Les 2025 Rapport sur l'état de la sécurité de l'information Cette étude a révélé la complexité des défis et des opportunités en matière de cybersécurité auxquels les responsables de la sécurité ont été confrontés au cours des 12 derniers mois. De la gestion des risques liés à l'IA à l'amélioration de la sensibilisation des employés à la sécurité, l'évolution constante des cybermenaces oblige les entreprises à réévaluer leurs priorités en matière de sécurité et à réorienter leurs stratégies.

Cette année, le rapport sur l'état de la sécurité de l'information a interrogé des professionnels de la sécurité travaillant dans le secteur juridique aux États-Unis et au Royaume-Uni. Leurs réponses ont mis en lumière les principales menaces qui pèsent sur la sécurité de l'information dans ce secteur, les mesures prises par les dirigeants pour relever les défis cybernétiques et leurs priorités en matière de renforcement de la résilience numérique au cours des 12 prochains mois.

Découvrez les 11 statistiques essentielles en matière de sécurité de l'information que tout dirigeant du secteur juridique devrait connaître.

Statistiques clés sur la sécurité de l'information pour le secteur juridique

Le paysage cybernétique

  1. Les organisations juridiques ont cité le remplacement de certaines tâches par l'IA sans contrôle humain de conformité et la sécurisation des technologies émergentes telles que l'IA, le ML et la blockchain comme leurs deux principaux défis en matière de sécurité de l'information (46 %).
  2. La désinformation et la mésinformation générées par l’IA constituent la principale menace émergente qui préoccupe les organisations juridiques (53 %).
  3. 32 % des organisations juridiques ont subi des incidents de phishing ou de vishing et des menaces internes au cours des 12 derniers mois.

Sensibilisation des employés

  1. Les principales erreurs de sécurité informatique commises par les employés des organisations juridiques consistent à cliquer sur des liens ou des pièces jointes suspects et à ne pas verrouiller ou sécuriser les appareils lorsqu'ils sont laissés sans surveillance (42 % dans les deux cas).
  2. 64 % des organisations juridiques prévoient d'augmenter leurs dépenses en programmes de sensibilisation et de formation à la cybersécurité pour leurs employés.

Incidents liés à la chaîne d'approvisionnement

  1. 42 % des organisations juridiques ont été touchées par un incident de cybersécurité ou de sécurité de l'information causé par un fournisseur tiers ou un partenaire de la chaîne d'approvisionnement au cours des 12 derniers mois ; 32 % ont été touchées à plusieurs reprises.
  2. 68 % des organisations juridiques ont renforcé la gestion des risques liés aux tiers et aux fournisseurs au cours des 12 derniers mois.

Leadership en matière de sécurité de l'information

  1. 84 % des organisations juridiques ont amélioré la visibilité et le signalement des risques de sécurité à leur direction au cours des 12 derniers mois.
  2. 79 % des organisations juridiques estiment que chaque entreprise devrait désigner un responsable de la sécurité de l'information au sein de son conseil d'administration.

Investissement AI

  1. Les organisations juridiques ont classé le renforcement des défenses contre les menaces générées par l'IA (par exemple, le phishing, les deepfakes) comme leur principale priorité en matière de sécurité de l'information (53 %).
  2. 68 % des organisations juridiques prévoient d'augmenter leurs dépenses en applications de sécurité basées sur l'IA et l'apprentissage automatique au cours des 12 prochains mois.

Cybermenaces

La lutte contre les menaces liées à l'IA représente un défi croissant pour les organisations juridiques. Dans le cadre de notre rapport sur l'état de la sécurité de l'information, 46 % des répondants ont cité deux problèmes liés à l'IA comme leurs principaux défis en matière de sécurité de l'information : le remplacement de certaines tâches par l'IA sans contrôle humain de conformité, et la sécurisation des technologies émergentes telles que l'IA, le ML et la blockchain.

L'IA représente également la principale menace émergente pour les répondants du secteur : plus de la moitié (53 %) se disent préoccupés par l'impact des fausses informations et de la désinformation générées par l'IA sur leur activité. De plus, près de sept sur dix (68 %) estiment que les technologies d'IA et d'apprentissage automatique entravent les capacités de sécurité informatique de leur organisation.

L'intelligence artificielle a été au cœur des préoccupations des répondants concernant les défis et les risques, mais de nombreuses entreprises du secteur juridique ont également été touchées par des méthodes d'attaque plus traditionnelles. Près d'un tiers (32 %) des organisations juridiques ont subi une attaque de phishing ou de vishing au cours des 12 derniers mois, et le même pourcentage a été confronté à des menaces internes – un taux plus élevé que dans tous les autres secteurs étudiés.

Comment les entreprises du secteur juridique peuvent-elles se prémunir contre les attaques internes, qu'elles soient intentionnelles ou accidentelles ? La mise en œuvre d'une architecture Zero Trust (et de sa philosophie « ne jamais faire confiance, toujours vérifier ») et d'un contrôle d'accès basé sur le principe du moindre privilège contribue à atténuer ce risque. Cette approche garantit que les utilisateurs n'accèdent qu'aux ressources nécessaires à leurs fonctions. En appliquant ces principes, les organisations peuvent minimiser la surface d'attaque et limiter l'impact potentiel d'une menace interne ou d'une fuite de données.

Sensibilisation des employés à la sécurité de l'information

Les deux principales erreurs de sécurité informatique commises par les employés des organisations juridiques sont le fait de cliquer sur des liens ou des pièces jointes suspects et de ne pas verrouiller ou sécuriser leurs appareils lorsqu'ils sont laissés sans surveillance. Ces deux erreurs ont été citées par plus de deux répondants sur cinq (42 %). Elles témoignent d'un manque plus général de formation et de sensibilisation des employés à la sécurité informatique et peuvent toutes deux être à l'origine d'incidents cybernétiques importants.

Heureusement, la majorité (64 %) des organisations prévoient d'accroître leurs dépenses en matière de formation et de sensibilisation à la cybersécurité pour leurs employés ; le renforcement de la sensibilisation et des comportements des employés en matière de sécurité figure au deuxième rang (37 %) des priorités des organisations juridiques en matière de sécurité de l'information pour l'année à venir. Face à des défis croissants en matière de conformité et à un contrôle réglementaire de plus en plus strict, instaurer une culture de conformité est plus essentiel que jamais.

Sécurité de la chaîne d'approvisionnement

Plus de deux organisations juridiques sur cinq (42 %) interrogées ont déclaré avoir subi un incident de cybersécurité ou de sécurité de l'information causé par un fournisseur tiers ou un partenaire de la chaîne d'approvisionnement au cours des 12 derniers mois. Pire encore, 32 % d'entre elles ont été touchées par plusieurs incidents.

Les organisations touchées ont subi des répercussions allant de pertes financières ou de coûts imprévus tels que des travaux de réparation, des amendes ou des frais juridiques (50 %) à des retards ou des perturbations dans leurs chaînes d'approvisionnement ou la prestation de services (également 50 %). 50 % d'entre elles ont également connu des pannes de système temporaires ou des perturbations opérationnelles.

Incidents cybernétiques de grande ampleur comme les attaques contre Jaguar Land Rover (JLR) Les incidents survenus en septembre témoignent des perturbations que peuvent engendrer les chaînes d'approvisionnement. On estime que ces incidents ont causé des pertes s'élevant à 1.9 milliard de livres sterling et ont affecté 5 000 entreprises, les fournisseurs étant confrontés à des retards de paiement et à des problèmes de trésorerie. Des rapports du Centre de surveillance de la cybersécurité et de l'Office national des statistiques du Royaume-Uni suggèrent désormais que… L'incident JLR a eu un impact sur la croissance du PIB.

Face à la recrudescence des attaques ciblant la chaîne d'approvisionnement, les organisations juridiques font de la sécurité de cette dernière et de leurs fournisseurs une priorité. Près de sept répondants sur dix (68 %) du secteur juridique ont déclaré que leur organisation avait renforcé la gestion des risques liés aux tiers et aux fournisseurs au cours des 12 derniers mois, et 21 % ont indiqué prévoir de le faire au cours des 12 prochains mois. Par ailleurs, 37 % envisagent d'accroître leurs dépenses en matière de sécurité de la chaîne d'approvisionnement et des fournisseurs tiers au cours des 12 prochains mois.

En tête

Nos interlocuteurs du secteur juridique ont clairement indiqué que la sécurité de l'information doit être une responsabilité partagée par toute l'organisation, et qu'il incombe à la direction de montrer l'exemple en matière d'engagement et de sensibilisation.

Alors qu'un tiers (32 %) des juristes interrogés estiment que la direction de leur organisation ne comprend pas l'importance de la sécurité de l'information, une proportion plus importante (37 %) est en désaccord avec cette affirmation. Les responsables de la sécurité prennent des mesures pour remédier à ce problème : 84 % des organisations juridiques ont amélioré la visibilité et le signalement des risques de sécurité à leur direction au cours des 12 derniers mois, et 11 % prévoient de le faire au cours des 12 prochains mois.

De plus, près de huit organisations juridiques sur dix (79 %) estiment que chaque entreprise devrait désigner un responsable de la sécurité de l'information au sein de sa direction. Un RSSI efficace est capable de traduire aisément les risques liés à la sécurité de l'information en risques opérationnels et en impacts financiers potentiels. Ce faisant, il peut obtenir le soutien de la direction, indispensable à la mise en place d'une culture de conformité en matière de sécurité de l'information à tous les niveaux de l'organisation.

Menaces et opportunités liées à l'IA

Les organisations juridiques sont pleinement conscientes des avantages et des inconvénients que représente l'IA et sont prêtes à en prévenir les écueils potentiels. Si l'IA offre aux entreprises la possibilité d'améliorer leurs défenses, de rationaliser leurs processus et de réduire le travail manuel, elle renforce également la menace que représentent les acteurs malveillants.

Les répondants ont fait part de leurs vives inquiétudes quant aux risques liés à l'IA, tout en indiquant que leurs organisations prévoient d'exploiter cette technologie pour renforcer leurs efforts en matière de sécurité. 68 % des juristes interrogés ont déclaré que leur organisation envisage d'accroître ses dépenses en applications de sécurité basées sur l'IA et l'apprentissage automatique au cours des 12 prochains mois. Par ailleurs, plus d'un tiers (37 %) des répondants ont indiqué que leur organisation avait déjà adopté de nouvelles technologies telles que l'IA, l'apprentissage automatique et la blockchain à des fins de sécurité. 53 % supplémentaires prévoient de le faire au cours des 12 prochains mois.

La gestion des menaces liées à l'IA est également une priorité pour les organisations juridiques. Les répondants ont classé le renforcement des défenses contre les menaces générées par l'IA, telles que le phishing et les deepfakes, comme leur priorité absolue en matière de sécurité de l'information (53 %) pour l'année à venir. De plus, 95 % des organisations du secteur juridique prévoient d'investir dans la détection et la défense contre les menaces d'IA générative (GenAI), ainsi que dans la gouvernance et l'application des politiques relatives à l'IA.

Construire la résilience

Les responsables de la sécurité dans le secteur juridique sont confrontés à un paysage de menaces en matière de sécurité de l'information en constante évolution.

Toutefois, leurs réponses au rapport de cette année montrent qu'ils travaillent de manière stratégique : ils identifient les menaces et les opportunités liées à l'IA, renforcent les exigences de sécurité de la chaîne d'approvisionnement et s'efforcent d'améliorer la sensibilisation des employés à la sécurité de l'information, du conseil d'administration aux nouvelles recrues. Ils investissent dans les mesures de sécurité de l'information, la gestion des menaces liées à l'IA et, surtout, la gouvernance de l'IA.

En instaurant une culture de conformité et en mettant en œuvre les meilleures pratiques en matière de sécurité de l'information, les entreprises du secteur juridique peuvent mieux gérer les risques, renforcer la confiance de leurs clients et améliorer leur résilience numérique. Nous avons hâte de découvrir, dans le rapport de l'année prochaine, comment les entreprises du secteur juridique se seront adaptées à l'évolution du paysage numérique.