Combler le déficit de résilience : les lacunes persistantes de l’économie britannique, selon le gouvernement

Combler le déficit de résilience : les points faibles, selon le gouvernement, de l'économie britannique

By Phil Muncaster • 16 avril 2026 • 6 min de lecture

Clients, conseils d'administration et organismes de réglementation s'accordent tous sur un point : s'il est impossible de prévenir les cyberattaques à 100 %, il est impératif de privilégier le renforcement de la résilience afin que les organisations soient mieux armées pour y résister et s'en remettre. Mais mesurer les progrès accomplis dans ce domaine n'est pas chose aisée. Le gouvernement… Enquête sur les violations de la cybersécurité Elle est assez détaillée. Mais, point crucial, elle n'interroge pas exactement les mêmes organisations chaque année pour vérifier l'évolution de leur position.

C'est là que le gouvernement enquête longitudinale sur la cybersécurité Cette étude, qui en est à sa cinquième année (ou « vague »), vise à montrer comment les organisations évoluent au fil du temps. Les conclusions sont révélatrices. Si la cinquième vague présente certains aspects positifs, le rapport souligne une propension à une sécurité réactive, en contradiction avec les meilleures pratiques.

Qu'est-ce qui fonctionne (et qu'est-ce qui ne fonctionne pas) ?

Le rapport révèle que la plupart des organisations ont continué de subir une forme ou une autre de cyberincident l'an dernier : 82 % contre 79 % l'année précédente. Point positif : elles prennent des mesures pour y remédier. En effet :

La part des organisations déclarant « adhérer » aux Cyber Essentials est passée de 23 % à 30 % entre la quatrième et la cinquième vague.
La part des entreprises disposant de polices d'assurance cyber est passée de 29 % à 35 %.
La part des entreprises qui ont déclaré ne pas connaître l'assurance est passée de 20 % à 13 %.
Les entreprises étaient plus susceptibles de déclarer investir dans le renseignement sur les menaces (44 % contre 36 %).
Les répondants étaient plus susceptibles de réaliser un audit de vulnérabilité en matière de cybersécurité (60 % contre 56 %).
Plus d'un tiers des organisations (37 %) ont signalé une augmentation de leurs budgets de cybersécurité.

Cependant, il y a aussi des raisons de s'inquiéter. Bien que l'année écoulée ait vu une augmentation du respect des normes et cadres de bonnes pratiques, une proportion importante (37 %) des entreprises ne se conforme ni à la norme ISO 27001, ni à Cyber Essentials, ni à Cyber Essentials Plus.

La gestion des risques liés à la chaîne d'approvisionnement demeure un point faible pour beaucoup. Seules 28 % des entreprises déclarent avoir réalisé une évaluation formelle de leurs fournisseurs au cours des 12 derniers mois. « Qualitativement, les organisations manquent généralement de sensibilisation aux incidents de cybersécurité dans leurs chaînes d'approvisionnement, tout en reconnaissant qu'ils surviennent probablement à leur insu », souligne le rapport.

L’étude révèle également que, même si 90 % des entreprises affirment intégrer le risque cybernétique à leur gestion globale des risques, « cela ne se traduit pas toujours par des budgets efficaces ou une formation au niveau du conseil d’administration ».

Le problème de la sécurité réactive

Le principal problème mis en lumière par le rapport n'est pas tant le manque d'efforts déployés par les entreprises britanniques pour améliorer leur résilience, car dans de nombreux cas, elles le font. C'est plutôt la manière dont ces investissements sont réalisés qui pose problème. Les auteurs du rapport suivent les organisations participantes lors de deux cycles d'entretiens distincts (« temps 1 » et « temps 2 ») – généralement sur une période d'un an – afin de mesurer l'évolution dans le temps.

Ils ont constaté que plus d'un tiers (34 %) des organisations ayant subi un incident avec impact et/ou résultat au moment 1 ont ensuite subi un incident sans impact et/ou résultat au moment 2. Cela suggère soit que l'organisation a amélioré sa résilience de manière réactive, soit que le deuxième incident n'était pas aussi intrusif.

Ce n'est pas tout. Les organisations n'ayant subi aucun incident au premier point de mesure ne semblent pas avoir entrepris de démarches proactives pour améliorer leur sécurité, ce qui pourrait indiquer qu'elles attendaient un élément déclencheur. En revanche, les organisations ayant subi un incident étaient plus susceptibles de mettre en œuvre des changements positifs dans huit domaines, notamment la réponse aux incidents, la gestion des risques liés à la chaîne d'approvisionnement et l'implication de la direction.

« Le caractère imprévisible des cyberincidents, susceptibles de catalyser le changement, est préoccupant », avertissent les auteurs du rapport.

Voici d'autres exemples de posture de sécurité réactive :

Les organisations sont plus susceptibles d'obtenir la certification ISO 27001/Cyber Essentials au moment 2 si elles ont subi un incident ayant eu un impact et/ou un résultat au moment 1.
Les risques d'atteinte à la réputation ont été « fréquemment cités » par les répondants comme une motivation au changement, en particulier pour les équipes de cybersécurité et la haute direction.
Les « influences extérieures » ont été un facteur clé pour créer une dynamique de changement, comme les attaques de ransomware sur détaillants de rue L’année dernière, « les participants ont indiqué que ces incidents publics les avaient incités à effectuer des vérifications supplémentaires ou à solliciter des financements en raison de l’impact potentiel sur leur propre organisation », précise le rapport.

Obstacles à la réussite

« Une sécurité réactive laisse toujours les organisations à la traîne. Lorsqu'une alerte est déclenchée, l'attaquant a déjà réussi d'une manière ou d'une autre », explique Michael Downs, vice-président de SecureEnvoy, à IO (anciennement ISMS.online). « Développer sa résilience de manière proactive, notamment au niveau de l'identité, n'est plus une option ; c'est le seul moyen de réduire les risques avant qu'ils ne se concrétisent. »

Cependant, si la sécurité proactive était si simple, tout le monde l'adopterait. Andy Ward, vice-président senior international chez Absolute Security, souligne plusieurs obstacles majeurs.

« L’un des défis consiste à obtenir le soutien du conseil d’administration et des responsables de la cybersécurité afin d’élever la résilience au plus haut niveau de la gouvernance, avec des stratégies claires pour une restauration complète des opérations après une interruption. Sans cette implication, les mesures proactives peuvent être retardées ou appliquées de manière incohérente », explique-t-il à IO.

« Un autre obstacle majeur réside dans la prolifération rapide des appareils et des applications logicielles, ce qui complexifie les systèmes informatiques et rend leur gestion plus difficile. Cette expansion rend complexe la mise à jour des systèmes et la mise en œuvre de mesures proactives de cybersécurité sur l'ensemble des terminaux. »

Ward souligne également que le financement et l'accès aux talents constituent des freins pour les entreprises dans ces efforts, notamment les plus petites. « Nombre de petites entreprises pensent à tort qu'elles sont trop petites pour attirer les cybercriminels, ou que le stockage de leurs données dans le cloud les protège automatiquement », ajoute-t-il.

Le chemin vers une sécurité proactive

Pourtant, avec la bonne approche, ces obstacles ne devraient pas être insurmontables, affirme James Mackay, PDG de MetaCompliance.

"« Pour devenir plus proactif, il faut d’abord repenser l’objectif de la sensibilisation à la sécurité : il ne s’agit plus seulement de dispenser des formations, mais aussi de gérer les risques humains », explique-t-il à IO. « À terme, cette approche permet de développer une culture de la sécurité axée sur les comportements. Les employés perçoivent alors la sécurité non plus comme un exercice ponctuel en salle de classe, mais comme une composante de leur travail quotidien. »

Les normes de bonnes pratiques comme l'ISO 27001 peuvent être de « puissants catalyseurs » de ce recadrage, à condition qu'elles ne soient pas perçues comme une simple liste de contrôle, ajoute Mackay.

« La norme ISO 27001 exige que vous compreniez vos risques liés à la sécurité de l'information, que vous mettiez en œuvre des contrôles appropriés et que vous vous assuriez que le personnel possède les compétences et la connaissance de ses responsabilités en matière de sécurité », poursuit-il. « Elle établit les bases de la gestion de la sécurité au sein d'une organisation. »

Si davantage d'organisations adoptent ce type d'approche structurée, l'enquête longitudinale de l'année prochaine pourrait s'avérer plus rassurante.

Élargissez vos connaissances

Blog: Le facteur de résilience : analyse de l’attaque par ransomware BridgePay

Blog: Respecter la loi sur l'utilisation et l'accès aux données en toute confiance : pourquoi la boucle ISO 27001, 27701 et 42001 est efficace

Télécharger : Le rapport sur l’état de la sécurité de l’information 2025

Combler le déficit de résilience : les points faibles, selon le gouvernement, de l'économie britannique

Qu'est-ce qui fonctionne (et qu'est-ce qui ne fonctionne pas) ?

Le problème de la sécurité réactive

Obstacles à la réussite

Le chemin vers une sécurité proactive

Élargissez vos connaissances

Phil Muncaster

Articles connexes

Si le burn-out était un risque pour la sécurité, nous l'aurions déjà résolu.

Pourquoi la mise à jour du NIS britannique pourrait entraîner un surcroît de travail pour les organisations concernées

Le délai fixé à août 2026 pour l'adoption de la loi européenne sur l'IA est reporté : quelles conséquences pour les entreprises ?

Plus d'articles de Phil Muncaster

Pourquoi la mise à jour du NIS britannique pourrait entraîner un surcroît de travail pour les organisations concernées

Comment les équipes de sécurité peuvent-elles se préparer à un avenir post-mythe ?

La voie de la moindre résistance : pourquoi la défense en profondeur est la meilleure réponse aux menaces du cloud