Rapport du Forum économique mondial : La fraude est désormais la principale préoccupation des PDG en matière de cybersécurité, mais ce n’est pas la seule.

Cinq ans, c'est une éternité en cybersécurité. Pourtant, c'est la durée pendant laquelle le Forum économique mondial (WEF) interroge les PDG pour obtenir son avis. Perspectives mondiales de la cybersécurité Ces rapports visent à permettre aux dirigeants d'entreprise d'adapter leur stratégie et de s'orienter dans un contexte de menaces en constante évolution. Cette année, la fraude, l'IA et la géopolitique figurent en tête d'une liste croissante de préoccupations. Et comme l'an dernier, la cyber-résilience est l'objectif que tous partagent.

Or, comme nous l'avons évoqué dans l'IO (anciennement ISMS.online), Rapport sur l’état de la sécurité de l’information 2025Il existe souvent un écart important entre le diagnostic du problème et la mise en œuvre d'une solution.

Ce que le WEF a découvert

Le Forum économique mondial a été interrogé par le WEF. Un peu plus de 800 dirigeants de haut niveau ont participé à l'étude de cette année. Parmi ses principales conclusions, on note les suivantes :

La fraude occupe la première place

Les PDG et les RSSI ont légèrement divergé quant à leurs deux principales préoccupations. Si les RSSI ont maintenu leur position de l'année dernière en citant (par ordre de priorité) les ransomwares et les perturbations de la chaîne d'approvisionnement, leurs homologues PDG ont placé la cyberfraude en tête, suivie des vulnérabilités liées à l'IA. Par fraude, ils entendent les menaces ciblant les entreprises, telles que le phishing, le smishing, le vishing, la fraude à la facturation (comme l'escroquerie aux faux ordres de virement) et la fraude interne, mais aussi des délits plus fréquemment associés aux pertes des consommateurs, comme l'usurpation d'identité et même les fraudes à l'investissement et les arnaques aux cryptomonnaies.

Le rapport d'IO semble le confirmer. Il révèle que 30 % des personnes interrogées ont été victimes d'hameçonnage au cours des 12 derniers mois, contre seulement 12 % en 2024.

En rapport récent D'après les informations fournies par Microsoft, une infrastructure mondiale sophistiquée et résiliente est en place pour faciliter certains types de fraude, comme la fraude au président (BEC), qui affectent les entreprises. Mais même des campagnes a priori destinées aux consommateurs et axées sur le vol d'identité, par exemple, peuvent toucher le monde de l'entreprise.

As Check Point a fait valoir Un article récent expliquait que lorsque des escrocs parviennent à collecter des informations personnelles et des données d'appareils, notamment des selfies de présence, ils pourraient utiliser ces informations à des fins autres que l'usurpation d'identité. Concrètement, cela pourrait servir à contourner les systèmes d'authentification des entreprises et à se faire passer pour des employés lors de la réinitialisation des mots de passe des services d'assistance informatique. De plus, si des personnes perdent des sommes importantes dans des arnaques à l'investissement, elles pourraient être plus vulnérables au chantage et à la coercition, car elles seraient alors victimes de personnes malveillantes au sein de l'entreprise.

L'IA accélère considérablement les cyber-risques

L'IA a également été pointée du doigt par les participants au Forum économique mondial comme un facteur clé de cyber-risque. Il est intéressant de noter que, contrairement à ce qui a suscité l'inquiétude concernant sa capacité à alimenter le phishing, les deepfakes et les logiciels malveillants (qui préoccupe 28 % des répondants), elle est davantage liée aux fuites de données pouvant résulter d'une mauvaise utilisation de l'IA généralisée (30 %). Ceci révèle une préoccupation croissante quant à l'utilisation grandissante de l'IA en entreprise, qui accroît la surface d'attaque. De fait, 87 % des répondants estiment que les vulnérabilités de l'IA sont en augmentation (contre 77 % pour la fraude et 65 % pour les perturbations de la chaîne d'approvisionnement).

Les données d'IO apportent un éclairage nouveau sur le sujet. Un tiers (34 %) des répondants se disent préoccupés par l'IA parallèle, et 54 % admettent avoir adopté l'IA de génération trop rapidement et rencontrent désormais des difficultés à la mettre en œuvre de manière plus responsable. Les risques ont tendance à prospérer dans l'ombre : ce que les organisations ne voient pas, elles ne peuvent le gérer.

La géopolitique influence fortement la stratégie de sécurité.

Près des deux tiers des répondants au Forum économique mondial (WEF) ont indiqué que les cyberattaques à motivation géopolitique constituent un élément essentiel à prendre en compte lors de l'élaboration de leurs stratégies de gestion des cyber-risques. La volatilité dans ce domaine a contraint la quasi-totalité (91 %) des grandes organisations à adapter leur approche en matière de sécurité, selon le rapport. Ce constat rejoint celui d'IO, qui a révélé que 88 % des entreprises américaines et britanniques craignent des attaques commanditées par des États, et que près d'un quart (23 %) d'entre elles affirment que leur principale préoccupation pour l'année à venir est le manque de préparation face à une « escalade géopolitique ou à des cyberopérations de type guerre ». Un tiers (32 %) déclare que la gestion des risques géopolitiques est leur principale motivation pour une sécurité informatique et une conformité renforcées.

Plus inquiétant encore, 31 % des personnes interrogées par le Forum économique mondial ont déclaré avoir peu confiance dans la capacité de leur pays à réagir face à des cyberincidents majeurs, contre 26 % l'an dernier. Ce chiffre atteint 40 % en Europe. Le gouvernement doit accélérer la mise en œuvre des mesures prévues par son projet de loi sur la cybersécurité et la résilience et son plan d'action en matière de cybersécurité.

Les chaînes d'approvisionnement demeurent un obstacle à la résilience

Les chaînes d'approvisionnement demeurent une source importante de cyber-risques, et leur gestion reste complexe. Deux tiers (65 %) des répondants au Forum économique mondial ont indiqué qu'il s'agissait de leur principal défi pour renforcer leur cyber-résilience, contre 54 % l'an dernier. Ce chiffre dépasse légèrement celui des menaces en constante évolution (63 %) et des systèmes existants (49 %).

Leur inquiétude est justifiée. Environ 61 % des entreprises britanniques et américaines ont indiqué à IO avoir subi un impact sur leur activité suite à un incident de sécurité causé par un prestataire tiers au cours de l'année écoulée. Nombre d'entre elles ont déclaré que cet incident avait entraîné des violations de données clients et employés (38 %), des pertes financières (35 %), des perturbations opérationnelles (33 %), une perte de confiance et une augmentation du taux de désabonnement (36 %), ainsi qu'une surveillance accrue de leurs partenaires (24 %).

Vers la résilience

Dans ce contexte, les dirigeants d'entreprises et les responsables de la sécurité savent qu'il est impossible d'être totalement à l'abri des violations de données. L'accent doit donc être mis sur la résilience : comment anticiper les incidents, y résister et s'en remettre rapidement, tout en maintenant autant que possible une activité normale. JLR et M&S Les violations constatées ont démontré que c'est plus facile à dire qu'à faire.

D'après le Forum économique mondial (WEF), les principaux obstacles à la cyber-résilience sont l'évolution rapide des menaces et les technologies émergentes (61 %), les vulnérabilités des tiers (46 %) et la pénurie de compétences et d'expertise en cybersécurité (45 %). Les systèmes existants et le financement sont également cités comme des facteurs clés. Comment les organisations peuvent-elles surmonter ces défis ?

Il est intéressant de noter que le rapport a révélé que les organisations les plus résilientes étaient plus susceptibles de :

• Tenir les membres du conseil d'administration personnellement responsables en cas de manquements.
• Adoptez une vision positive des réglementations relatives à la cybersécurité
• Posséder les compétences adéquates pour atteindre leurs objectifs en matière de cybersécurité
• Évaluer la sécurité des outils d'IA avant leur déploiement
• Impliquez la sécurité dans les achats
• Simuler des incidents et planifier des exercices de rétablissement avec les partenaires
• Évaluer le niveau de maturité en matière de sécurité des fournisseurs.

Bon nombre de ces éléments sont imposés par des normes de bonnes pratiques telles que l'ISO 27001 et l'ISO 42001. Cette dernière est particulièrement bien adaptée pour aider les organisations. combler le déficit de gouvernance et gérer les risques (y compris les fuites de données) sur une surface d'attaque IA en expansion.

Selon IO, 80 % des organisations britanniques et américaines se sont alignées sur des normes de ce type afin de renforcer leur résilience de manière structurée et fondée sur les risques. Dans un contexte commercial et de menaces toujours plus instables, celles qui ne le font pas sont de plus en plus désavantagées.