La dernière version d'IO Rapport sur l'état de la sécurité de l'information Ce rapport met en lumière un secteur à la fois indispensable à l'économie numérique et particulièrement exposé aux risques. Les fournisseurs de services informatiques et les entreprises de services gérés (MSP) sont au cœur de chaînes d'approvisionnement interconnectées, gèrent des environnements clients complexes et adoptent rapidement les technologies émergentes. Les conclusions de cette année révèlent comment ces pressions redéfinissent leurs priorités en matière de sécurité et expliquent pourquoi nombre d'entre elles réévaluent la structure de leur gouvernance, de leur conformité et de leur résilience.

Parmi nos répondants figuraient des responsables de la cybersécurité de haut niveau au Royaume-Uni et aux États-Unis. Leurs analyses mettent en lumière les menaces les plus urgentes auxquelles le secteur est confronté aujourd'hui, les défis opérationnels qui influencent le travail quotidien en matière de sécurité et les orientations stratégiques adoptées par les organisations pour renforcer leur résilience.

Ci-dessous, nous décortiquons 11 statistiques clés que tout responsable informatique et MSP devrait connaître à la lumière du rapport de cette année.

Statistiques clés sur la sécurité de l'information pour le secteur des TI et des fournisseurs de services gérés

Gouvernance et stratégie

  1. 50 % affirment que la haute direction considère toujours la conformité en matière de sécurité de l'information comme une question secondaire.
  2. 67 % affirment que la rapidité et l'ampleur des changements réglementaires rendent de plus en plus difficile le respect des réglementations.

Compétences, capacité et pression opérationnelle

  1. 42 % citent le manque de compétences en sécurité de l'information comme un défi majeur.
  2. 34 % des membres des équipes de sécurité informatique et de conformité font état d'un épuisement professionnel dû à l'augmentation de la charge de travail.
  3. 41 % affirment que des tâches sont remplacées par l'IA sans supervision humaine adéquate pour garantir la conformité.

Fragmentation et défis liés aux processus

  1. 38 % ont du mal à maîtriser la prolifération technologique, et 24 % affirment que le cloisonnement des efforts de sécurité est un problème majeur.
  2. 44 % affirment que l'informatique parallèle est désormais l'erreur de sécurité la plus courante chez les employés.

Exécution et résultats de la conformité

  1. Seuls 35 % se sentent pleinement équipés pour gérer en interne la conformité au RGPD, à la norme NIS 2 et à la loi DORA.
  2. 74 % des organisations ont reçu au moins une amende réglementaire au cours des 12 derniers mois.
  3. L’amélioration de la qualité des décisions commerciales (46 %) et la fidélisation de la clientèle (44 %) sont les principaux retours sur investissement de la conformité en matière de sécurité de l’information.

Risques et impacts sur l'activité

  1. 66 % ont été touchés par des incidents impliquant des tiers, avec des conséquences allant de pertes financières (36 %) à des perturbations opérationnelles (34 %) et à un examen réglementaire (33 %).

Sécurité des tiers et de la chaîne d'approvisionnement

Peu de secteurs subissent aussi durement les répercussions d'une défaillance de la chaîne d'approvisionnement que les entreprises informatiques et les fournisseurs de services gérés, en particulier celles directement intégrées à l'infrastructure de leurs clients. Le constat que 66 % d'entre elles ont subi un incident de sécurité provenant d'un tiers ou d'un fournisseur souligne l'interdépendance croissante de cet écosystème. Ces incidents sont rarement circonscrits : les répondants ont fait état de pertes financières, de contrôles réglementaires, de perturbations opérationnelles et d'interruptions de service pour leurs clients, conséquences de défaillances de fournisseurs.

Cette dépendance croissante explique pourquoi 80 % des entreprises ont renforcé leur gestion des risques liés aux tiers au cours de l'année écoulée. Pour beaucoup, il s'agit de passer d'une diligence raisonnable réactive à une approche plus continue et fondée sur des preuves : surveillance, validation et documentation permanentes des contrôles des partenaires. Les entreprises les plus exposées sont celles qui s'appuient sur des processus fragmentés ou une gouvernance incohérente, précisément là où des pratiques de conformité structurées et reproductibles font une réelle différence.

L'évolution du paysage des menaces

Si les menaces classiques restent prédominantes dans les efforts de sécurité, le secteur constate une forte augmentation des attaques utilisant et ciblant l'IA. Un chiffre alarmant : 41 % des entreprises signalent que l'IA remplace certaines tâches sans supervision humaine suffisante. Ce constat, associé aux 27 % d'entre elles ayant subi une contamination de leurs données, illustre la rapidité avec laquelle les organisations peuvent perdre la visibilité sur l'intégrité de leurs processus lorsque les technologies émergentes devancent la gouvernance.

Dans le même temps, le nombre d'incidents reste obstinément élevé dans tous les domaines :

  • 32 % ont subi des violations de données
  • 29 % ont été touchés par des failles de sécurité dans le cloud.
  • 31 % ont signalé des infections par des logiciels malveillants.
  • 22 % ont subi des menaces internes.

À cela s'ajoute la montée en puissance continue de l'ingénierie sociale, de la manipulation des systèmes d'authentification et des attaques multivectorielles qui combinent tromperie technique et humaine. Dans les environnements informatiques et de fournisseurs de services gérés (MSP), où un seul identifiant peut donner accès à plusieurs réseaux clients, même de petites erreurs peuvent avoir des conséquences importantes, un risque accru lorsque l'informatique parallèle (déclarée par 44 % des entreprises) s'intègre aux flux de travail quotidiens.

Compétences, épuisement professionnel et surcharge opérationnelle

Le rapport révèle également un secteur confronté à des contraintes de ressources et à des défis structurels en matière de capacités. Les 42 % qui évoquent le manque de compétences en cybersécurité représentent un secteur où la demande d'expertise dépasse l'offre, notamment dans des domaines tels que la sécurité du cloud, la sécurité de l'IA et la conformité.

Mais il ne s'agit pas uniquement de compétences. Les 34 % de personnes interrogées qui font état d'épuisement professionnel au sein de leurs équipes de sécurité informatique et de conformité témoignent d'attentes croissantes sans augmentation correspondante des effectifs, des outils ou du budget. Nombre d'entre elles ont décrit une charge de travail qui a augmenté parallèlement aux nouvelles technologies, aux nouvelles réglementations et à une interdépendance accrue avec les fournisseurs et les clients.

Cette pression est exacerbée par la prolifération des technologies, citée par 38 % comme un défi majeur, et par le cloisonnement des équipes (24 %), qui engendrent des efforts redondants, des processus incohérents et une dépendance accrue aux initiatives individuelles. Face à la multitude d'outils, de tableaux de bord qui se chevauchent et de flux de travail déconnectés, il devient plus difficile pour les équipes de sécurité de maintenir une source unique de vérité, de garantir la cohérence des pistes de preuve et d'harmoniser les pratiques de gouvernance.

Pression réglementaire et complexité de la conformité

La réglementation évolue plus vite que de nombreuses organisations ne peuvent s'y adapter. Cette année, 67 % d'entre elles ont déclaré que la rapidité et l'ampleur des changements réglementaires rendent la conformité difficile, ce qui témoigne de la rapidité avec laquelle les exigences en matière de protection des données, de gouvernance de l'IA, de résilience opérationnelle et de sécurité de la chaîne d'approvisionnement se développent.

Les données montrent également que les organisations ne sont pas préparées de manière égale. Seules 35 % se sentent pleinement capables de gérer GDPR, NIS 2 et DORA La conformité en interne est souvent problématique. La plupart des entreprises ont besoin d'un soutien externe, souffrent d'un manque d'expertise ou n'ont pas le temps ni l'appui nécessaires de leur conseil d'administration pour respecter leurs obligations.

Ce déficit de capacités se reflète dans les résultats : 74 % des organisations ont reçu au moins une amende réglementaire au cours des 12 derniers mois, y compris des sanctions importantes pour des infractions, des pertes de données et des contrôles inadéquats.

Ce qui ressort des données, c'est l'image d'organisations qui tentent de se conformer, mais qui le font souvent par le biais d'approches manuelles, incohérentes ou cloisonnées, difficiles à généraliser.

Cependant, les données montrent également que lorsque les organisations maîtrisent la conformité, les avantages sont considérables. Les répondants ont identifié l'amélioration de la qualité des décisions commerciales (46 %) et la fidélisation de la clientèle (44 %) comme les principaux bénéfices d'une conformité rigoureuse en matière de sécurité de l'information. Cela souligne un changement de perspective dans la manière dont les responsables informatiques et les fournisseurs de services gérés perçoivent la gouvernance : non plus comme une obligation, mais comme un atout stratégique lorsqu'elle est mise en œuvre de manière cohérente.

Comportement des employés et risques internes

La culture de sécurité demeure un défi majeur. L'informatique parallèle est l'erreur la plus fréquemment signalée par les employés (44 %), suivie de près par… utilisation non autorisée d'outils d'IA générative (38%) et des pratiques non sécurisées en matière d’appareils ou de réseaux.

Ces comportements révèlent un problème plus vaste : lorsque les processus ne sont ni clairs, ni cohérents, ni intégrés aux flux de travail quotidiens, les employés pallient ces lacunes par des outils et des méthodes qui engendrent de nouveaux risques. Ce risque est particulièrement élevé dans les environnements informatiques et de fournisseurs de services gérés (MSP), où le personnel dispose souvent d’un accès privilégié aux systèmes des clients ou à des données sensibles.

Le défi n'est donc pas simplement de former, mais de doter les équipes de processus fluides et bien structurés qui rendent la voie sécurisée facile.

Leadership et orientation stratégique

L'un des constats les plus encourageants du rapport est que 87 % des personnes interrogées affirment que leur organisation dispose d'une stratégie de sécurité claire et bien communiquée, et 88 % estiment que chaque entreprise devrait désigner un responsable de la sécurité de l'information au sein de sa direction. Cette implication accrue des dirigeants témoigne d'une meilleure compréhension du risque cybernétique, désormais perçu comme un enjeu stratégique et non plus seulement technique.

Toutefois, ces progrès s'accompagnent du constat que 50 % des personnes interrogées estiment toujours que la haute direction considère la conformité comme une question secondaire, ce qui révèle un écart notable entre les intentions stratégiques et les priorités quotidiennes.

Pour les organisations déjà confrontées à une pénurie de compétences, à des risques opérationnels et à des exigences réglementaires, ce décalage peut avoir de réelles conséquences. Le leadership donne l'exemple, et en l'absence de signaux clairs, les équipes doivent combler les lacunes.

Garder une longueur d'avance grâce à une résilience structurée

Le secteur des technologies de l'information et des services gérés évolue dans un contexte de multiplication des risques, d'augmentation des attentes et de mise à rude épreuve des capacités internes. Pourtant, la tendance est claire : les organisations investissent dans la résilience, renforcent la supervision de leur chaîne d'approvisionnement et accordent une plus grande importance à la gouvernance stratégique et à l'alignement du leadership.

Les défis mis en lumière dans le rapport, de la prolifération technologique à la pénurie de compétences, en passant par l'informatique parallèle et les amendes réglementaires, ne sont pas des problèmes isolés. Ils témoignent d'un écosystème qui a dépassé les capacités des processus manuels et des outils fragmentés. Les organisations les mieux placées pour les douze prochains mois seront celles qui adopteront des systèmes intégrés, reproductibles et déployés à l'échelle de l'organisation, garantissant la cohérence entre les personnes, les processus et les technologies.

En intégrant des approches robustes et globales en matière de sécurité de l'information et de conformité, les entreprises peuvent réduire les risques, renforcer la confiance des clients et créer une base plus stable pour l'innovation dans un environnement de plus en plus imprévisible.

Consultez le rapport complet sur l'état de la sécurité de l'information ici.