Selon une nouvelle étude d’Horizon3.ai, la fragmentation de la gouvernance en cybersécurité fragilise les entreprises françaises face à des menaces croissantes.

Alors que l’Agence nationale de la sécurité des systèmes d’information (ANSSI) alerte sur l’intensification des menaces systémiques visant l’écosystème numérique français, une question cruciale demeure : qui est réellement le garant de la cybersécurité au sein des organisations ? Une étude publiée ce jour par la société spécialisée Horizon3.ai révèle une gouvernance souvent trop dispersée, créant des failles dans la chaîne de défense des entreprises.

Basé sur une enquête menée auprès de 150 dirigeants, le « Cyber Security Report France 2025/2026 » dresse un constat préoccupant : la responsabilité en matière de sécurité informatique reste une zone grise, source d’incertitudes dans la gestion des risques et la réponse aux incidents.

Une gouvernance fragmentée, source de lenteur

L’enquête met en lumière une responsabilité partagée, voire diluée, entre de multiples fonctions. Si le Directeur des Systèmes d’Information (CIO) est cité par 44 % des répondants et le Responsable de la Sécurité des Systèmes d’Information (CISO) par 42 %, d’autres acteurs comme les responsables des risques et de la conformité (31 %) ou le Directeur Technique (CTO) sont également impliqués.

Cette absence d’un pilote unique et clairement identifié n’est pas sans conséquence. En pratique, cette dispersion des rôles ralentit considérablement la détection des cyberattaques, leur remontée au niveau décisionnaire et la coordination de la réponse opérationnelle, laissant un temps précieux aux attaquants pour atteindre leurs objectifs.

Un décalage entre la menace et l’organisation de la défense

« On observe un décalage croissant entre l’intensification des cybermenaces et l’absence de responsabilités clairement définies pour la défense dans de nombreuses organisations », analyse Nicolas Ippolito, Responsable Commercial France chez Horizon3.ai. « Compte tenu des conséquences potentiellement graves d’une cyberattaque — de l’interruption d’activité à l’instabilité financière — les organisations devraient désigner une autorité clairement responsable de la gouvernance et de la réponse en matière de cybersécurité ».

Ce défi organisationnel est aggravé par une difficulté structurelle : la pénurie de talents. Seuls 17 % des dirigeants interrogés jugent « excellente » la disponibilité d’experts qualifiés en France. Pour 32 %, les talents sont limités et difficiles à recruter localement, tandis que 12 % admettent dépendre majoritairement du recrutement à l’international. Cet enjeu est également identifié comme majeur par la Stratégie nationale pour la cybersécurité 2026–2030 du Secrétariat général de la défense et de la sécurité nationale (SGDSN).

L’extorsion de données, un modèle économique à part entière

Les récentes analyses de l’ANSSI et du CERT-FR (disponibles sur https://www.cert.ssi.gouv.fr/cti/CERTFR-2025-CTI-004/) confirment une professionnalisation des attaquants. Ces derniers ciblent de plus en plus les prestataires informatiques pour compromettre par ricochet des dizaines de leurs clients, maximisant ainsi l’impact de leurs attaques.

Le mode opératoire a également évolué. L’exfiltration de données sensibles n’est plus une simple conséquence, mais le cœur de la stratégie. Les informations volées sont utilisées pour faire pression sur les victimes, puis souvent réutilisées ou republiées dans des tentatives d’extorsion successives. « Le vol de données n’est plus un simple effet secondaire de la cybercriminalité : c’est devenu le modèle économique », souligne Nicolas Ippolito. Dans ce contexte, une gouvernance floue augmente le risque que les intrusions ne soient pas détectées avant que les données ne soient exploitées.

La sécurité offensive pour éprouver la résilience

Face à des menaces de plus en plus sophistiquées, la posture défensive traditionnelle ne suffit plus. « La plupart des entreprises reposent encore sur une sécurité passive fondée sur des défenses en couches. La Sécurité Offensive consiste au contraire à tenter d’entrer par tous les angles possibles afin d’identifier les failles — puis à les corriger », poursuit Nicolas Ippolito.

Cette approche proactive permet de passer d’un risque théorique à la mise en évidence de vulnérabilités concrètement exploitables. C’est l’objectif de plateformes comme NodeZero, développée par Horizon3.ai (www.horizon3.ai), qui simule des attaques pour permettre aux organisations de réaliser des tests d’intrusion (pentests) en continu. En identifiant les chemins d’attaque réels et en fournissant des recommandations de remédiation priorisées, ces outils visent à aligner les équipes techniques et la direction sur une compréhension factuelle du niveau de risque et à satisfaire des exigences réglementaires de plus en plus strictes en matière de cyber-résilience.