Une année de conformité : cinq leçons tirées de 2025

Par Phil Muncaster • 9 December 2025

Ces douze derniers mois ont une fois de plus démontré que le paysage de la cybersécurité est rarement exempt d'incidents. Les failles de sécurité majeures ont coûté des milliards de livres aux organisations, les acteurs malveillants ayant perfectionné leurs tactiques et exploité sans scrupules les faiblesses humaines. L'adoption de l'IA s'est accélérée dans de nombreuses entreprises, élargissant leur surface d'attaque au moment même où les technologies basées sur l'IA offraient un avantage aux adversaires. Parallèlement, les exigences de conformité se sont accrues, les autorités réglementaires s'efforçant d'imposer une cyber-résilience renforcée tout au long des chaînes d'approvisionnement.

Passons en revue cinq leçons tirées de l'année 2025 :

Les nouvelles réglementations prolifèrent

Les échéances de mise en conformité se sont succédé rapidement au cours des 12 derniers mois. La première à arriver était… Loi sur la résilience opérationnelle numérique (DORA) – une initiative de l’UE visant à protéger le secteur des services financiers de la région. Surtout, la loi DORA impose de nouvelles exigences en matière de gestion des risques, de tests et de réponse aux incidents non seulement aux acteurs financiers eux-mêmes, mais aussi à leurs fournisseurs informatiques et autres fournisseurs opérationnels. vise à harmoniser Des lois à l'échelle du bloc, améliorant la sécurité de base en responsabilisant personnellement les cadres supérieurs en cas de non-conformité – ce qui concernerait environ 22 000 entreprises dans la région.

En tant qu'infrastructure essentielle, ce secteur attendait depuis longtemps une réglementation de ce type. Selon le FMI, les cyberincidents survenus au cours des deux dernières décennies ont engendré 12 milliards de dollars de pertes directes pour les institutions financières internationales. Pourtant, six mois plus tard, il est apparu clairement que la mise en conformité était loin d'être simple. Une étude Une étude publiée cet été a révélé que seulement la moitié des organisations ayant répondu avaient intégré les exigences de DORA à leurs programmes de résilience. De plus, la majorité n'avait pas encore atteint les normes de résilience de DORA.

Ailleurs, le fardeau de la conformité s'est accru. avec modifications au règlement européen sur la cybersécurité (CSA) afin de rendre obligatoires les systèmes de certification pour les services de sécurité gérés. Le gouvernement a adopté une mise à jour attendue depuis longtemps au RGPD britannique : la loi sur les données (utilisation et accès) devrait contribuer à réduire la bureaucratie, à améliorer le partage sécurisé des données et à faciliter l’utilisation responsable des données.

Pendant ce temps, un nouveau cadre de cybersécurité du NIST fera évoluer la norme pour la rendre plus actuelle et adaptée à l'objectif – notamment dans le contexte du développement de l'IA et de la prise de décision automatisée.

La résilience au cœur de la scène

Un point commun à bon nombre des lois et réglementations mentionnées ci-dessus est l'objectif d'améliorer la cyber-résilience. Des incidents retentissants, tels que des attaques majeures contre la chaîne d'approvisionnement, en sont un exemple. perturbation dans plusieurs aéroports européens, et une panne de plusieurs semaines due à un ransomware à Le plus grand constructeur automobile britannique Expliquez-nous pourquoi les autorités réglementaires s'orientent dans cette direction. Selon une étude du Forum économique mondial publiée cette année, plus de la moitié (54 %) des entreprises mondiales les organisations identifient Les défis liés à la chaîne d'approvisionnement constituent leur principal obstacle à l'atteinte de la cyber-résilience.

Il ne s'agit pas uniquement d'un problème informatique. Un Dragos/Marsh McLennan rapport Une étude publiée en août affirmait que les risques liés aux heures supplémentaires pourraient coûter aux organisations au moins 330 milliards de dollars par an.

C’est pourquoi des organisations comme le Centre national de cybersécurité (NCSC) exhortent à agir. L'agence a déclaré que la moitié 48 % des incidents auxquels son équipe de gestion des incidents a répondu au cours de l'année écoulée étaient d'importance nationale, tandis que le nombre d'incidents qualifiés de « très importants » a bondi de 50 %. Le terme « résilience » est mentionné 139 fois dans le dernier rapport annuel du NCSC. Malheureusement, les capacités de sécurité de base restent insuffisantes. sont à l'arrêt ou encore en ce qui concerne des compétences clés telles que la formation du personnel, la gestion des risques liés aux fournisseurs et la réponse aux incidents, selon les chiffres du gouvernement lui-même. C'est en partie pour cette raison que… a finalement présenté le projet de loi sur la cybersécurité et la résilience en novembre.

Les nombreuses violations de données pénalisent fortement les clients.

Dans trop de grandes organisations, la sécurité reste cloisonnée au sein du département informatique, au lieu d'être perçue comme un levier de croissance. On espère que des réglementations telles que celles mentionnées précédemment contribueront à faire évoluer les mentalités au sein des directions. Parallèlement, les RSSI disposent de plus en plus d'éléments probants pour appuyer leurs demandes de financement, face à la multiplication des cyberattaques majeures.

La perturbation mentionnée précédemment à l'aéroport d'Heathrow en est un bon exemple. Elle est survenue après une attaque de ransomware chez Collins Aerospace, fournisseur de logiciels d'enregistrement, entraînant des retards qui ont duré des semaines dans certains aéroports européens. attaques de ransomware sur les rues commerçantes du Royaume-Uni les détaillants M&S et le groupe Co-op ont coûté aux entreprises des centaines de millions en coûts directs et en pertes de ventes, et ont peut-être anéanti une fidélité client durement acquise.

Si les conseils d'administration et les dirigeants ne font pas le lien entre la cybersécurité, la performance de l'entreprise et la valeur de la marque à long terme, leurs concurrents, eux, le feront sans aucun doute. Une étude Sophos publiée cette année a révélé que le Royaume-Uni fait figure d'exception à l'échelle mondiale. Près de 70 % des victimes de rançongiciels ont vu leurs données chiffrées, un chiffre bien supérieur à la moyenne mondiale de 50 % et aux 46 % enregistrés par les victimes britanniques en 2024.

Le paysage des menaces évolue

Pourtant, la situation ne s'améliore pas. La surface d'attaque des entreprises ne cesse de croître, notamment en raison des investissements dans les services numériques, les écosystèmes cloud et l'IA. Or, les budgets et les compétences sont rares. Et les acteurs malveillants continuent d'innover et d'évoluer.

Cette année, nous avons constaté une préférence croissante pour utilisation des outils d'accès à distance Les attaques ciblent les RAT (Remote Access Trojans) et les systèmes de surveillance et de gestion à distance (RMM). Elles constituent souvent l'étape suivante d'une attaque multicouche, l'accès initial étant obtenu en ciblant les services d'assistance informatique et/ou les employés par des techniques de vishing. Exploitation des vulnérabilités continue également Pour être populaire. Et les faiblesses de l'écosystème open source sont analysées avec une fréquence et un impact croissants. Une première en son genre. npm ver a montré jusqu'où les acteurs malveillants sont prêts à aller pour obtenir ce qu'ils veulent.

Les organisations doivent également s'adapter à une nouvelle réalité : les cybercriminels à motivation financière et les acteurs étatiques ne sont plus des entités mutuellement exclusives. Les frontières s'estompent et les risques évoluent rapidement.

De nouveaux risques liés à l'IA émergent.

Dans ce contexte, l'IA représente à la fois une opportunité et un risque pour les équipes de sécurité et de conformité. D'une part, de nouvelles solutions innovantes arrivent chaque semaine sur le marché pour améliorer la détection et la réponse aux incidents, les tests d'intrusion et la recherche de vulnérabilités, entre autres. En automatisant davantage de tâches, les équipes peuvent également accomplir plus avec moins de ressources, ce qui est particulièrement utile face à la pénurie de compétences actuelle.

Mais l'IA représente aussi un risque. Deloitte Australie a découvertLes hallucinations peuvent nuire considérablement à la réputation des entreprises. L'IA peut également être utilisée à des fins malveillantes, comme l'exploitation de vulnérabilités, l'ingénierie sociale, le développement de logiciels malveillants, etc. Le NCSC a mis en garde cette année. Et les vulnérabilités dans modèles de langage de grande taille existants (LLM) et des plateformes comme Recherche profonde représentent des risques commerciaux qui doivent être mieux gérés.

C’est une bonne chose de voir le gouvernement prendre l’initiative en matière de sécurité et de gestion des risques liés à l’IA. nouveau code de pratique cela pourrait aider les entreprises britanniques à exploiter la puissance de cette technologie tout en bâtissant leurs projets sur des bases plus solides. Et une initiative du gouvernement Créer un nouveau secteur de l'assurance en IA est une idée prometteuse.

Mais le chemin est encore long. En attendant, des normes comme l'ISO 27001 et l'ISO 42001 peuvent aider les équipes informatiques et de sécurité à orienter leurs organisations dans la bonne direction. Le risque est inévitable et en constante évolution. Les entreprises les mieux placées pour le gérer de manière systématique et agile aborderont l'année 2026 avec les atouts les plus solides.

Pour en savoir plus sur le contexte actuel des menaces, consultez notre État de la sécurité de l’information 2025 signaler.

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 20 Janvier 2026

Combler le fossé de la gouvernance de l'IA avec le blog ISO 42001

Combler le fossé en matière de gouvernance de l'IA avec la norme ISO 42001

Le Royaume-Uni a un problème de gouvernance en matière d'IA. Cela n'aurait peut-être pas posé de problème il y a quelques années, lorsque les projets étaient menés de manière fragmentaire dans la plupart des organisations. Mais aujourd'hui…

Phil Muncaster

La cyber-sécurité 6 Janvier 2026

Cinq tendances en matière de sécurité et de conformité à surveiller en 2026

À quoi ressembleront les 12 prochains mois pour les professionnels de la cybersécurité et de la conformité ? Nous avons passé au crible l’actualité et analysé les prévisions du secteur…

Phil Muncaster

La cyber-sécurité 11 December 2025

Une faille de sécurité liée à l'IA agentique est-elle inévitable en 2026 ?

Trois ans se sont peut-être écoulés depuis le lancement de ChatGPT, qui a donné le coup d'envoi à une nouvelle course technologique, mais tous les regards sont désormais tournés vers l'IA agentive. Ses partisans affirment qu'elle...

Phil Muncaster