Cybersécurité : l’absence de responsabilité claire fragilise les organisations

Cybersécurité : l’absence de responsabilité claire fragilise les organisations

Nicolas Ippolito : « La cybersécurité exige une responsabilité claire au niveau de la direction et des processus opérationnels structurés. Une autorité centrale doit s’appuyer sur une validation offensive continue — pas seulement sur des politiques. »

Paris, 18 mars 2026 – L’Agence nationale de la sécurité des systèmes d’information (ANSSI) met en garde : les cybercriminels et les acteurs soutenus par des États figurent aujourd’hui parmi les principales menaces systémiques pesant sur les systèmes d’information critiques et l’écosystème numérique français*. Pourtant, dans de nombreuses organisations, la responsabilité de la défense face aux cybermenaces demeure fragmentée et insuffisamment définie.

Ce constat ressort du Cyber Security Report France 2025/2026 publié par la société de cybersécurité Horizon3.ai, basé sur une enquête menée auprès de 150 dirigeants issus de différents secteurs. Les résultats indiquent que la responsabilité interne en matière de sécurité informatique reste souvent mal définie, ce qui crée des incertitudes dans la prise de décision, la gestion des risques et la réponse aux incidents.

L’enquête met en évidence une gouvernance dispersée. La responsabilité de la sécurité informatique est répartie entre plusieurs fonctions : 44 % des organisations citent le CIO, 42 % le CISO, 31 % les responsables risques et conformité et 28 % le CTO. Au-delà de ces rôles clés, d’autres départements sont également mentionnés. L’absence d’un responsable clairement identifié souligne à quel point la gouvernance de la cybersécurité reste fragmentée dans de nombreuses entreprises. Dans la pratique, cette dispersion ralentit souvent la détection des incidents, leur escalade et la réponse opérationnelle en raison de problèmes de coordination interne.

Un décalage entre niveau de menace et organisation de la défense

« On observe un décalage croissant entre l’intensification des cybermenaces et l’absence de responsabilités clairement définies pour la défense dans de nombreuses organisations », explique Nicolas Ippolito, Responsable Commercial de la France chez Horizon3.ai. « Compte tenu des conséquences potentiellement graves d’une cyberattaque — de l’interruption d’activité à l’instabilité financière — les organisations devraient désigner une autorité clairement responsable de la gouvernance et de la réponse en matière de cybersécurité. »

Les résultats de l’étude mettent également en lumière un défi structurel : la pénurie de professionnels qualifiés en cybersécurité. Seuls 17 % des répondants estiment que la disponibilité d’experts qualifiés en France est « excellente », tandis que 32 % jugent les talents limités et difficiles à recruter localement. Par ailleurs, 12 % indiquent dépendre principalement du recrutement international.

La Stratégie nationale pour la cybersécurité 2026–2030 identifie elle aussi la pénurie de compétences comme un enjeu majeur. Le Secrétariat général de la défense et de la sécurité nationale (SGDSN) souligne que la capacité de la France à former et attirer des talents en cybersécurité sera déterminante pour atteindre un niveau de cyber-résilience de rang mondial.

L’extorsion de données devient un modèle économique

De récentes analyses de l’ANSSI et du CERT-FR font état de plusieurs incidents dans lesquels des attaquants ont compromis des prestataires informatiques de confiance, exfiltré des données sensibles et utilisé des plateformes de divulgation pour faire pression sur leurs victimes. Dans certains cas, une seule compromission chez un fournisseur de services managés a affecté des dizaines d’organisations clientes, illustrant la capacité des attaques de chaîne d’approvisionnement à multiplier rapidement leur impact.

L’ANSSI observe également que les données volées sont de plus en plus réutilisées, republiées ou exploitées lors de tentatives d’extorsion successives afin d’accroître la pression et les gains financiers.

« Le vol de données n’est plus un simple effet secondaire de la cybercriminalité : c’est devenu le modèle économique », souligne Nicolas Ippolito. Dans ce contexte, une gouvernance floue de la cybersécurité ne crée pas seulement de l’inefficacité : elle augmente aussi la probabilité que les intrusions passent inaperçues suffisamment longtemps pour que les données volées soient monétisées.

La Sécurité Offensive pour renforcer la resilience

« Les tests continus sont essentiels pour permettre aux organisations d’identifier clairement les chemins d’attaque susceptibles d’affecter leur activité et d’en mesurer l’impact potentiel », explique Nicolas Ippolito. La plateforme de Sécurité Offensive NodeZero développée par Horizon3.ai permet aux organisations de passer d’un risque supposé à l’identification de vulnérabilités réellement exploitables, puis de corriger ces failles et de vérifier l’efficacité des correctifs.

« La plupart des entreprises reposent encore sur une sécurité passive traditionnelle, fondée sur des défenses en couches », poursuit-il. « Les tests d’intrusion relèvent, eux, de la Sécurité Offensive et sont mieux adaptés au paysage de menaces actuel. » Il illustre la différence par une analogie : « La sécurité passive ressemble à un système d’alarme sophistiqué installé autour d’une maison mais jamais testé. La Sécurité Offensive consiste au contraire à tenter d’entrer par tous les angles possibles afin d’identifier les failles — puis à les corriger. »

Cette approche permet d’aligner équipes de sécurité, administrateurs systèmes et direction autour d’une compréhension commune et factuelle du risque, facilitant la priorisation des actions et la remédiation. Nicolas Ippolito recommande aux organisations de réaliser au moins un test d’intrusion par mois.

* https://www.cert.ssi.gouv.fr/cti/CERTFR-2025-CTI-004/?

À propos de l’étude Cybersecurity Survey 2025/26 (méthodologie)

L’enquête Cybersecurity Survey 2025/26 de Horizon3.ai a recueilli les réponses de 150 organisations issues de divers secteurs, via un questionnaire en ligne.

À propos d’Horizon3.ai et de NodeZero

Horizon3.ai propose la plateforme cloud NodeZero, qui permet aux organisations et aux autorités publiques de simuler des attaques de leur propre infrastructure informatique afin d’évaluer leur cyberrésilience au moyen de tests d’intrusion (« pentests »). Grâce à son modèle cloud, la plateforme rend possibles des pentests réguliers et abordables, y compris pour les entreprises de taille moyenne. Horizon3.ai assure une veille continue de la menace cyber afin que les vulnérabilités nouvellement découvertes soient rapidement intégrées au service. NodeZero ne se contente pas d’identifier les failles : la plateforme fournit également des recommandations de remédiation adaptées et priorisées. Cette approche aide les organisations à satisfaire des exigences réglementaires croissantes en matière de cyberrésilience dans les cadres de gouvernance, gestion des risques et conformité (GRC), plusieurs référentiels recommandant de conduire au moins une fois par semaine une auto-attaque interne.

Mention de marque : NodeZero est une marque d’Horizon3.ai.