2026 : la résilience, nouveau socle de la cybersécurité
Il y a quelque chose de fascinant dans la façon dont les certitudes se sont effondrées en 2025.
Pour de multiples raisons les entreprises ont cru pouvoir rester loin des crises cyber en prenant toutes les mesures de protection : construire des murs toujours plus hauts, multiplier les verrous, déléguer au cloud la responsabilité de leur sécurité. Las, en 2025, c’est 14% d’attaques en plus et 67% des entreprises touchées. L'évidence a fini par s’imposer : l'intrusion n'était plus une menace, mais une fatalité. Et la question n'est plus de savoir si l'entreprise sera attaquée, mais combien de fois elle saura se relever.
Quelles sont les tendances pour 2026 ? Sans aucun doute un point de bascule lié une prise de conscience diffuse, ou violente, sous l’effet d’une crise. Les CISO ne dorment plus. Les directions générales découvrent que les contrats cloud garantissent la disponibilité des serveurs, mais pas la restauration de leurs données. Les collaborateurs contournent l’IA locale créée à grand frais pour gagner en efficacité, créant sans le savoir des brèches que personne ne surveille.
La cybersécurité n'est plus une affaire de technologie, mais un exercice de lucidité collective qui s’appuie sur quatre grandes tendances qui ont comme particularité de toucher au cœur du dispositif de protection.
1. Modèle hybride, donc fragile : quand les attaques prospèrent sur le flou.
Souvenez-vous, le cloud devait tout simplifier. Dix ans après le début de la grande migration, le constat est plus nuancé : les coûts ont explosé, les promesses de flexibilité se sont heurtées aux rigidités contractuelles, et surtout, les entreprises ont découvert, souvent trop tard, que les fournisseurs cloud ne sont responsables que de leur infrastructure, pas des données qui y transitent.
Résultat : un mouvement de réinternalisation discret mais réel. Même Microsoft, après des années de silence sur Active Directory, réintroduit des nouveautés majeures dans Windows Server 2025. Le message est clair : le « on prem » ne disparaîtra pas. Il cohabitera avec le cloud, dans un mariage forcé dont personne ne maîtrise vraiment les termes.
Cette architecture hybride est le terrain de jeu préféré des attaquants. Pourquoi ? Elle crée des zones grises, des ponts mal surveillés entre l'ancien et le nouveau monde. En 2024, pour la première fois, les cyberattaques ont davantage ciblé le cloud que les infrastructures traditionnelles. Ce basculement dit tout : l'attaquant ne cherche plus la porte dérobée, il exploite la confusion architecturale. Et dans cette confusion, l'identité est le fil rouge de toutes les brèches.
2. L’identité des machines : cartographier l’inconnu
Parlez d'identité à un CISO, et vous verrez son regard se voiler. Pendant longtemps, sécuriser l'identité signifiait gérer des comptes utilisateurs. Des noms, des prénoms, des mots de passe. Mais aujourd'hui, les identités humaines ne représentent plus qu'une minorité des identifiants en circulation. Plus de 70 % des identités dans une entreprise sont « non humaines » (NHI) : comptes de machines, scripts automatisés, objets connectés, services cloud. Elles prolifèrent sans politique de gestion, souvent sans visibilité. Comment périmétrer et allouer des permissions à ce qui est inconnu ?
3. L’IA et le shadow IT : toujours, mais plus
Et puis il y a l'IA. Elle devait révolutionner la productivité. Elle l'a fait. Mais elle a aussi ouvert une brèche que personne n'avait anticipée : le Shadow AI. Ces outils génératifs que les collaborateurs utilisent en marge de l'IT pour 70% d’entre eux selon CompassMap pour gagner du temps, sans se rendre compte qu'ils exposent des données sensibles. Le CISO ne peut pas bloquer ces outils sans paralyser l'activité. Il ne peut que les observer, impuissant, en attendant l'incident.
Pendant ce temps, l'IA des attaquants progresse elle aussi. Le Ransomware-as-a-Service se professionnalise : certains codes malveillants se réécrivent automatiquement pour déjouer la détection. C’est plus de 700% de hausse de ces attaques en 2024. Une progression de 126% sur le premier trimestre 2025. Résultat : les TPE et PME, sans backup valide, n'ont souvent d'autre choix que de payer. Ou de fermer. L'identité est leur talon d'Achille, et un seul compte mal géré suffit à faire tomber tout l'écosystème.
4. Le CISO : un Cassandre épuisé
Dans la mythologie, Cassandre savait prédire les catastrophes, mais personne ne la croyait. Le rôle du CISO, parfois, n’en est pas si loin, puisqu’il y a en effet une solitude propre au métier de CISO. Celle de ceux qui alertent sans être entendus, qui préparent des plans de crise que personne ne veut lire, qui savent que lorsque l'incident surviendra, on leur demandera pourquoi ils n'ont rien vu venir. Cette double injonction, empêcher l'activité au quotidien, être tenu responsable après coup, crée une usure psychologique que les organisations sous estiment encore. Le burnout des CISO n'est plus une exception : c'est une donnée d'entrée. Selon une étude de Bitsight, 63% de CISO ont vécu ou observé un burn-out dans leur équipe au cours des 12 derniers mois.
Et il se pose une question stratégique : comment une entreprise peut-elle prétendre être résiliente si son chef de la sécurité ne l'est pas ?
Le problème est aussi méthodologique : les indicateurs traditionnels, RTO (recovery time objective), RPO (recovery point objective), ne veulent plus rien dire. Ils sont calculés sur des tests annuels, déconnectés de la réalité opérationnelle. Combien de temps faut-il réellement pour redémarrer ? Pas en théorie, mais dans le chaos d'une crise, avec des équipes sous pression et des systèmes partiellement compromis ? Personne ne le sait vraiment, parce que personne ne le teste vraiment. L'heure n'est plus au « cocher la case » pour la conformité NIS 2. Il est impératif de définir de nouveaux KPI, en mobilisant le business et le board pour des exercices de crise trimestriels qui simulent la réalité opérationnelle.
Gouverner l'identité, ou périr
2026 sera une année de vérité. Les entreprises qui survivront ne seront pas les mieux équipées technologiquement, mais les plus lucides. Celles qui auront compris que la cybersécurité ne se mesure pas en pare-feux, mais en capacité à rebondir.
Gérer l'identité n'est plus un enjeu technique confié aux informaticiens, mais un acte de gouvernance qui engage la direction générale, le conseil d'administration, l'ensemble de l'organisation. Si le cloud est un château et le « on prem » son donjon, l'identité en est la clef. Mal gardée, elle les ouvre tous. Bien gouvernée, elle les protège tous.
La résilience n'est pas une option budgétaire. C'est un avantage concurrentiel. Et en 2026, ce sera peut-être le seul qui compte vraiment. Parce qu'à la fin, la question n'est pas de savoir si vous serez attaqué, mais si, après l'attaque, vous serez encore là.