95 % des entreprises ne font pas confiance à leurs fournisseurs de solutions de cybersécurité : à mesure que l'IA s'intègre aux outils de cybersécurité, l'évaluation de la sécurité devient plus complexe

95 % des entreprises ne font pas confiance à leurs fournisseurs de solutions de cybersécurité : à mesure que l'IA s'intègre aux outils de cybersécurité, l'évaluation de la sécurité devient plus complexe.

Une nouvelle étude de Sophos révèle que presque toutes les entreprises n'ont pas pleinement confiance en leurs fournisseurs de solutions de cybersécurité, et que beaucoup ont du mal à évaluer la fiabilité de ces derniers. L'étude révèle que 95 % des personnes interrogées déclarent ne pas avoir pleinement confiance en leurs fournisseurs de cybersécurité. De plus, 79 % ont du mal à évaluer la fiabilité de nouveaux partenaires de cybersécurité, et 62 % trouvent même cela difficile pour leurs fournisseurs existants.

La cybersécurité est l'ensemble des lois, politiques, outils, dispositifs, concepts et mécanismes de sécurité, méthodes de gestion des risques, actions, formations, bonnes pratiques et technologies qui peuvent être utilisés pour protéger les personnes et les actifs informatiques matériels et immatériels (connectés directement ou indirectement à un réseau) des États et des organisations, dans un objectif de disponibilité, intégrité et authenticité, confidentialité, preuve et non-répudiation.

Alors que les entreprises s'appuient de plus en plus sur les données, la confiance devrait être un facteur déterminant dans la prise de décision en matière de cybersécurité. Pourtant, une nouvelle étude de Sophos révèle que presque toutes les entreprises n'ont pas pleinement confiance en leurs fournisseurs de solutions de cybersécurité, et que beaucoup ont du mal à évaluer la fiabilité de ces derniers.

L'étude révèle que 95 % des personnes interrogées déclarent ne pas avoir pleinement confiance en leurs fournisseurs de cybersécurité. De plus, 79 % ont du mal à évaluer la fiabilité de nouveaux partenaires de cybersécurité, et 62 % trouvent même cela difficile pour leurs fournisseurs existants. Par ailleurs, 51 % des personnes interrogées font état d'une anxiété accrue quant à la probabilité d'un incident cybernétique majeur, conséquence directe du manque de confiance.


Ces résultats soulignent une réalité cruciale : l’efficacité de la cybersécurité ne peut être mesurée uniquement par les performances technologiques, mais aussi par la confiance que les organisations accordent aux partenaires chargés de défendre leur activité. Pour les RSSI, les déficits de confiance entraînent des frictions opérationnelles, un ralentissement de la prise de décision et un taux de rotation plus élevé des fournisseurs. Disposer de partenaires de cybersécurité de confiance contribue à réduire les risques et à bâtir des organisations plus résilientes.

« La confiance n’est pas un concept abstrait en cybersécurité, c’est un facteur de risque mesurable », explique Ross McKerchar, RSSI chez Sophos. « Lorsque les organisations ne peuvent pas vérifier de manière indépendante la maturité en matière de sécurité, la transparence et les pratiques de gestion des incidents d’un fournisseur, cette incertitude se répercute directement sur les conseils d’administration et les stratégies de sécurité. »

L’enquête met en évidence les éléments de sécurité vérifiables, notamment les évaluations indépendantes, les certifications et la maturité opérationnelle démontrée, comme le principal facteur de confiance envers les fournisseurs. Les RSSI accordent la priorité à la transparence lors des incidents et à la constance des performances techniques, tandis que les conseils d’administration et les dirigeants accordent davantage d’importance à la validation indépendante, aux certifications et aux performances des analystes.

À mesure que l’intelligence artificielle s’intègre aux outils, services et flux de travail de cybersécurité, les organisations évaluent non seulement l’efficacité des solutions de sécurité, mais aussi si l’IA est déployée de manière responsable, transparente et avec une gouvernance appropriée. La confiance n’est plus facultative. Elle est fondamentale.

« On demande aux RSSI de prouver la confiance, et non de la présumer », ajoute McKerchar. « Les fournisseurs de cybersécurité doivent en faire de même. Les personnes interrogées dans le cadre de l'enquête ont cité le manque d'informations accessibles et suffisamment détaillées comme le principal obstacle à une évaluation fiable de la confiance. La confiance doit être gagnée en permanence grâce à la transparence, à la responsabilité et à une validation indépendante. »


Voici un extrait du rapport :

La réalité de la confiance en matière de cybersécurité en 2026

Principaux enseignements

- Un manque de confiance : seuls 5 % des responsables informatiques affirment que leur organisation et eux-mêmes font pleinement confiance à leurs fournisseurs de cybersécurité.
Les preuves vérifiables constituent un facteur clé de confiance : les équipes informatiques et la direction s'accordent à dire que les éléments vérifiables attestant de la maturité en matière de cybersécurité sont le principal indicateur de fiabilité.

- Évaluer la fiabilité des fournisseurs reste difficile : 79 % des organisations trouvent difficile d'évaluer la fiabilité des nouveaux fournisseurs de cybersécurité, tandis que 62 % trouvent cela difficile pour leurs fournisseurs existants. Les personnes interrogées ont cité plusieurs facteurs qui réduisaient leur confiance envers les fournisseurs, le principal étant que les informations fournies par le fournisseur n'étaient pas factuelles ou suffisamment détaillées.

- Ce manque de confiance a des conséquences : 51 % des personnes interrogées affirment que ce manque de confiance suscite la crainte que l'organisation soit plus susceptible de subir un incident cybernétique majeur.

- Les praticiens et la direction ne sont pas souvent d'accord : 78 % des personnes interrogées indiquent que leur équipe informatique et la direction/le conseil d'administration ont des opinions divergentes sur la fiabilité des fournisseurs de cybersécurité de leur organisation. Près d'un tiers des entreprises ayant répondu à l'enquête de Sophos affirment que ce désaccord se produit « souvent ».

Comment instaurer la confiance en matière de cybersécurité

Les personnes interrogées ont indiqué que des pratiques de sécurité transparentes et fondées sur des preuves sont essentielles pour instaurer la confiance. Les organisations recherchent des fournisseurs qui inspirent confiance grâce à leur ouverture, leur clarté et des pratiques de sécurité étayées par des preuves.

Tant au sein de la direction que des équipes informatiques, les « éléments vérifiables indiquant la maturité en matière de cybersécurité » ont été classés comme le principal facteur de confiance envers les fournisseurs de cybersécurité. Ces types de preuves comprennent les programmes de prime aux bogues, un centre de confiance public, des avis détaillant les vulnérabilités de leurs produits (ainsi que la manière dont elles ont été corrigées), des évaluations par des tiers et des certifications.

« La transparence et la communication en temps opportun lors d’incidents et de divulgations » ont également été classées comme le deuxième facteur le plus important pour les membres de la direction et le troisième pour les membres des équipes informatiques.

Source : Rapport de Sophos

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

Seuls 5 % des experts en cybersécurité ont confiance dans les mesures de sécurité qui protègent leurs applications GenAI, même si 90 % d'entre eux les utilisent activement, d'après une étude de Lakera

90 % des responsables de la cybersécurité affirment que le risque et la gravité des cyberattaques ont augmenté, 61 % pensent que la surface d'attaque est désormais "impossible à contrôler" en raison de la GenAI

Les dépenses mondiales en matière de sécurité devraient augmenter de 11,8 % pour dépasser les 300 milliards $ en 2026, alors que l'adoption des plateformes de sécurité basées sur l'IA s'accélère, d'après IDC