18 mai 2026 Rétrospectives .

Enjeux RSSI 2026 : moins d'attaques, plus d'impacts

Le RSSI n’a pas changé de titre.

Il a changé de réalité.

Pendant longtemps, la cybersécurité s’est construite autour d’un périmètre relativement stable : le réseau interne, les postes de travail, quelques applications métier, un SI que l’on pouvait encore cartographier avec un niveau de confiance raisonnable.

Ce modèle appartient désormais au passé.

Aujourd’hui, le périmètre réel d’une organisation dépasse largement ce que les équipes sécurité contrôlent directement. Les outils SaaS activés sans validation IT, les sous-traitants connectés aux systèmes critiques, les environnements cloud déployés par les métiers ou encore les usages d’IA générative créent une surface d’exposition mouvante, fragmentée et souvent invisible.

Le problème n’est plus seulement de protéger son SI.

Le problème est de savoir où il commence et où il s’arrête.

Et les attaquants, eux, l’ont bien compris.

Les rapports publiés par l’ANSSI, IBM ou encore RM3A entre fin 2025 et début 2026 convergent tous vers le même constat : les cyberattaques ne sont pas forcément plus nombreuses ou plus spectaculaires. En revanche, elles sont devenues plus précises, plus silencieuses et beaucoup plus impactantes.

Visualiser le webinar

01. Un changement profond de la menace

À première vue, certains indicateurs pourraient laisser penser que la situation s’améliore. Les ransomwares très médiatisés semblent moins nombreux. Les grandes campagnes massives sont moins visibles. Le bruit a baissé.

Mais derrière cette impression de calme relatif, le risque cyber a profondément changé de nature.

Selon RM3A, la France a enregistré 54 000 incidents cyber au premier trimestre 2026, soit une hausse de 37 % par rapport à la même période l’année précédente.

Dans le même temps, l’ANSSI observe une explosion des cas d’exfiltration de données :

196 incidents documentés en 2025, contre 130 en 2024.

Le modèle économique des attaquants évolue.

Moins de ransomware “bruyant”.

Davantage d’intrusions discrètes, orientées vers :

  • la collecte d’informations,

  • l’espionnage,

  • la revente de données,

  • ou la pression réputationnelle.

Le chiffre le plus révélateur reste probablement celui d’IBM : 241 jours en moyenne avant qu’une compromission soit détectée et contenue.

Concrètement, cela signifie qu’un attaquant peut rester plus de huit mois dans un système d’information avant d’être stoppé.

Huit mois pour :

  • cartographier les actifs,

  • comprendre les usages internes,

  • identifier les dépendances critiques,

  • préparer une attaque à fort impact.

Le sujet n’est donc plus uniquement la capacité à bloquer une attaque.

Le sujet est devenu celui de la visibilité réelle.

"Les attaquants vous connaissent souvent mieux que vous ne vous connaissez vous-même."

Vladimir Kolla - Co-fondateur Patrowl

02. La surface d’attaque ne s’arrête plus au SI

Les incidents majeurs de 2025 et 2026 ont un point commun frappant : la faille initiale ne se trouvait pas directement chez la victime principale.

Elle se trouvait dans son écosystème.

L’attaque contre Marks & Spencer en avril 2025 illustre parfaitement cette évolution. Les attaquants ne sont pas passés par l’infrastructure principale de l’entreprise, mais par Tata Consultancy Services, son prestataire helpdesk IT. Résultat : boutique en ligne fermée pendant 46 jours, perturbations logistiques majeures et plusieurs centaines de millions de livres de pertes.

Même logique dans le cas de Cegedim Santé en février 2026. En compromettant un seul éditeur SaaS, les attaquants ont obtenu un accès indirect aux données de milliers de cabinets médicaux français. Plus de 15 millions de dossiers patients ont été exposés.

Le cas Eurofiber France va encore plus loin : un opérateur télécom compromis, plus de 3 600 clients impactés, dont des acteurs stratégiques comme SNCF, Airbus ou plusieurs ministères.

Ces attaques montrent une réalité simple :

  • la surface d’attaque d’une organisation est désormais celle de tout son écosystème.

  • Sous-traitants.

  • Fournisseurs cloud.

  • Prestataires IT.

  • Applications SaaS.

  • Filiales.

  • Partenaires métiers.

    Cartographier uniquement ce que l’on possède directement ne suffit plus.

03. Des techniques plus discrètes et plus difficiles à détecter

L’un des changements majeurs observés depuis 2025 concerne la discrétion des attaquants.

L’objectif n’est plus forcément de chiffrer un SI ou de provoquer une interruption visible. L’objectif est souvent de rester silencieux le plus longtemps possible.

Le self-patching illustre parfaitement cette évolution.

Le scénario est simple :

  1. un attaquant exploite une CVE critique sur un VPN ou un équipement de bordure ;

  2. il établit un accès persistant ;

  3. puis il applique lui-même le correctif sur l’équipement compromis.

Résultat :

la vulnérabilité disparaît des scans de sécurité… mais l’attaquant reste présent.

L’équipe sécurité voit un équipement “patché”.

Le rapport de vulnérabilité repasse au vert.

Pourtant, l’accès malveillant est toujours actif.

C’est tout le paradoxe des approches de sécurité trop périodiques :

corriger la porte d’entrée ne fait pas sortir l’attaquant.

Cette évolution remet profondément en question la logique traditionnelle basée uniquement sur :

  • les scans planifiés,

  • les inventaires déclaratifs,

  • ou les audits ponctuels.

04. Les nouveaux angles morts du RSSI

Certaines catégories d’actifs concentrent aujourd’hui une part importante du risque réel — précisément parce qu’elles échappent souvent aux inventaires classiques.

Les sous-domaines orphelins

Environnements de staging oubliés, anciennes acquisitions, projets abandonnés : ces actifs continuent souvent de répondre sur Internet alors que plus personne ne les supervise réellement.

Ils ne figurent parfois dans aucun référentiel officiel.

Et pourtant, ils restent accessibles publiquement.

Les équipements de bordure

VPN, pare-feux, solutions Citrix, Ivanti ou Fortinet sont devenus des cibles prioritaires.

Pourquoi ?

Parce qu’ils offrent un accès direct au SI.

Et parce que les délais d’exploitation des nouvelles CVE se comptent désormais parfois en heures.

Le problème n’est plus uniquement la vulnérabilité elle-même.

C’est l’écart entre la vitesse des attaquants et celle des processus internes.

Les SaaS et clouds mal configurés

Le cloud a considérablement accéléré les métiers.

Mais il a aussi accéléré la création d’exposition.

Aujourd’hui, des applications entières peuvent être activées sans validation sécurité, avec :

  • des interfaces d’administration exposées,

  • des permissions excessives,

  • des API non protégées,

  • ou des configurations par défaut risquées.

Le tout sans visibilité claire côté RSSI.

05. Le Shadow IA change déjà les règles du jeu

Le Shadow IT n’a pas disparu.

Il a évolué.

Avec l’IA générative, l’adoption d’un nouvel outil ne nécessite plus :

  • de déploiement,

  • d’intégration complexe,

  • ni même d’intervention IT.

Un navigateur et quelques clics suffisent.

Le problème est que ces outils ne manipulent pas seulement des fichiers.

Ils absorbent du contexte :

  • conversations internes,

  • données RH,

  • code source,

  • échanges commerciaux,

  • documents stratégiques.

Et souvent sans gouvernance réelle.

Quelques exemples deviennent déjà fréquents :

  • un développeur colle du code sensible dans ChatGPT ;

  • une équipe RH connecte un outil IA à la messagerie via OAuth ;

  • un commercial utilise une IA de résumé pour ses négociations clients.

Dans chacun de ces cas, des données critiques quittent le périmètre de contrôle traditionnel de l’entreprise.

Selon IBM, 20 % des attaques observés en 2025 impliquaient déjà du Shadow IA comme facteur aggravant ou vecteur d’exposition.

Le sujet n’est donc plus théorique.

Il est déjà opérationnel.

06. La conformité devient une preuve continue

NIS2, DORA ou ReCyF changent profondément la logique réglementaire.

Pendant longtemps, les organisations pouvaient fonctionner avec une approche relativement documentaire :

  • politiques de sécurité,

  • audits annuels,

  • conformité déclarative.

Ce modèle atteint ses limites.

Les auditeurs attendent désormais des preuves :

  • continues,

  • horodatées,

  • vérifiables,

  • immédiatement disponibles.

Trois sujets reviennent systématiquement :

  • la visibilité des actifs exposés ;

  • la cartographie des dépendances tierces ;

  • la traçabilité du traitement des vulnérabilités.

La sanction de Free Mobile par la CNIL en janvier 2026 — 42 millions d’euros — a servi de signal fort : les sanctions réglementaires ne sont plus théoriques.

Mais il existe aussi un paradoxe intéressant.

Les organisations qui mettent réellement en place une visibilité continue de leur exposition améliorent souvent mécaniquement :

  • leur posture sécurité,

  • leur gouvernance,

  • leur pilotage des risques,

  • et leur conformité.

Autrement dit : la conformité devient la conséquence d’une bonne maîtrise opérationnelle.

07. Reprendre le contrôle

Le défi des RSSI en 2026 n’est pas d’empiler davantage d’outils.

La plupart des grandes organisations disposent déjà de dizaines de solutions de sécurité différentes. Pourtant, les équipes restent confrontées au même problème :

  • trop de bruit,

  • trop peu de visibilité,

  • trop peu de temps.

Le véritable enjeu devient donc la capacité à voir son exposition réelle en continu.

Comme un attaquant.

Depuis l’extérieur.

En permanence.

Cela implique une approche beaucoup plus dynamique :

  • redécouverte continue des actifs exposés ;

  • surveillance des dépendances tierces ;

  • détection rapide des nouvelles expositions ;

  • traçabilité exploitable immédiatement.

Parce qu’en 2026, le problème principal n’est plus uniquement l’attaque.

Le problème, c’est l’exposition que personne ne voit.

Sources

Nos dernières actualités

Voir plus d'actualités