Rapport Voice of the CISO 2025 de Proofpoint : l’augmentation des risques liés à l’IA et à l’humain accroit l’épuisement chez les RSSI

56 % des RSSI anticipent une cyberattaque importante au cours des douze prochains mois, tandis que le risque humain et la perte de données induite par l'IA générative arrivent en tête de leurs préoccupations.

2025-08-26Comment 173437209
post-image-3
Proofpoint, Inc, l’un des leaders dans les domaines de la cybersécurité et de la conformité, publie aujourd'hui la cinquième édition de son rapport annuel Voice of the CISO, explorant les principaux défis, attentes et priorités des responsables de la sécurité des systèmes d'information (RSSI) en France et dans le monde.

L'édition 2025 a interrogé 1 600 RSSI à l'échelle mondiale dans 16 pays dont une centaine en France, et met en lumière deux tendances essentielles : d'une part, l'anxiété croissante des RSSI face à la recrudescence des cyberattaques, qui les conduit à envisager de plus en plus le paiement de rançons, d'autre part, un besoin d’équilibre entre innovation et risque face à l'essor de l'IA générative.

Les cybermenaces, toujours plus fréquentes et sophistiquées, mettent les nerfs des RSSI à rude épreuve. En France, cette tension est palpable : si 56 % des RSSI interrogés estiment que leur entreprise risque de subir une cyberattaque importante au cours des 12 prochains mois, ils sont autant à se dire mal préparés à y faire face.

Le rapport souligne également le rôle persistant de l’humain dans les incidents de sécurité. En effet, 67 % des RSSI français ayant subi une perte de données pointent du doigt les risques induits par les employés sur le départ, soulignant toujours la difficulté à protéger les informations sensibles malgré la mise en place de mesures de sécurité.

Face à ces pressions, plus de la moitié (55 %) des RSSI français admettent envisager le paiement d’une rançon pour restaurer les systèmes ou éviter la publication des données de leur entreprise. Enfin, bien que l'IA générative soit une priorité pour de nombreux RSSI, conscients de son potentiel pour améliorer la productivité et l'efficacité, 61 % s'inquiètent du risque de perte de données via ces outils, les incitant à la prudence et à la mise en place de mesures de gouvernance adaptées.

« Les résultats de cette année révèlent encore un décalage croissant entre la confiance des RSSI dans leur entreprise et leur capacités réelles pour faire face à une cyberattaque. », a déclaré Patrick Joyce, RSSI Monde chez Proofpoint. « Alors que nombreux d’entre eux se montrent optimistes quant à la posture cyber de leur organisation, la réalité est bien différente : l'augmentation des pertes de données, les lacunes en matière de préparation et le risque humain persistant continuent de saper la résilience. L’adoption croissante de l’IA générative ouvre autant d’opportunités que de menaces, sans pour autant fournir les moyens nécessaires au RSSI pour gérer efficacement cette nouvelle variable. Plus que jamais crucial, le rôle du RSSI est soumis à un niveau de pression et de responsabilité toujours plus important. »

Principales conclusions du rapport Voice of the CISO 2025 de Proofpoint en France :
  • Une confiance en trompe-l’œil : En 2025, 56 % des RSSI français interrogés estiment que leur entreprise risque de subir une cyberattaque importante au cours des 12 prochains mois. Bien que ce chiffre soit en baisse par rapport à 2024 (80%), ils sont tout de même autant (56%) à considérer que leur organisation n'est toujours pas préparée à y répondre et 43 % auraient déjà subi une perte de données importante au cours de l'année écoulée malgré la confiance majoritaire des RSSI français dans leur culture de cybersécurité.
  • Des attaques multiples mais des conséquences similaires : Les RSSI français sont confrontés à un paysage de menaces de plus en plus fragmenté, sans qu'aucune ne se démarque clairement : les logiciels malveillants, la prise de contrôle de comptes cloud, la fraude par courriel et les rançongiciels sont autant de préoccupations majeures. Malgré la diversité des tactiques, la plupart d’entre elles aboutissent en une perte de données. Reflétant ces enjeux élevés, 55 % des RSSI français déclarent qu'ils envisageraient de payer une rançon pour restaurer les systèmes ou empêcher les fuites de données – un chiffre qui atteint 84 % au Canada et au Mexique.
  • La protection des données reste une priorité : Plus des deux tiers (67%) des RSSI français qui ont subi une perte de données déclarent que le départ d'employés y a contribué. Ce chiffre, bien qu’important, traduit d’une amélioration notable (81% en 2024) portée par l'adoption quasi universelle d'outils de prévention de la perte de données (DLP). Toutefois, plus de la moitié (51 %) estiment que leurs données restent insuffisamment protégées. Alors que l’adoption de l'IA générative s'accélère, 54 % considèrent désormais la protection et la gouvernance de l'information comme une priorité absolue, les incitant à adopter une approche de la sécurité dynamique et contextuelle.
  • L’humain, vulnérabilité persistante : 56 % des RSSI français citent l’humain comme principal risque à l’origine d’une cyberattaque ou d’une perte de données, bien que la majorité (56%) estiment également que les employés comprennent davantage les pratiques en matière de cybersécurité. Ce décalage met en évidence une lacune essentielle : la sensibilisation seule ne suffit pas. Près des deux tiers (63 %) des organisations françaises ne disposent toujours pas de ressources dédiées à la gestion des risques internes pour aider à combler le décalage entre connaissances et comportement.
  • L’IA, une arme à double tranchant : L'essor rapide de l'IA générative accroit les préoccupations concernant le risque humain. Trois RSSI français sur cinq (61 %) s'inquiètent du risque de perte de données clients via les outils publics d'IA générative et les plateformes de collaboration, et ils considèrent les chatbots comme principale menace pour la sécurité. Face à ce chiffre, 65 % déclarent que la mise en place d'une utilisation sûre de l'IA générative est une priorité absolue, passant d’une approche restrictive à une approche axée sur la gouvernance. La plupart réagissent en mettant en place des garde-fous : 61 % ont mis en œuvre des directives d'utilisation et 61 % explorent des défenses basées sur l'IA, bien que l'enthousiasme ait diminué par rapport aux 89 % de l'année dernière. Plus de la moitié (55 %) limitent encore totalement l'utilisation des outils d'IA générative par les employés.
  • L'alignement avec la direction s’essouffle à mesure que la pression sur les RSSI augmente : Passant de 83% en 2024 à 56% cette année, l’alignement entre les RSSI et leur conseil d’administration se dégrade à nouveau. La perte de clients à la suite d'une cyberattaque est devenue la principale préoccupation des conseils d'administration, démontrant l’importance stratégique grandissante du risque cyber.
  • Les pressions perdurent d’une année sur l’autre : Les RSSI français continuent de subir une pression croissante face à la montée de la menace et à la limitation des ressources : 68 % déclarent être confrontés à des attentes excessives et 58 % affirment avoir subi ou été témoins d'un épuisement professionnel au cours de l'année écoulée. Si 55 % déclarent désormais que leur organisation a pris des mesures pour les protéger de la responsabilité personnelle, plus de deux cinquièmes (42 %) estiment toujours qu'ils ne disposent pas des ressources nécessaires pour atteindre leurs objectifs en matière de cybersécurité.
« L'intelligence artificielle est aujourd’hui au coeur de notre activité, transformant la manière dont les acteurs, qu’ils soient attaquants ou défenseurs, opèrent. », a commenté Ryan Kalember, directeur de la stratégie chez Proofpoint. « Les RSSI sont désormais confrontés à une double responsabilité : exploiter l'IA pour renforcer leur posture de sécurité tout en garantissant une utilisation éthique et responsable. Cette recherche d’équilibre les place au centre des prises de décision stratégiques. Pourtant, l'IA n'est qu'une des nombreuses forces qui remodèlent le rôle du RSSI. Alors que les menaces s'intensifient et que les environnements se complexifient, les organisations réévaluent leur approche du leadership en matière de cybersécurité. »

Pour télécharger le rapport « Voice of the CISO » 2025, veuillez consulter le site.
Show More
Back to top button