Cinq tendances en matière de sécurité et de conformité à surveiller en 2026

Par Phil Muncaster • 6 Janvier 2026

À quoi ressembleront les douze prochains mois pour les professionnels de la cybersécurité et de la conformité ? Nous avons passé au crible l’actualité, analysé les prévisions des experts du secteur et discuté directement avec certains d’entre eux afin de vous livrer notre analyse pour 2026. Voici, sans ordre de priorité, cinq tendances qui façonneront le secteur tout au long de l’année.

L'IA omniprésente profite aux attaquants comme aux défenseurs

Comme nous l'avons observé dans notre Rapport sur l’état de la sécurité de l’information 2025L'IA représente à la fois une menace et une opportunité pour les défenseurs des réseaux. Une menace, car les acteurs malveillants utilisent déjà de grands modèles de langage (LLM) pour faciliter la recherche de vulnérabilités et le développement d'exploits, l'ingénierie sociale, la reconnaissance des victimes, etc. Mais aussi une opportunité, tant du point de vue de la croissance des entreprises que de la cybersécurité.

L'IA agentique sera au cœur de cette dynamique en 2026. Bien qu'elle ait été largement critiquée pour avoir surestimé le rôle de l'IA, les risques Anthropique signalé en novembre Des cyberattaques entièrement orchestrées par l'IA pourraient devenir réalité cette année. Parallèlement, des progrès considérables sont réalisés dans le domaine de la sécurité opérationnelle (SecOps) afin de combler les lacunes en compétences et de contribuer à atténuer la surcharge d'alertes grâce à l'utilisation de systèmes multi-agents. Attendez-vous au voyage au « SOC autonome » pour prendre de l’ampleur.

On peut également s'attendre la norme ISO 42001 Cette norme devrait gagner en popularité à mesure que de plus en plus d'organisations cherchent à gérer leurs systèmes d'IA de manière sécurisée, éthique et transparente. Selon les données d'IO, son adoption par les entreprises est déjà passée de 1 % à 28 % entre 2024 et 2025. Les douze prochains mois pourraient voir son adoption généralisée, les acteurs malveillants ciblant particulièrement la surface d'attaque de l'IA.

Le fardeau de la conformité s'alourdit

Dans notre rapport, nous alertons sur les difficultés de mise en conformité que rencontrent de nombreuses organisations confrontées à une charge réglementaire croissante et à des ressources limitées. Environ 37 % d'entre elles reconnaissent que la conformité représente un défi, et les deux tiers (66 %) indiquent avoir du mal à la gérer en interne. Quelque 85 % estiment qu'une meilleure harmonisation entre les juridictions serait bénéfique, tandis que les deux tiers (66 %) affirment que la rapidité des changements réglementaires complique le maintien de la conformité.

Malheureusement, la situation ne devrait pas s'améliorer sur ce point en 2026. Cela fait plus de 12 mois depuis… DORA est entrée en vigueurOn verra alors les autorités de régulation commencer à se montrer plus strictes. La norme NIS2 deviendra également concrète après sa transposition dans le droit national dans une grande partie de l'Europe. Et puis il y a… Loi sur l'utilisation et l'accès aux données, la mise à jour du RGPD au Royaume-Uni, qui entrera pleinement en vigueur en juin. Et la réponse britannique à NIS2, le Projet de loi sur la cybersécurité et la résilience, qui devrait être adoptée comme loi.

Certaines déviations par rapport à NIS2 « nécessiteront un examen approfondi », a déclaré Mark Bailey, associé du cabinet Charles Russell Speechlys, à IO.

« Par exemple, le projet de loi introduit une définition plus large des incidents, ce qui signifie que les organisations devront peut-être réévaluer ce qui constitue un incident à signaler et s'assurer que leurs processus internes sont adaptés en conséquence », explique-t-il. « Les communications avec les clients et les obligations contractuelles devront également être réexaminées, notamment lorsque le signalement peut avoir une incidence sur les données de tiers ou sur les attentes en matière de confidentialité. »

Les risques liés à la chaîne d'approvisionnement des logiciels vont se multiplier.

L'écosystème open source est fragilisé. Au cours du second semestre 2025, plusieurs campagnes de menaces majeures se sont propagées sur npm. Parmi elles, IndonesianFoods, une campagne automatisée et prolifique, a inondé le registre de dizaines de milliers de paquets indésirables. Les experts ont averti que les mêmes techniques pourraient être utilisées à des fins encore plus malveillantes. Plus inquiétant encore, le ver Shai-Hulud, dont les deux vagues ont entraîné la divulgation de secrets de développeurs et de services cloud à une échelle tout aussi massive.

« Les écosystèmes open source constituent des terrains d'expérimentation idéaux pour ce type d'automatisation : publication simplifiée, contrôle d'accès minimal et une surface d'attaque immense », explique Brian Fox, directeur technique de Sonatype, à IO. « Les attaquants l'ont bien compris. Si nous ne faisons pas évoluer nos défenses aussi rapidement, ces vers informatiques à propagation automatique deviendront la norme, et non l'exception. »

Randolph Barr, RSSI chez Cequence Security, ajoute que l'IA va accélérer cette tendance.

« Le fait que les cargaisons [d'IndonesianFoods] soient inactives rend ce scénario encore plus inquiétant », déclare-t-il à IO.

« Les attaquants ont pris leur temps, tissant progressivement un lien de confiance et étendant leur réseau afin de pouvoir l'utiliser comme une arme par la suite. C'est un changement majeur : il n'est plus nécessaire d'avoir un code malveillant dès le départ pour créer un risque considérable par la suite. Il est donc certain que les attaques hautement automatisées, semblables à des vers informatiques, qui tirent parti de la taille et de la disponibilité des registres de paquets, vont se développer, et non diminuer. »

Compétences et budgets en retard

Selon le dernier ISC2 Étude sur les effectifs en cybersécurité, La pénurie de compétences en cybersécurité demeure préoccupante. Plus d'un quart (27 %) des répondants à l'échelle mondiale ont cité les compétences en gouvernance, risques et conformité (GRC) comme étant très recherchées. Le gel des budgets et la rareté des talents n'arrangent rien. Selon l'ISACA… État de la cybersécurité Selon une étude, plus de la moitié des professionnels (54 %) affirment que les équipes sont sous-financées, tandis que 58 % signalent un manque de personnel persistant.

Chris Dimitriadis, directeur de la stratégie mondiale d'ISACA, explique à IO que l'écart entre les menaces qui évoluent rapidement et les investissements qui progressent lentement va se creuser en 2026.

« Les équipes cybersécurité et conformité devront assumer une responsabilité bien plus importante en matière de gouvernance de l’IA et d’alignement réglementaire avec l’entrée en vigueur des nouvelles normes. Si la réglementation constitue une avancée positive pour renforcer la résilience numérique, elle engendre également une pression opérationnelle considérable, d’autant plus que plus d’un quart des organisations n’envisagent pas de recruter pour des postes liés à la confiance numérique en 2026 », ajoute-t-il.

Pour les équipes de conformité en cybersécurité, 2026 sera synonyme de charge de travail accrue, d'exigences croissantes et d'environnements de plus en plus complexes. Les outils d'IA seront essentiels, mais la technologie seule ne suffira pas à combler le déficit de vulnérabilité. La résilience reposera sur les personnes : les organisations qui investissent dans le développement des talents, la formation continue et des équipes maîtrisant l'IA seront celles qui parviendront à transformer des technologies puissantes en une protection concrète et efficace.

La conformité continue et l'automatisation libèrent de la valeur

Face à l'évolution rapide des menaces, à l'expansion des surfaces d'attaque et à l'alourdissement du fardeau réglementaire, normes comme ISO 27001 L'accent sera de plus en plus mis sur les bonnes pratiques en 2026. Celles-ci sous-tendent la plupart des législations en matière de cybersécurité actuellement en vigueur, ce qui contribuera à simplifier la mise en conformité. Mais, dans le cas de la norme ISO 27001 au moins, on observe également une évolution vers un modèle de « conformité continue » qui permettra aux organisations de renforcer leur cyber-résilience dans les années à venir.

Le cycle PDCA (Planifier-Déployer-Contrôler-Améliorer) favorise la surveillance continue, la mesure et l'adaptabilité, des atouts essentiels en ces temps incertains. Face à des compétences et des ressources limitées, de nombreuses organisations se tournent vers l'automatisation pour tirer pleinement parti de ces avantages. En confiant aux machines les tâches fastidieuses de surveillance des contrôles de sécurité, de suivi des audits, de production de rapports et de rappels d'échéances, les équipes surchargées peuvent se concentrer sur l'essentiel.

Ce n'est qu'un aperçu de ce qui nous attend au cours des 12 prochains mois. Les équipes de sécurité et de conformité devront sans aucun doute relever des défis de taille. Celles qui sauront les surmonter seront celles qui envisagent la conformité comme un processus d'amélioration continue, et non comme un effort ponctuel.

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 20 Janvier 2026

Combler le fossé de la gouvernance de l'IA avec le blog ISO 42001

Combler le fossé en matière de gouvernance de l'IA avec la norme ISO 42001

Le Royaume-Uni a un problème de gouvernance en matière d'IA. Cela n'aurait peut-être pas posé de problème il y a quelques années, lorsque les projets étaient menés de manière fragmentaire dans la plupart des organisations. Mais aujourd'hui…

Phil Muncaster

La cyber-sécurité 11 December 2025

Une faille de sécurité liée à l'IA agentique est-elle inévitable en 2026 ?

Trois ans se sont peut-être écoulés depuis le lancement de ChatGPT, qui a donné le coup d'envoi à une nouvelle course technologique, mais tous les regards sont désormais tournés vers l'IA agentive. Ses partisans affirment qu'elle...

Phil Muncaster

Sécurité de l'Information 9 December 2025

Une année de conformité : cinq leçons apprises en 2025

Une année de conformité : cinq leçons tirées de 2025

Ces douze derniers mois ont une fois de plus démontré que le paysage de la cybersécurité est rarement à l'abri des incidents. Les failles de sécurité majeures coûtent cher aux organisations…

Phil Muncaster