Cybersécurité : les dirigeants surestiment la sécurité réelle de leur SI
Cybersécurité : les dirigeants surestiment la sécurité réelle de leur SI
Une étude révèle un problème structurel dans les entreprises : l’activité tient trop souvent lieu de véritable sécurité
Le rapport The State of Assumed Security 2026 est disponible en téléchargement : https://horizon3.ai/downloads/research/the-state-of-assumed-security/
Paris, 21 mai 2026 – Les entreprises investissent massivement dans la cybersécurité, mais continuent souvent d’évaluer leurs performances à l’aide de mauvais indicateurs. C’est ce que montre une nouvelle étude internationale publiée par Horizon3.ai.
Réalisée auprès de 750 professionnels de la cybersécurité en Europe et aux États-Unis, l’enquête a interrogé à la fois des responsables sécurité et des experts opérationnels. Son objectif : mettre en lumière l’écart entre la perception des décideurs et la réalité observée sur le terrain.
Premier enseignement : de nombreuses organisations confondent activité opérationnelle et véritable capacité de résistance face aux attaques. Les programmes de sécurité sont actifs, les processus en place et les tableaux de bord bien alimentés. En revanche, la vérification concrète de l’efficacité des mesures mises en œuvre reste souvent insuffisante.
Le rapport peut être téléchargé gratuitement ici : https://horizon3.ai/downloads/research/the-state-of-assumed-security/
Une forte confiance des dirigeants, des preuves plus limitées côté terrain
Selon l’étude, 93 % des responsables cybersécurité interrogés estiment pouvoir démontrer que leur entreprise a pris des mesures appropriées et vérifiées pour prévenir un incident de sécurité.
Par ailleurs, 97 % se disent convaincus que leurs solutions de sécurité endpoint détecteraient des déplacements latéraux ou des élévations de privilèges, tandis que 96 % pensent que leur Security Operations Center (SOC) serait capable d’identifier un attaquant présent dans leur environnement informatique.
Mais la pratique quotidienne raconte une autre histoire.
Seuls 30 % déclarent que leur entreprise teste, après application d’un correctif, si le risque a réellement été supprimé. Près de la moitié applique des patchs puis se contente de relancer un scanner de vulnérabilités. À peine 12 % indiquent avoir vérifié l’efficacité de leurs solutions EDR (Endpoint Detection & Response) au cours des trois derniers mois. Seuls 26 % utilisent des exercices de red teaming ou des tests d’intrusion pour évaluer la capacité de détection de leur SOC.
Parmi les équipes opérationnelles, un tiers considère les résultats des scanners comme fiables sans vérification complémentaire, et 17 % ne les valident jamais.
« Les équipes sécurité n’ont pas de mal à identifier les failles. Leur difficulté, c’est de prouver qu’elles ont réellement disparu. La plupart des processus s’arrêtent au patch puis à un nouveau scan. Pourtant, les attaquants n’agissent jamais de façon isolée : ils combinent plusieurs faiblesses pour créer de véritables chemins d’attaque. Si vous ne validez pas ces scénarios dans votre propre environnement, vous ne mesurez pas réellement votre niveau de risque », explique Frédéric Nakhlé, Sr. Director Solution Architect EMEA chez Horizon3.ai.
Des délais persistants face aux vulnérabilités activement exploitées
Le même retard apparaît lorsqu’il s’agit de vulnérabilités déjà exploitées par des attaquants.
Seuls 11 % des répondants déclarent vérifier leur exposition ou déployer un correctif dans les 24 heures suivant une alerte de la CISA (Cybersecurity and Infrastructure Security Agency) ou de l’ENISA (Agence de l’Union européenne pour la cybersécurité).
Nombre d’organisations ont besoin d’une semaine ou davantage simplement pour déterminer si elles sont concernées.
Selon Horizon3.ai, le constat est clair : de nombreux programmes de sécurité restent structurés autour de l’exécution des processus – scanner, corriger, rescanner, clôturer. Les outils de détection sont déployés et supervisés, l’automatisation accélère les opérations. Mais ce qui manque encore trop souvent, c’est la validation réelle de leur efficacité.
Une confiance élevée, peu de vérifications
L’un des constats les plus marquants de l’étude réside dans l’écart entre perception et réalité. Les dirigeants se montrent largement confiants dans la performance de leurs dispositifs de sécurité. Sur le terrain, en revanche, de nombreux experts continuent d’identifier des risques importants.
Cette divergence influence directement les arbitrages budgétaires, les priorités et la rapidité de réaction. Elle conduit aussi, trop souvent, à sous-estimer les menaces réelles.
Corriger ne signifie pas sécuriser
Le rapport souligne également un problème central dans la gestion des vulnérabilités. Dans de nombreuses entreprises, un sujet est considéré comme réglé dès lors qu’un correctif est appliqué et qu’un ticket est clôturé.
La vérification que la faille n’est plus exploitable reste beaucoup plus rare. Il en résulte un sentiment de sécurité trompeur : les processus sont respectés, alors que certains chemins d’attaque peuvent rester ouverts.
Des outils de détection rarement testés en conditions réelles
Le même schéma se retrouve dans la détection des attaques. Les solutions modernes de sécurité sont largement déployées et supervisées en continu. Pourtant, les tests systématiques dans des conditions réalistes restent insuffisants.
Sans exercices ciblés, il est difficile de savoir si une attaque serait détectée et stoppée à temps – ou seulement une fois les dommages déjà causés.
L’IA accélère les processus, sans remplacer le contrôle
L’usage de l’intelligence artificielle progresse rapidement dans la cybersécurité. Les systèmes automatisés permettent de prioriser plus vite les vulnérabilités, de traiter les tickets plus efficacement et d’accélérer les actions correctives.
Mais là encore, le rapport rappelle un point essentiel : la vitesse ne garantit pas l’efficacité. Sans validation indépendante, rien ne prouve que les décisions automatisées réduisent réellement le risque.
Les indicateurs mesurent le rythme, pas l’impact
De nombreuses organisations IT continuent de s’appuyer sur des indicateurs classiques tels que les délais de traitement ou le nombre de tickets clôturés.
Ces métriques montrent la rapidité d’exécution, mais pas la capacité réelle à empêcher une attaque. Le véritable indicateur de succès – la résistance effective face aux attaquants – reste beaucoup moins mesuré.
Nouvelle priorité : démontrer plutôt que supposer
Pour Horizon3.ai, l’étude illustre un changement de paradigme en cybersécurité. L’enjeu n’est plus le nombre de mesures déployées, mais leur efficacité démontrée.
Les entreprises doivent désormais aligner davantage leurs stratégies de sécurité sur des scénarios d’attaque réalistes et vérifier régulièrement la capacité réelle de leurs systèmes à y résister.
Le rapport conclut : la cybersécurité entre dans une nouvelle phase de maturité. Les organisations ont professionnalisé leurs processus et renforcé leurs dispositifs. Mais l’étape décisive reste à franchir : passer d’une sécurité supposée à une résilience démontrée. Dans un contexte où les attaquants combinent les failles et contournent les défenses existantes, cette capacité devient un avantage concurrentiel déterminant.
À propos de l’étude
L’enquête repose sur les réponses de 750 professionnels de la cybersécurité en Europe et aux États-Unis.
À propos d’Horizon3.ai et de NodeZero
Horizon3.ai, entreprise pionnière de la sécurité proactive native en IA, redéfinit la manière dont les organisations valident et renforcent leurs dispositifs de sécurité. Avec NodeZero®, le hacker IA le plus expérimenté au monde, l’entreprise propose une plateforme utilisée par quatre des entreprises du Fortune 10, des banques internationales, des leaders mondiaux des secteurs pharmaceutique et des semi-conducteurs, ainsi que par des opérateurs d’infrastructures critiques.
NodeZero permet aux organisations de tester proactivement leurs environnements, d’identifier et de corriger les vulnérabilités, de vérifier l’efficacité des mesures de sécurité et de répéter les tests à la demande. Les entreprises peuvent ainsi renforcer durablement leur posture de sécurité et améliorer de manière mesurable leur cyber résilience. Horizon3.ai a été fondée par des experts du secteur ainsi que d’anciens membres des forces spéciales américaines, et bénéficie aujourd’hui de la confiance de plus de 5 200 clients, qui ont déjà réalisé plus de 225 000 tests d’intrusion sûrs en production.
L’entreprise a été distinguée par Fast Company comme l’une des « World’s Most Innovative Companies 2026 », se classant à la 30e place du classement général et à la 4e place dans la catégorie Security. Horizon3.ai s’est également classée 3e au classement général du Deloitte Technology Fast 500 2025 et a été reconnue en 2025 dans l’Inc. 5000 comme numéro 1 dans la catégorie cybersécurité. Par ailleurs, Horizon3.ai a été sélectionnée dans le Fortune Cyber 60 en 2023 et 2025, et a remporté à deux reprises le Black Unicorn Award.
Suivez Horizon3.ai sur LinkedIn et X.
Informations complémentaires : Horizon3.AI Europe GmbH, Prielmayerstrasse 3, 80335 Munich — Site : www.horizon3.ai
Agence RP : euromarcom public relations GmbH — Site : www.euromarcom.de — E-mail : team@euromarcom.com
- - - -