Cette compilation de statistiques issues des dernières enquêtes et rapports du secteur offre un aperçu clair et basé sur des données du paysage actuel des risques cyber et de la manière dont les leaders des risques et de la sécurité utilisent la technologie pour progresser.
La gestion des risques cyber liés aux tiers est essentielle à la résilience des organisations. Dès lors que des tiers accèdent aux actifs critiques, les entreprises doivent être en mesure d'identifier, de prioriser et de gérer efficacement leurs fournisseurs.
44 % des organisations évaluent plus que 100 tiers chaque année.
(RiskRecon, L'état du TPRM, 2024)
4 % seulement des organisations ont un niveau de confiance élevé dans le fait que leurs questionnaires tiers correspondent à la réalité du risque lié aux tiers.
(RiskRecon, L'état du TPRM, 2024)
Près de quatre entreprises sur dix utilisent des questionnaires multiples pour différents périmètres de risque et adressent en moyenne 55 questionnaires à leurs tiers.
(Enquête mondiale d'EY sur la gestion des risques liés aux tiers en 2025)
Le risque opérationnel et le risque financier constituent les principales considérations pour la surveillance des tiers.
(Enquête mondiale d'EY sur la gestion des risques liés aux tiers en 2025)
Près d'un quart des organisations ont subi des incidents de sécurité causés par des tiers en 2024, soit une augmentation significative par rapport aux 9 % seulement de 2020.
(RiskRecon, L'état du TPRM, 2024)
Les données de cyberassurance confirment que 40 % des déclarations de sinistres pour violation impliquent un tiers.
(Rapport sur les risques cyber Resilience 2024)
Alors que les organisations investissent massivement dans des programmes tiers, le recours à des questionnaires et à l'auto-déclaration ne fournit pas d'informations pertinentes sur les risques, laissant les entreprises peu confiantes dans leur posture en matière de risques liés aux tiers.
Les assureurs comme les entreprises exigent des contrôles plus stricts de la part des tiers, une meilleure priorisation des fournisseurs et des données sur les risques mieux étayées.
Les plateformes de gestion quantitative des risques cyber tiers peuvent aider les organisations à étendre et à prioriser leurs contrôles des tiers grâce à une surveillance continue et à des renseignements sur les menaces cyber.
L'IA transforme rapidement la gestion des risques cyber, offrant des capacités avancées pour détecter les menaces, limiter l'impact des violations et automatiser les processus de sécurité. Cependant, ces évolutions introduisent également de nouveaux risques tels que les deepfakes et l'empoisonnement des données, qui requièrent une vigilance accrue.
Les organisations qui ont massivement déployé la sécurité, l'IA et l'automatisation ont identifié et contenu les violations de données près de 100 jours plus rapidement en moyenne que les organisations qui n'ont pas adopté ces technologies.
(IBM, Rapport sur le coût d'une violation de données 2024)
89 % des responsables de la sécurité estiment que l'IA et l'apprentissage automatique sont essentiels pour améliorer leur posture de sécurité.
(Scale Venture Partners, Perspectives de cybersécurité 2024)
47 % des organisations accordent la priorité au développement de compétences spécifiques à l'IA au sein de leurs effectifs existants.
(Rapport annuel 2025 du Microsoft Work Trend Index)
42 % des personnes interrogées ont déclaré privilégier les outils d'IA générative plutôt que leurs collègues car l'IA est disponible 24h/24 et 7j/7.
(Indice des tendances du travail Microsoft 2025)
78 % des utilisateurs d'IA utilisent leurs propres outils, une tendance connue sous le nom d'Apportez votre propre IA ("Bring Your Own AI" en anglais).
(Microsoft and LinkedIn, Work Trend Index 2024)
27 % des organisations qui utilisent l'IA générative déclarent que les employés examinent tout le contenu créé par l'IA générative avant son utilisation.
(Enquête mondiale McKinsey sur l'IA 2024)
Des ensembles de données empoisonnés, une exposition non autorisée de données ou des manipulations subtiles peuvent compromettre le comportement du modèle, créant ainsi des risques difficiles à détecter et à corriger.
Les organisations intègrent des outils d'IA dans l'ensemble de leurs services afin d'améliorer la productivité. Cette adoption généralisée accroît les risques liés à l'IA sauvage, les employés déployant des outils d'IA non autorisés sans supervision adéquate.
Les politiques et les cadres de gouvernance de l'IA encadreront l'utilisation interne et contribueront à la conformité aux nouvelles exigences réglementaires relatives à l'IA.
Les RSSI sont confrontés à une pression croissante pour démontrer la valeur de la sécurité tout en gérant des environnements de menaces de plus en plus complexes. Avec des ressources limitées et des surfaces d'attaque croissantes, les responsables de la sécurité doivent prioriser stratégiquement les contrôles afin de réduire au maximum les risques et de protéger l'entreprise.
L'intelligence artificielle et l'apprentissage automatique constituent un facteur atténuant concernant le coût moyen d'une violation de données, réduisant le coût moyen de 258 538 $.
(IBM, Rapport sur le coût d'une violation de données 2024)
66 % des RSSI aux États-Unis ont identifié l'erreur humaine en tant que principale vulnérabilité cyber pour les organisations.
(Radar SOC)
84 % des employés ayant reçu un e-mail de phishing ont mordu à l'hameçon dans les 10 premières minutes, en communiquant des informations sensibles ou en interagissant avec un faux lien ou une pièce jointe.
(CISA, infographie sur le phishing)
Près de la moitié des violations de données en 2024 ont impliqué des données personnelles identifiables (DPI), ce qui en fait le type de données le plus couramment dérobé ou compromis.
(IBM, Rapport sur le coût d'une violation de données 2024)
58 % des RSSI peinent à communiquer les éléments techniques à la haute direction de manière compréhensible pour elle.
(FTI CISO redéfini)
Dans une enquête menée auprès de grandes entreprises, les équipes de sécurité utilisent en moyenne 45 outils de cybersécurité.
(Gartner Cyber Trends 2025)
La sensibilisation à la sécurité est devenue un investissement essentiel, car l'erreur humaine reste la principale vulnérabilité.
Les RSSI développent de nouvelles approches pour traduire les risques techniques dans un langage commercial qui trouve un écho auprès des dirigeants et des membres du conseil d'administration. Cela inclut la CRQ et la création de rapports s'appuyant sur des tableaux de bord qui relient les investissements en sécurité aux résultats commerciaux.
Les entreprises se concentrent sur les plateformes unifiées et l'élimination des redondances d'outils afin d'améliorer l'efficacité et de réduire la complexité tout en maintenant une couverture complète.
Les conseils d’administration font face à une surveillance accrue sur la manière dont ils supervisent le risque cyber, alors que les pertes financières et les attentes réglementaires continuent de croître.
De récentes enquêtes montrent que les administrateurs accordent davantage d’attention à l’impact commercial des cyberincidents, recherchent des indicateurs plus clairs et investissent dans leur propre formation aux enjeux de cybersécurité.
L’ampleur des pertes extrêmes liées aux cyberincidents a plus que quadruplé (par rapport à 2017) pour atteindre environ 2,5 milliards de dollars. Les pertes indirectes — telles que l’atteinte à la réputation ou les investissements en renforcement de la sécurité — sont encore nettement plus élevées.(Rapport sur la stabilité financière mondiale, FMI 2024)
Les cyberattaques se placent en tête des menaces critiques pour les organisations au cours des 12 prochains mois, suivies par les incertitudes géopolitiques et le contexte économique incertain.(Rapport FERMA, Global Risk Manager Survey 2024)
77 % des conseils discutent désormais des implications matérielles et financières d’un cyberincident (soit une hausse de 25 points depuis 2022).(NACD, Enquête 2025 sur les pratiques et la supervision des conseils des sociétés cotées)
47 % des dirigeants estiment qu’il est très ou extrêmement important que le conseil améliore l’acquisition de métriques fiables pour mesurer et évaluer la cybersécurité.(NACD, Enquête 2025 sur les pratiques et la supervision des conseils)
Les personnes physiques peuvent encourir jusqu’à 1 million d’euros d’amende en cas de non-conformité aux exigences de DORA.(Règlement européen sur la résilience opérationnelle numérique – DORA)
72 % des administrateurs ont suivi une formation ou un programme d’éducation sur le risque cyber au cours de l’année écoulée, contre moins de la moitié en 2022.(NACD, Enquête 2025 sur les pratiques et la supervision des conseils)
Les enquêtes récentes montrent que la cybersécurité est systématiquement classée au-dessus des facteurs géopolitiques et économiques parmi les principales préoccupations des organisations. Par ailleurs, les exigences réglementaires introduisent des sanctions personnelles à l’encontre des dirigeants en cas de non-conformité.
Les cyberincidents extrêmes entraînent désormais des pertes bien plus importantes que les années précédentes, les coûts indirects venant souvent amplifier leurs effets.
Les administrateurs accordent une attention renforcée aux implications financières des cyberincidents et soulignent la nécessité de rapports plus clairs et de métriques fiables, une évolution également stimulée par les exigences réglementaires.
Parlez-nous de vos défis actuels en matière de gestion des risques.
C-Risk est un expert reconnu dans la quantification des risques cyber selon la méthodologie FAIR™. Nous proposons des solutions de CRQ, des services de conseil et des formations à la quantification des risques.
