Une étude MetaCompliance révèle un décalage croissant entre la perception des cyberrisques par les dirigeants et la réalité terrain vécue par les RSSI. À l’ère des attaques alimentées par l’IA, le facteur humain devient le maillon faible des stratégies de cybersécurité.
Cyber risques et IA : 78% des RSSI pointent une déconnexion inquiétante des dirigeants
Une prise de conscience encore insuffisante des dirigeants
Selon une étude menée par MetaCompliance auprès de 200 RSSI en Europe (France, Royaume-Uni, Allemagne, Suède), 78% estiment que les cadres dirigeants ne mesurent pas pleinement les cyberrisques liés aux employés. Ce constat intervient alors même que les attaques évoluent rapidement, portées par l’intelligence artificielle.
Cette déconnexion se traduit par un manque de soutien durable aux initiatives de cybersécurité. Près de 79% des RSSI observent une érosion progressive de l’implication des dirigeants dans les programmes de sensibilisation. Résultat : les responsables sécurité doivent gérer des menaces de plus en plus complexes sans cadre clair ni gouvernance alignée.
L’IA redéfinit les attaques d’ingénierie sociale
L’étude met en évidence une transformation majeure du paysage des menaces. Désormais, les cyberattaques ciblent davantage le comportement humain que les vulnérabilités techniques.
Près de la moitié des RSSI qui doutent de la cyber-résilience de leur organisation pointent l’ingénierie sociale alimentée par l’IA comme principale cause. Ces attaques, plus crédibles et personnalisées, exploitent les biais cognitifs des employés à grande échelle.
Les deepfakes, les emails frauduleux ultra-réalistes ou encore les usurpations d’identité automatisées illustrent cette mutation. Au Royaume-Uni, plus de la moitié des RSSI considèrent les deepfakes comme une menace majeure.
Le facteur humain, premier risque cyber
Malgré les investissements technologiques, 68% des RSSI identifient toujours les employés comme le principal risque de sécurité. L’IA amplifie ce phénomène en facilitant des attaques ciblées et difficilement détectables.
Par ailleurs, de nouvelles inquiétudes émergent autour des usages internes de l’IA :
- 40% des RSSI redoutent le partage d’informations sensibles avec des outils d’IA générative
- 41% craignent l’utilisation de l’IA par des employés malveillants pour faciliter fraude ou vol de données
Ces risques illustrent un changement de paradigme : la cybersécurité ne peut plus se limiter à des outils techniques, elle doit intégrer pleinement les comportements humains.
Un manque de coordination et de gouvernance
Au-delà des menaces, les RSSI font face à des défis organisationnels majeurs. 76% déclarent avoir du mal à concilier des attentes contradictoires entre les différentes parties prenantes.
Près d’un quart identifie même la coordination interservices comme l’un des points les plus faibles de leur stratégie de gestion des cyberrisques humains. Cette fragmentation freine la mise en place d’une approche globale et cohérente à l’échelle de l’entreprise.
Comme le souligne James Mackay, CEO de MetaCompliance « Les cyberrisques humains ne se résument plus à une question de sensibilisation ou de formation ; ils constituent un risque stratégique pour l’entreprise. »
Vers une approche continue du cyberrisque humain
Face à ces constats, les organisations doivent repenser leur stratégie. La sensibilisation ponctuelle ne suffit plus. Les RSSI appellent à une approche continue, intégrée et pilotée au plus haut niveau. Parmi les priorités identifiées :
- renforcer la coordination entre les équipes dirigeantes
- intégrer les sciences comportementales dans les programmes de sécurité
- fournir des recommandations en temps réel aux employés
- adapter les politiques de sécurité aux usages de l’IA
Près d’un quart des RSSI considèrent déjà l’amélioration de la résilience face aux attaques d’ingénierie sociale comme une priorité pour les 12 prochains mois.
Dans ce contexte, seules les entreprises capables d’inscrire le cyberrisque humain dans leur gouvernance globale et leur stratégie métier pourront faire face à des menaces toujours plus sophistiquées, « les organisations les mieux placées pour y répondre seront celles qui traitent le cyberrisque humain comme une priorité de gestion permanente, et non un exercice de formation périodique ».
Source : Etude Metacompliance & Censuswide auprès d’un échantillon de 200 RSSI d’entreprises de plus de 250 salariés en Allemagne, en France, au Royaume-Uni et en Suède (50 RSSI dans chaque marché). Du 17 au 23 février 2026.
Téléchargez cette ressource
Sécuriser Microsoft 365 avec une approche Zero-Trust
Découvrez comment renforcer la cyber-résilience de Microsoft 365 grâce à une approche Zero-Trust, une administration granulaire et une automatisation avancée. La technologie Virtual Tenant de CoreView permet de sécuriser et simplifier la gestion des environnements complexes, tout en complétant vos stratégies IAM, y compris dans les secteurs réglementés.
Les articles les plus consultés
- Stockage autonome, Evolutivité & Gestion intelligente, Pure Storage offre de nouvelles perspectives aux entreprises
- 9 défis de transformation digitale !
- Intelligence Artificielle : DeepKube sécurise en profondeur les données des entreprises
- 10 grandes tendances Business Intelligence
- ActiveViam fait travailler les data scientists et les décideurs métiers ensemble
Les plus consultés sur iTPro.fr
- Réforme de la facturation électronique : une préparation largement théorique
- Le futur de la cryptographie post-quantique
- Couchbase lance AI Data Plane pour industrialiser l’IA agentique
- Windows 11 : Microsoft généralise le point-in-time restore pour accélérer la remise en service des PC
Articles les + lus
Des Master Data aux data products : comment l’IA redéfinit le rôle du MDM
La bataille de la 6G se gagne dans la donnée en temps réel
Souveraineté des données : cessons de traiter le symptôme, attaquons-nous aux causes
IA générative en Europe : une adoption massive, mais une gouvernance toujours en retard
Golden records : le socle oublié des projets IA
À la une de la chaîne Data
- Des Master Data aux data products : comment l’IA redéfinit le rôle du MDM
- La bataille de la 6G se gagne dans la donnée en temps réel
- Souveraineté des données : cessons de traiter le symptôme, attaquons-nous aux causes
- IA générative en Europe : une adoption massive, mais une gouvernance toujours en retard
- Golden records : le socle oublié des projets IA
