Plus de 60 % des incidents de sécurité en 2024 sont liés à des accès compromis, selon l’ENISA. Malgré l’adoption accélérée de solutions automatisées, la sophistication des attaques dépasse l’évolution des défenses classiques. L’entrée en vigueur de NIS2 impose aux organisations européennes des obligations renforcées, mais l’écart se creuse entre exigences réglementaires et pratiques opérationnelles. Les attaques basées sur l’ingénierie sociale ciblent désormais autant les collaborateurs que les chaînes d’approvisionnement, brouillant les frontières traditionnelles de la protection de l’information.
Panorama 2025 : quelles évolutions majeures pour la sécurité de l’information ?
En 2025, la sécurité de l’information s’impose. Elle ne concerne plus une élite technique, mais irrigue toutes les strates de l’entreprise et du secteur public. Les attaques sont plus nombreuses et plus ciblées. La cybersécurité sort des bureaux feutrés de la DSI pour s’installer à chaque niveau hiérarchique. Les données se transforment en pierre angulaire de l’organisation : il n’est plus question de tolérer la négligence sur ce terrain-là.
L’adoption généralisée du cloud a brouillé les frontières entre systèmes d’information. Les zones d’exposition se multiplient ; la gestion des accès devient une opération délicate, loin de la simplicité d’antan. La sécurité des systèmes d’information exige désormais une surveillance ininterrompue et une réaction prompte au moindre signal suspect. L’ANSSI ne ménage pas ses alertes, illustrant à quel point la vigilance s’installe parmi les règles du jeu.
L’intelligence artificielle fait irruption. Certes, elle repère les anomalies plus vite, mais ouvre aussi de nouveaux angles d’attaque, surtout quand il s’agit de manipuler ses algorithmes. L’émergence de l’informatique quantique suscite de sérieuses préoccupations : la robustesse de nombreux systèmes de chiffrement pourrait y laisser des plumes, bien plus tôt qu’on ne l’imaginait.
Plusieurs mutations redéfinissent donc la sécurité numérique :
- Cybersécurité, enjeu business : elle mobilise les conseils d’administration et influe sur les enveloppes budgétaires, loin d’un simple enjeu technique.
- Révolution dans la gouvernance : la gestion des identités et des droits doit évoluer pour s’adapter à la mobilité et au travail à distance.
- Dépendance aux prestataires externes : le recours croissant au cloud et à l’externalisation oblige à une extrême vigilance sur les flux et points d’interconnexion.
La poussée numérique impose d’être sur le qui-vive. Chaque fournisseur, logiciel ou utilisateur représente un potentiel point d’entrée pour des attaquants de mieux en mieux organisés. Dans ce contexte, prévention, détection et remédiation s’entremêlent au quotidien, avec une pression réglementaire qui ne faiblit jamais.
Le principal risque à surveiller : entre sophistication des attaques et nouvelles surfaces d’exposition
Pour 2025, l’attention se porte sur la capacité à identifier le risque dominant en sécurité de l’information. Les assauts s’affinent : campagnes de phishing élaborées, manipulations psychologiques qui contournent même les plus aguerris. La zone grise entre interventions humaines et processus automatisés trouble les repères ; la détection se complexifie.
Avec la multiplication des interfaces, des applications et des objets connectés, la surface d’exposition s’étend en permanence. Télétravail, dépendances à la chaîne d’approvisionnement, infrastructure cloud : autant de défis pour les organisations, qui voient la moindre faille de configuration ou le fournisseur trop hésitant mettre en péril des pans entiers de données.
Les ransomwares n’ont rien perdu de leur efficacité. Les cybercriminels se concentrent désormais sur les sauvegardes, exploitant des vulnérabilités fraîchement découvertes dans des outils utilisés partout. Dès lors, la gestion des incidents devient une compétence de premier plan. Les entreprises qui répètent leurs simulations de phishing, misent sur la sensibilisation, dressent la cartographie de leurs dépendances, limitent considérablement les répercussions d’une attaque lorsque celle-ci survient.
Pour accroître la résistance aux attaques, plusieurs leviers s’avèrent indispensables :
- Sensibilisation et sessions d’entraînement fréquentes : seule une vigilance humaine active tient bon face à l’ingénierie sociale.
- Cartographie des applications et de la chaîne fournisseurs : des audits planifiés et un suivi des accès sont incontournables.
- Gestion dynamique des incidents : une réaction rapide fait la différence lors d’une violation.
Quels défis pour se conformer aux exigences NIS2 et aux nouvelles réglementations ?
La réglementation devient plus exigeante. La directive NIS2 bouscule les habitudes en matière de gestion des risques et de sécurité des systèmes d’information. Des secteurs entiers, jusqu’ici en marge de la cybersécurité, sont désormais concernés et forcés d’intégrer, sans transition, des pratiques réservées aux spécialistes comme l’analyse des fournisseurs, la gestion proactive des vulnérabilités ou la documentation complète des incidents.
La CNIL et l’ANSSI, de leur côté, élèvent le niveau d’exigence. Fini le temps des contrôles de pure forme : désormais, l’audit est précis, la traçabilité devient incontournable. Les entreprises ne s’arrêtent plus au RGPD : la NIS2 exige une gouvernance globale, un suivi opérationnel des incidents et une gestion sans faille des relations avec les sous-traitants. Un défaut de procédure sur ce terrain peut entraîner des sanctions sans délai.
Pour garder le cap, trois axes d’action se dessinent :
- Cartographier de façon exhaustive les actifs numériques pour repérer toutes les entrées et dépendances critiques.
- Intensifier le suivi des risques liés aux fournisseurs : audit, exigences contractuelles, exigence de clarté sur les mesures mises en place.
- Installer des dispositifs de détection précoce et vérifier régulièrement l’efficacité de la réponse aux incidents.
Cette transformation impose aux équipes de revoir leur organisation, d’améliorer la documentation et de caler leurs pratiques sur les référentiels de l’ANSSI. Au-delà des textes, la démarche vise à sécuriser les informations stratégiques et à préserver la confiance de leur écosystème.
Recommandations concrètes pour renforcer la résilience face aux menaces émergentes
Pour contrecarrer la sophistication des risques, il faut revoir les stratégies. La formation continue devient le socle de toute défense sérieuse. De simples ateliers occasionnels ne suffisent plus : il s’agit de structurer la sensibilisation à la cybersécurité sur le long terme, et de la personnaliser selon les métiers, en misant notamment sur des simulations de phishing et des exercices sur l’ingénierie sociale.
La gestion fine des droits d’accès ne supporte plus l’à-peu-près. L’authentification multifacteur (MFA) doit se généraliser pour tous les comptes sensibles. Répertorier précisément les accès et les revoir fréquemment reste le moyen le plus sûr de fermer la porte à la majorité des scénarios intrusifs observés ces dernières années.
Mesures opérationnelles à privilégier
Pour bâtir une défense solide, différentes actions doivent être engagées :
- Déploiement d’outils performants pour la gestion des vulnérabilités : idéalement, scanner et corriger régulièrement en fonction du contexte réel d’utilisation.
- Adopter des systèmes de détection d’incidents en temps réel pour faire remonter le moindre comportement suspect sans tarder.
- Organiser la gestion de crise en détail : chaque membre de la direction doit connaître son rôle, les contacts à activer et la procédure à suivre.
La collaboration devient le fil rouge : DSI, juristes, ressources humaines, responsables métiers, tout le monde est concerné. La montée en compétence doit accompagner chaque service et chaque individu. Aucun outil miracle n’existe pour combler un manque de vigilance collective. Plus que jamais, la maturité numérique se mesure à l’aune de la résilience de toute l’organisation, de la direction jusqu’à l’utilisateur en première ligne. Pour ceux qui suivent cette voie, le risque se transforme en véritable capital de confiance.
