Une nouvelle étude d’Horizon3.ai révèle un décalage dangereux entre la confiance des dirigeants en leur cybersécurité et la réalité du terrain.

Les entreprises investissent massivement dans la cybersécurité, mais un excès de confiance des décideurs, fondé sur des indicateurs inadaptés, pourrait masquer des failles béantes. C’est le constat alarmant d’une nouvelle étude internationale publiée ce jour par Horizon3.ai, intitulée « The State of Assumed Security 2026 ». Réalisée auprès de 750 professionnels de la cybersécurité en Europe et aux États-Unis, l’enquête met en lumière un fossé préoccupant entre la perception des responsables et la réalité opérationnelle, démontrant que l’activité des équipes de sécurité est trop souvent confondue avec une réelle capacité de résistance aux attaques.

Une confiance des dirigeants déconnectée de la réalité

Selon le rapport, la confiance règne au sommet des hiérarchies. Pas moins de 93 % des responsables cybersécurité interrogés se disent capables de démontrer que leur entreprise a pris les mesures appropriées et vérifiées pour prévenir un incident. Ils sont également 97 % à être convaincus que leurs solutions de sécurité des terminaux (EDR) détecteraient des menaces sophistiquées comme les déplacements latéraux, et 96 % à penser que leur centre des opérations de sécurité (SOC) identifierait un attaquant actif sur leur réseau.

Pourtant, les chiffres issus du terrain dressent un portrait radicalement différent. Seuls 30 % des professionnels déclarent que leur entreprise teste systématiquement si un risque a bien été éliminé après l’application d’un correctif. Plus inquiétant encore, à peine 12 % ont vérifié l’efficacité de leurs solutions EDR au cours des trois derniers mois, et seulement 26 % évaluent la capacité de détection de leur SOC via des exercices d’attaque contrôlée (red teaming) ou des tests d’intrusion. Cette divergence suggère que de nombreuses organisations naviguent à vue, s’appuyant sur une sécurité supposée plutôt que prouvée.

« Les équipes sécurité n’ont pas de mal à identifier les failles. Leur difficulté, c’est de prouver qu’elles ont réellement disparu. La plupart des processus s’arrêtent au patch puis à un nouveau scan. Pourtant, les attaquants n’agissent jamais de façon isolée : ils combinent plusieurs faiblesses pour créer de véritables chemins d’attaque. Si vous ne validez pas ces scénarios dans votre propre environnement, vous ne mesurez pas réellement votre niveau de risque », explique Frédéric Nakhlé, Sr. Director Solution Architect EMEA chez Horizon3.ai.

Des failles critiques corrigées avec un temps de retard

Ce décalage a des conséquences directes sur la réactivité face aux menaces les plus urgentes. L’étude révèle que seules 11 % des organisations interrogées vérifient leur exposition ou déploient un correctif dans les 24 heures suivant une alerte critique émise par des agences de référence comme la CISA américaine ou l’ENISA européenne. De nombreuses entreprises mettent une semaine, voire plus, simplement pour déterminer si elles sont concernées par une vulnérabilité déjà activement exploitée par des cybercriminels.

Ce retard s’explique par des processus axés sur l’exécution de tâches (scanner, corriger, clôturer un ticket) plutôt que sur la vérification de l’impact réel des actions menées. La clôture d’un ticket donne un sentiment de sécurité trompeur, alors même que des chemins d’attaque peuvent subsister.

Quand l’activité est confondue avec l’efficacité

Le rapport souligne plusieurs problèmes structurels. D’une part, les outils de détection sont rarement testés en conditions réelles, rendant impossible de savoir s’ils stopperaient une attaque à temps. D’autre part, les indicateurs de performance (KPI) mesurent souvent la vitesse d’exécution (nombre de tickets traités) et non la résilience effective face à une menace.

Même l’intelligence artificielle, de plus en plus utilisée pour accélérer le traitement des alertes, ne résout pas le problème de fond. « La vitesse ne garantit pas l’efficacité », prévient le rapport. Sans validation indépendante, rien ne prouve que les décisions automatisées réduisent réellement le risque.

Vers une résilience démontrée plutôt que supposée

Pour Horizon3.ai, l’heure n’est plus à la supposition mais à la démonstration. L’enjeu majeur pour les entreprises est de passer d’une posture de sécurité basée sur la conformité des processus à une véritable culture de la vérification. Cela implique d’aligner les stratégies sur des scénarios d’attaque réalistes et de tester en continu la capacité des systèmes à y résister.

La cybersécurité entre ainsi dans une nouvelle ère de maturité. Après avoir professionnalisé leurs opérations, les organisations doivent désormais franchir une étape décisive : prouver leur résilience. Dans un paysage de menaces où les attaquants sont de plus en plus créatifs, cette capacité devient un avantage concurrentiel déterminant.

Le rapport complet « The State of Assumed Security 2026 » est disponible en téléchargement sur le site d’Horizon3.ai (https://horizon3.ai/downloads/research/the-state-of-assumed-security/). Horizon3.ai (https://www.horizon3.ai) est une entreprise spécialisée en sécurité proactive qui a développé NodeZero®, une plateforme de tests d’intrusion autonomes basée sur l’IA, permettant aux organisations de valider en continu leur posture de sécurité.