybersécurité. D'après l'analyse menée par cette société sur près de 200 plaintes relatives à la protection de la vie privée et l'examen de 5 000 sites web d'entreprises, 5% des plaintes visaient les technologies de chatbot, précise-t-il. « Ces plaintes alléguaient l'interception illégale de conversations clients en vertu de lois étatiques sur les écoutes téléphoniques, promulguées bien avant l'existence de tels outils, détaille Daniel Woods. Toutes les plaintes concernant les chatbots suivaient le même schéma : le message d'ouverture de la conversation aurait dû indiquer qu'elle était enregistrée. »

De ce fait, les plaintes alléguaient une violation de la loi de Floride sur la sécurité des communications, vieille de plusieurs décennies, souligne le spécialiste. Environ 5% des sites web examinés utilisaient des chatbots, ce qui correspond au pourcentage de plaintes relatives à la protection de la vie privée en ligne concernant ces outils, souligne-t-il.

« L'utilisation des chatbots était particulièrement répandue dans les secteurs de l'informatique et de la finance, où elle concernait respectivement 9 et 6% des sites », ajoute Daniel Woods. Il prévoit une augmentation probable de l'utilisation de ces chatbots et, par conséquent, une hausse potentielle des plaintes émanant de clients. « Le risque lié à une mauvaise utilisation des chatbots réside dans la facilité avec laquelle ces systèmes peuvent être manipulés, notamment par injection de prompts, une technique qui a été documentée à de nombreuses reprises et qui a entraîné des fuites de données clients », explique le chercheur de Coalition.

7) Négliger l'impact du cloud sur les procédures de sécurité

Aujourd'hui, la quasi-totalité des entreprises dépendent des services cloud pour au moins une partie de leurs opérations. Négliger la sécurité de ces services revient à s'exposer à de graves déconvenues. « Le cloud et le SaaS vont continuer de se développer. Il est donc essentiel de configurer des environnements sécurisés avec des garde-fous pour l'identité, le chiffrement, la journalisation et le trafic sortant, et d'utiliser des politiques de sécurité intégrées au code afin que la configuration conforme soit la configuration par défaut », souligne Morgan Adamski de PwC.

Les RSSI doivent utiliser des outils pour inventorier en continu les actifs, détecter les erreurs de configuration, signaler les comportements anormaux et procéder à des corrections automatiques lorsque cela s'avère pertinent, ajoute-t-elle. « Gérer en permanence les alertes provenant de toutes parts ne suffira pas face à la prolifération des approches multiclouds et aux attaques ciblant les identités, explique Morgan Adamski. Il est essentiel de moderniser le SOC (centre des opérations de sécurité) grâce à l'automatisation et à l'IA afin de réduire le bruit et de corréler les signaux provenant des différents services cloud. »

8) Oublier (une fois encore) le facteur humain

Avec la multitude d'outils et de services de cybersécurité disponibles, il est parfois tentant de négliger ce qui reste une composante essentielle de toute stratégie de cybersécurité : l'aspect humain. « D'après mon expérience, la cause immédiate des failles de sécurité provient généralement d'une erreur humaine, tranche Beth Fulkerson, associée spécialisée en technologies et cybersécurité au sein du cabinet d'avocats CM Law. Le plus souvent, une personne se fait piéger et ouvre la porte à un code malveillant. »

Il est dans la nature humaine de vouloir réagir à un message ou d'ouvrir un document, et c'est ce qui cause des problèmes aux utilisateurs. « La solution principale n'est pas d'investir davantage dans la technologie, mais de renforcer la formation des employés afin qu'ils se sentent à l'aise lorsqu'il s'agira de refuser des demandes d'accès à leurs machines ou à des informations », précise l'avocate. Un autre exemple d'erreur humaine reviendrait à oublier qu'une imprimante ou un télécopieur est connecté au réseau et de ne pas installer de protections de sécurité ou de ne pas le déconnecter, ajoute Beth Fulkerson.

« La mauvaise utilisation des technologies de sécurité disponibles ou déjà en place constitue une autre source de problèmes », ajoute l'avocate. Le dernier litige sur lequel elle a travaillé concernait ainsi une entreprise qui affirmait utiliser un logiciel de gestion de l'intégrité des fichiers, conformément à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), mais qui n'avait soit pas configuré les alertes, soit ignoré ces dernières. « Il est inutile qu'une entreprise dispose d'un logiciel de sécurité performant si elle ne le configure pas et n'en assure pas une maintenance correcte », souligne Beth Fulkerson.