Statistisques C-Risk

Statistiques sur la gestion des risques cyber 2025-2026 : données et tendances clés

Cette compilation de statistiques issues des dernières enquêtes et rapports du secteur offre un aperçu clair et basé sur des données du paysage actuel des risques cyber et de la manière dont les leaders des risques et de la sécurité utilisent la technologie pour progresser.

Statistiques sur la gestion des risques liés aux tiers

La gestion des risques cyber liés aux tiers est essentielle à la résilience des organisations. Dès lors que des tiers accèdent aux actifs critiques, les entreprises doivent être en mesure d'identifier, de prioriser et de gérer efficacement leurs fournisseurs.

Évaluations des risques cyber par des tiers

+100
44 % des organisations évaluent plus que 100 tiers chaque année.
(RiskRecon, L'état du TPRM, 2024)
4%
4 % seulement des organisations ont un niveau de confiance élevé dans le fait que leurs questionnaires tiers correspondent à la réalité du risque lié aux tiers.
‍(RiskRecon, L'état du TPRM, 2024)
4 out of 10
Près de quatre entreprises sur dix utilisent des questionnaires multiples pour différents périmètres de risque et adressent en moyenne 55 questionnaires à leurs tiers.
‍(Enquête mondiale d'EY sur la gestion des risques liés aux tiers en 2025)

Challenges Third-Party Cyber Risk

57%
Le risque opérationnel et le risque financier constituent les principales considérations pour la surveillance des tiers.
‍(Enquête mondiale d'EY sur la gestion des risques liés aux tiers en 2025)
24%
Près d'un quart des organisations ont subi des incidents de sécurité causés par des tiers en 2024, soit une augmentation significative par rapport aux 9 % seulement de 2020.
‍(RiskRecon, L'état du TPRM, 2024)
40%
Les données de cyberassurance confirment que 40 % des déclarations de sinistres pour violation impliquent un tiers.
(Rapport sur les risques cyber Resilience 2024)

Tendances émergentes en matière de TPCRM

Les questionnaires universels ne fonctionnent pas

Alors que les organisations investissent massivement dans des programmes tiers, le recours à des questionnaires et à l'auto-déclaration ne fournit pas d'informations pertinentes sur les risques, laissant les entreprises peu confiantes dans leur posture en matière de risques liés aux tiers.

L'assurance annonce un changement

Les assureurs comme les entreprises exigent des contrôles plus stricts de la part des tiers, une meilleure priorisation des fournisseurs et des données sur les risques mieux étayées.

Utiliser la technologie pour évoluer

Les plateformes de gestion quantitative des risques cyber tiers peuvent aider les organisations à étendre et à prioriser leurs contrôles des tiers grâce à une surveillance continue et à des renseignements sur les menaces cyber.

L'IA dans les statistiques des entreprises

L'IA transforme rapidement la gestion des risques cyber, offrant des capacités avancées pour détecter les menaces, limiter l'impact des violations et automatiser les processus de sécurité. Cependant, ces évolutions introduisent également de nouveaux risques tels que les deepfakes et l'empoisonnement des données, qui requièrent une vigilance accrue.

L'utilisation stratégique de l'intelligence artificielle

≈100
Les organisations qui ont massivement déployé la sécurité, l'IA et l'automatisation ont identifié et contenu les violations de données près de 100 jours plus rapidement en moyenne que les organisations qui n'ont pas adopté ces technologies.
‍(IBM, Rapport sur le coût d'une violation de données 2024)
89%
89 % des responsables de la sécurité estiment que l'IA et l'apprentissage automatique sont essentiels pour améliorer leur posture de sécurité.

‍(Scale Venture Partners, Perspectives de cybersécurité 2024)
47%
47 % des organisations accordent la priorité au développement de compétences spécifiques à l'IA au sein de leurs effectifs existants.
(Rapport annuel 2025 du Microsoft Work Trend Index)

Utilisation des outils d’IA par les employés

42%
42 % des personnes interrogées ont déclaré privilégier les outils d'IA générative plutôt que leurs collègues car l'IA est disponible 24h/24 et 7j/7.
(Indice des tendances du travail Microsoft 2025)
78%
78 % des utilisateurs d'IA utilisent leurs propres outils, une tendance connue sous le nom d'Apportez votre propre IA ("Bring Your Own AI" en anglais).
(Microsoft and LinkedIn, Work Trend Index 2024)
27%
27 % des organisations qui utilisent l'IA générative déclarent que les employés examinent tout le contenu créé par l'IA générative avant son utilisation.
‍(Enquête mondiale McKinsey sur l'IA 2024)

Les tendances émergentes concernant l'IA dans les entreprises

L'intégrité des données est un facteur central

Des ensembles de données empoisonnés, une exposition non autorisée de données ou des manipulations subtiles peuvent compromettre le comportement du modèle, créant ainsi des risques difficiles à détecter et à corriger.

L'adoption généralisée des outils d'IAls

Les organisations intègrent des outils d'IA dans l'ensemble de leurs services afin d'améliorer la productivité. Cette adoption généralisée accroît les risques liés à l'IA sauvage, les employés déployant des outils d'IA non autorisés sans supervision adéquate.

Politiques et gouvernance en matière d'IA

Les politiques et les cadres de gouvernance de l'IA encadreront l'utilisation interne et contribueront à la conformité aux nouvelles exigences réglementaires relatives à l'IA.

Statistiques relatives à la priorisation des principaux risques et contrôles des CISO

Les RSSI sont confrontés à une pression croissante pour démontrer la valeur de la sécurité tout en gérant des environnements de menaces de plus en plus complexes. Avec des ressources limitées et des surfaces d'attaque croissantes, les responsables de la sécurité doivent prioriser stratégiquement les contrôles afin de réduire au maximum les risques et de protéger l'entreprise.

Priorisation des contrôles internes

$258k
L'intelligence artificielle et l'apprentissage automatique constituent un facteur atténuant concernant le coût moyen d'une violation de données, réduisant le coût moyen de 258 538 $.
(IBM, Rapport sur le coût d'une violation de données 2024)
66%
66 % des RSSI aux États-Unis ont identifié l'erreur humaine en tant que principale vulnérabilité cyber pour les organisations.
(Radar SOC)
84%
84 % des employés ayant reçu un e-mail de phishing ont mordu à l'hameçon dans les 10 premières minutes, en communiquant des informations sensibles ou en interagissant avec un faux lien ou une pièce jointe.
‍(CISA, infographie sur le phishing)

Les défis en matière de protection des données et de communication

46%
Près de la moitié des violations de données en 2024 ont impliqué des données personnelles identifiables (DPI), ce qui en fait le type de données le plus couramment dérobé ou compromis.
‍(IBM, Rapport sur le coût d'une violation de données 2024)
58%
58 % des RSSI peinent à communiquer les éléments techniques à la haute direction de manière compréhensible pour elle.
(FTI CISO redéfini)
+45
Dans une enquête menée auprès de grandes entreprises, les équipes de sécurité utilisent en moyenne 45 outils de cybersécurité.
‍(Gartner Cyber Trends 2025)

Tendances en matière de priorisation des risques des CISO

Soutien aux programmes de formation interne

La sensibilisation à la sécurité est devenue un investissement essentiel, car l'erreur humaine reste la principale vulnérabilité.

Combler le fossé des communications en matière de cybersécurité

Les RSSI développent de nouvelles approches pour traduire les risques techniques dans un langage commercial qui trouve un écho auprès des dirigeants et des membres du conseil d'administration. Cela inclut la CRQ et la création de rapports s'appuyant sur des tableaux de bord qui relient les investissements en sécurité aux résultats commerciaux.

Optimisation de la technologie de cybersécurité

Les entreprises se concentrent sur les plateformes unifiées et l'élimination des redondances d'outils afin d'améliorer l'efficacité et de réduire la complexité tout en maintenant une couverture complète.

Communiquer au Conseil d'Administration

Les conseils d’administration font face à une surveillance accrue sur la manière dont ils supervisent le risque cyber, alors que les pertes financières et les attentes réglementaires continuent de croître.
De récentes enquêtes montrent que les administrateurs accordent davantage d’attention à l’impact commercial des cyberincidents, recherchent des indicateurs plus clairs et investissent dans leur propre formation aux enjeux de cybersécurité.

Impact économique et financier

4x
L’ampleur des pertes extrêmes liées aux cyberincidents a plus que quadruplé (par rapport à 2017) pour atteindre environ 2,5 milliards de dollars. Les pertes indirectes — telles que l’atteinte à la réputation ou les investissements en renforcement de la sécurité — sont encore nettement plus élevées.(Rapport sur la stabilité financière mondiale, FMI 2024)
12 months
Les cyberattaques se placent en tête des menaces critiques pour les organisations au cours des 12 prochains mois, suivies par les incertitudes géopolitiques et le contexte économique incertain.(Rapport FERMA, Global Risk Manager Survey 2024)

Supervision du conseil & sensibilisation à la cybersécurité

77%
77 % des conseils discutent désormais des implications matérielles et financières d’un cyberincident (soit une hausse de 25 points depuis 2022).(NACD, Enquête 2025 sur les pratiques et la supervision des conseils des sociétés cotées)
47%
47 % des dirigeants estiment qu’il est très ou extrêmement important que le conseil améliore l’acquisition de métriques fiables pour mesurer et évaluer la cybersécurité.(NACD, Enquête 2025 sur les pratiques et la supervision des conseils)
€1 million fine
Les personnes physiques peuvent encourir jusqu’à 1 million d’euros d’amende en cas de non-conformité aux exigences de DORA.(Règlement européen sur la résilience opérationnelle numérique – DORA)
+72%
72 % des administrateurs ont suivi une formation ou un programme d’éducation sur le risque cyber au cours de l’année écoulée, contre moins de la moitié en 2022.(NACD, Enquête 2025 sur les pratiques et la supervision des conseils)

Tendances dans la communication au Conseil

Le risque cyber est désormais une question prioritaire au niveau du conseil

Les enquêtes récentes montrent que la cybersécurité est systématiquement classée au-dessus des facteurs géopolitiques et économiques parmi les principales préoccupations des organisations. Par ailleurs, les exigences réglementaires introduisent des sanctions personnelles à l’encontre des dirigeants en cas de non-conformité

L’ampleur de l’impact financier continue de croître

Les cyberincidents extrêmes entraînent désormais des pertes bien plus importantes que les années précédentes, les coûts indirects venant souvent amplifier leurs effets.Les cyberincidents extrêmes entraînent désormais des pertes bien plus importantes que les années précédentes, les coûts indirects venant souvent amplifier leurs effets.

La supervision des conseils devient plus axée sur les données

Les administrateurs accordent une attention renforcée aux implications financières des cyberincidents et soulignent la nécessité de rapports plus clairs et de métriques fiables, une évolution également stimulée par les exigences réglementaires.

Contactez C-Risk

Parlez-nous de vos défis actuels en matière de gestion des risques.

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.