.
Mimecast Logo
Obtenir un devis

    L'état des risques humains en 2026 : le paysage n'est pas uniforme

    Les taux d'adoption de l'IA et le paysage des risques humains varient considérablement d'une région à l'autre
    Planifiez une démonstration

    Le rapport "State of Human Risk 2026" montre clairement que le risque humain est devenu le défi majeur de la cybersécurité. Mais si l'on creuse un peu plus loin que les chiffres globaux - le coût moyen de 13,1 millions de dollars par incident d'initié, les 69% qui considèrent les attaques de l'IA comme inévitables, les seulement 28% qui coordonnent la sécurité entre les personnes et la technologie - une image plus nuancée émerge.

    La manière dont les organisations reconnaissent les risques humains, les hiérarchisent et y répondent varie considérablement en fonction de l'endroit où elles opèrent. Les environnements réglementaires, les attitudes culturelles à l'égard de la vie privée, la disponibilité des ressources et la maturité des menaces locales sont autant de facteurs qui déterminent la manière dont les responsables de la sécurité traduisent la sensibilisation en action.

    Bien que chaque région soit confrontée aux mêmes défis universels - complexité de la gouvernance, maux de tête liés à l'intégration et inévitabilité des menaces alimentées par l'IA - les voies qu'elles empruntent pour parvenir à la résilience sont étonnamment différentes.

    La région tend encore à définir l'état de préparation

    Le rythme et la philosophie de l'adoption de l'IA dans la cybersécurité varient considérablement d'un marché mondial à l'autre, en fonction de l'environnement réglementaire, des attitudes culturelles et de la disponibilité des ressources. Les États-Unis sont le marché le plus avancé en matière d'IA, avec des organisations qui déploient activement la détection des menaces par l'IA et la surveillance en temps réel, soutenues par les niveaux les plus élevés d'inquiétude concernant l'IA en tant que vecteur d'attaque (85,4%).

    Singapour reflète cette position proactive dans la région APAC, avec des taux d'adoption de l'IA plus élevés que ceux de ses pairs régionaux et un fort accent mis sur l'intégration des personnes et de la technologie dans des stratégies de sécurité coordonnées. Les deux marchés partagent une volonté d'expérimentation, d'itération et d'investissement précoce, avant même que les solutions ne soient totalement éprouvées.

    En revanche, les marchés européens ont tendance à adopter une approche plus prudente, axée sur la gouvernance. Le Royaume-Uni fait preuve d'une forte sensibilisation aux menaces liées à l'IA, mais d'une adoption nettement plus lente des outils défensifs liés à l'IA, les organisations du secteur public étant particulièrement en retrait. L'Allemagne privilégie un cycle méthodique "study, test, deploy", influencé par une application stricte de la protection des données et une culture d'ingénierie profondément enracinée qui privilégie la rigueur à la rapidité. L'Espagne, quant à elle, représente un terrain d'entente émergent : elle expérimente activement l'IA, mais insiste pour que les fournisseurs démontrent clairement sa valeur avant de s'engager dans un déploiement à grande échelle.

    Dans la région APAC, l'inquiétude concernant les attaques de l'IA est de 79%, la plus faible des trois grandes régions, mais elle reste importante, les marchés en dehors de Singapour montrant une adoption plus variée et à un stade plus précoce. Il en résulte un paysage mondial où chaque région reconnaît le caractère inévitable des menaces liées à l'IA, mais où l'écart entre la prise de conscience et l'action reste important et largement défini par la géographie.

    Les États-Unis : le marché le plus avancé en matière d'IA

    Les organisations américaines vont de l'avant sur plusieurs fronts, se montrant les plus préoccupées par les attaques pilotées par l'IA et soutenant cette préoccupation par des actions. Avec 500 répondants représentant l'échantillon le plus important de notre étude pour un single-country, le marché américain révèle une prise de conscience des menaces qui se traduit par des investissements défensifs.

    Principaux résultats aux États-Unis :
    • 92,2% déclarent que leur conseil d'administration a une bonne compréhension des défis en matière de sécurité (taux le plus élevé au monde, ce qui montre que la sécurité retient l'attention de la suite et du conseil d'administration).
    • 46% utilisent la détection des menaces et la surveillance en temps réel basées sur l'IA (contre 55% en moyenne mondiale, mais en tête pour la vitesse de déploiement).
    • 38,4% utilisent déjà DMARC (contre 32,2% EMEA, 30,8% APAC - une maturité importante en matière de sécurité du courrier électronique).
    • 85,4% s'inquiètent de l'utilisation de l'IA comme vecteur d'attaque (vs 82% EMEA, 79% APAC)
    • 44% constatent les avantages de l'intégration des outils en termes de conformité (contre 39% EMEA, 37% APAC - réalisant un retour sur investissement).
    • Diriger des approches coordonnées entre les personnes et les technologies
    Ce qui le motive :
    • Un paysage de menaces mature avec des États-nations et des acteurs criminels sophistiqués
    • Les violations très médiatisées (Change Healthcare, coût de plus de 2,3 milliards de dollars) incitent le conseil d'administration à agir d'urgence.
    • Pression réglementaire dans plusieurs États, ce qui complique la mise en conformité
    • Des budgets compétitifs pour la sécurité des entreprises permettant une adoption rapide des technologies
    • Un solide écosystème d'éditeurs de solutions de sécurité et un accès rapide aux solutions émergentes
    • Culture de l'innovation et avantage du pionnier en matière de technologie
    Le défi :

    Malgré des taux d'adoption plus élevés et des budgets plus importants, les organisations américaines font toujours état de.. :

    • 91% sont confrontés à des problèmes de gouvernance (ce qui prouve que les dépenses ne suffisent pas à résoudre la complexité)
    • La prolifération des outils crée des problèmes d'intégration, même avec les meilleures solutions.
    • La pénurie de compétences limite la capacité à mettre en œuvre les technologies de pointe
    • Un patchwork réglementaire d'un État à l'autre qui complique la mise en conformité
    Ce que les autres peuvent apprendre :

    L'adoption précoce de l'IA n'exige pas la perfection - commencez par des cas d'utilisation à forte valeur ajoutée (détection des menaces, analyse du phishing) et procédez par itération. L'engagement du conseil d'administration est possible lorsque l'impact sur l'entreprise est quantifié.

    Royaume-Uni : l'approche prudente

    Les organisations britanniques font preuve d'une adoption plus mesurée de la technologie, mais maintiennent une grande rigueur en matière de conformité en raison de la maturité du GDPR et de la culture de la protection de la vie privée. Avec 300 répondants, le Royaume-Uni représente l'échantillon le plus important d'un single pays européen et révèle l'influence du GDPR sur la stratégie de sécurité.

    Principaux résultats au Royaume-Uni :
    • 41,7% ont déjà déployé DMARC (fondamentaux solides en matière de sécurité du courrier électronique, supérieurs à la moyenne de la région EMEA)
    • 83% sont préoccupés par les menaces liées à l'IA, mais l'adoption de mesures de défense contre l'IA est nettement plus lente (sensibilisation sans action)
    • 42% signalent une augmentation des menaces internes et des fuites de données (parmi les plus élevées, ce qui suggère que l'accent est mis sur les risques liés aux initiés).
    • Forte préférence pour les technologies éprouvées plutôt que pour les solutions de pointe
    • Plus grande dépendance à l'égard des processus d'examen manuel (48% examen manuel des communications signalées)
    • Les considérations relatives à la protection de la vie privée influencent l'adoption de l'analyse comportementale
    Ce qui le motive :
    • La maturité du GDPR crée de solides bases de conformité, mais aussi une certaine prudence quant aux nouvelles utilisations des données
    • La culture de la protection de la vie privée influence l'adoption de la surveillance comportementale
    • Influence du secteur public sur les normes de sécurité et l'appétit pour le risque
    • Préférence historique pour les technologies éprouvées ayant fait leurs preuves
    • Une attention particulière est accordée aux cadres de gouvernance avant le déploiement des technologies
    • Le secteur des services financiers se dote de barrières de sécurité élevées
    Le défi :
    • L'écart entre la sensibilisation aux menaces (83% ) et l'adoption d'outils de défense contre l'IA crée une fenêtre de vulnérabilité.
    • L'hésitation autour de l'IA et de l'analyse comportementale peut ralentir la réponse à l'ingénierie sociale alimentée par l'IA/li>
    • Les processus manuels ont du mal à s'adapter au volume et à la sophistication des menaces.
    • Le Brexit, source d'incertitude en matière de divergence réglementaire
    Ce que les autres peuvent apprendre :

    Le respect de la vie privée dès la conception et des cadres de gouvernance solides permettent de créer des programmes de sécurité durables. La maturité en matière de conformité jette les bases de capacités avancées.

    Allemagne : le respect de la vie privée rencontre le pragmatisme

    Les organisations allemandes concilient des exigences strictes en matière de protection des données avec une reconnaissance croissante du potentiel défensif de l'IA. Avec 300 répondants, l'Allemagne représente l'approche de l'Europe continentale en matière de sécurité, axée sur l'ingénierie.

    Principales conclusions de l'Allemagne :
    • 33,3% utilisent déjà DMARC (proche de la moyenne EMEA de 32,2%).
    • L'accent est mis sur la gouvernance, les politiques et la gestion des tiers.
    • 81% signalent une sophistication accrue des attaques (parmi les advanced persistent threat les plus importantes)
    • Approche méthodique de l'IA : étudier, tester, déployer (vs expérimentation rapide)
    • L'accent est mis sur la sécurité des secteurs de l'industrie manufacturière et de l'automobile
    • Les préoccupations relatives à la souveraineté des données influencent l'adoption de l'informatique dématérialisée et du SaaS
    Ce qui le motive :
    • Mandats de conformité au GDPR avec les autorités allemandes de protection des données parmi les plus strictes.
    • Forte présence des secteurs de l'industrie manufacturière et de l'automobile nécessitant une sécurité des technologies opérationnelles (OT)
    • Culture d'ingénierie favorisant les approches systématiques et méthodiques
    • Souveraineté des données et exigences en matière de localisation
    • Maturité de la sécurité dans les entreprises de taille moyenne
    • Les préoccupations liées à l'espionnage industriel sont à l'origine de l'attention portée aux risques encourus par les initiés
    L'opportunité :

    L'approche structurée de la sécurité en Allemagne, combinée à la culture de l'ingénierie, pourrait en faire un marché idéal pour des plateformes complètes de GRH :

    • La réglementation est plus claire en ce qui concerne l'IA et l'analyse comportementale
    • Les exigences en matière de localisation des données sont prises en compte
    • Les capacités d'intégration font leurs preuves lors de tests rigoureux
    Ce que les autres peuvent apprendre :

    Des approches systématiques et des tests rigoureux permettent de créer des programmes de sécurité durables. L'acceptation pragmatique du fait que les humains commettent des erreurs permet de mettre en place des contrôles réalistes et résistants.

    France : concilier innovation et protection de la vie privée

    Les organisations françaises naviguent entre la pression de l'innovation et la protection stricte de la vie privée, faisant preuve d'une sélectivité réfléchie dans l'adoption des outils de sécurité. Avec 300 personnes interrogées, la France représente un marché sophistiqué équilibrant de multiples priorités concurrentes.

    Principales conclusions pour la France :
    • Forte sensibilisation à la sophistication des menaces liées à l'IA
    • L'accent mis sur la formation et la sensibilisation des utilisateurs (reconnu comme essentiel mais difficile)
    • Adoption croissante de l'analyse comportementale, mais avec des garde-fous en matière de protection de la vie privée
    • Le secteur des services financiers à l'origine des normes de sécurité
    • Le secteur public influence la stratégie nationale de cybersécurité
    Ce qui le motive :
    • Conformité au GDPR avec l'application active de l'autorité française de protection des données (CNIL)
    • Les secteurs des services financiers et des produits de luxe sont bien implantés et disposent de données de grande valeur.
    • Initiatives gouvernementales en matière de cybersécurité (orientations de l'ANSSI)
    • Équilibre entre les objectifs de souveraineté numérique de l'UE et l'adoption de technologies à l'échelle mondiale
    • La culture de la protection de la vie privée influence les pratiques de surveillance acceptables
    Le défi :

    Trouver un équilibre entre la pression de l'innovation et la protection de la vie privée tout en maintenant l'efficacité de la sécurité.

    Ce que les autres peuvent apprendre :

    L'adoption sélective et réfléchie, fondée sur une compréhension claire des menaces et des principes de protection de la vie privée, permet de créer des programmes défendables et durables.

    Espagne : la dynamique des marchés émergents

    Les organisations espagnoles font preuve d'une évolution significative en matière de sécurité et d'une volonté de tester de nouvelles approches tout en maintenant une prudence appropriée en matière de gouvernance. Avec 200 répondants, l'Espagne représente la dynamique de l'Europe du Sud.

    Principales conclusions pour l'Espagne :
    • Une forte inquiétude concernant les risques de sécurité liés à l'IA, contrebalancée par une volonté d'expérimentation
    • L'accent est mis sur la mise à jour permanente des politiques en fonction de l'évolution des menaces.
    • Adoption croissante de l'analyse comportementale et de la surveillance active
    • L'accent est mis sur la démonstration de la valeur avant le déploiement généralisé de l'IA
    • Développement rapide de la maturité en matière de sécurité
    Ce qui le motive :
    • Le financement de la transformation numérique de l'UE accélère l'adoption des technologies
    • Un secteur technologique en pleine expansion à Barcelone, Madrid et dans d'autres centres d'activités
    • Les brèches récentes et très médiatisées créent un sentiment d'urgence au sein des organisations
    • Les jeunes responsables de la sécurité sont plus ouverts aux technologies émergentes
    • Soutien des pouvoirs publics au développement de l'industrie de la cybersécurité
    La tendance :

    L'Espagne représente le mouvement plus large de l'Europe du Sud, qui passe de stratégies de sécurité axées sur la conformité à des stratégies proactives axées sur les menaces. L'approche "prove it first" équilibre l'innovation et la gestion des risques.

    Ce que les autres peuvent apprendre :

    L'adaptation continue des politiques et l'expérimentation mesurée permettent de créer des programmes de sécurité agiles, capables d'évoluer avec les menaces.

    Afrique du Sud : l'optimisation des ressources

    Les organisations sud-africaines sont confrontées à des défis uniques : elles doivent trouver un équilibre entre des ressources limitées et un paysage de menaces sophistiquées comprenant des acteurs étatiques, le crime organisé et des advanced persistent threat. Avec 200 personnes interrogées, l'Afrique du Sud donne un aperçu des environnements à forte menace et à ressources limitées.

    Principales conclusions pour l'Afrique du Sud :
    • 56% signalent une augmentation des tentatives d'usurpation de compte (au-dessus de la moyenne mondiale de 41%, qui fait face à d'intenses campagnes de vol d'informations d'identification).
    • Forte préoccupation concernant les erreurs des employés et les lacunes en matière d'efficacité de la formation
    • Concentrez-vous sur l'optimisation du retour sur investissement de chaque investissement en matière de sécurité.
    • Besoin de solutions hautement automatisées en raison de la pénurie de main-d'œuvre qualifiée
    • La protection des infrastructures critiques crée des exigences supplémentaires
    Ce qui le motive :
    • Des budgets de sécurité restreints nécessitant une priorisation minutieuse
    • Pénurie de personnel qualifié dans le domaine de la cybersécurité (concurrence avec les marchés internationaux pour les talents)
    • Acteurs sophistiqués de la menace (crime organisé local + APT internationaux)
    • Mandats de protection des infrastructures critiques
    • Le secteur des services financiers confronté à des opérations de fraude avancées
    • Les délestages (coupures de courant) posent des problèmes de sécurité opérationnelle.
    L'impératif :

    Les organisations sud-africaines ont besoin de solutions très efficaces et économes en ressources, ce qui en fait des utilisateurs précoces idéaux :

    • unified HRM platforms vs tool sprawl (consolidation reduces cost and complexity)
    • Détection et réponse automatisées (pour compenser la capacité limitée des analystes)
    • Services de sécurité basés sur l'informatique en nuage (réduction de l'investissement dans l'infrastructure)
    • Services gérés de détection et de réponse (MDR)
    Ce que les autres peuvent apprendre :

    Les contraintes en matière de ressources poussent à l'innovation et à l'efficacité. Chaque investissement dans la sécurité doit apporter une valeur mesurable. Les plateformes unifiées l'emportent sur les solutions ponctuelles dans les environnements à ressources limitées.

    Singapour : le leader de l'APAC

    Parmi les marchés de l'APAC, Singapour fait preuve d'une plus grande maturité en matière de sécurité et d'une adoption plus rapide des technologies émergentes, ce qui lui permet de se démarquer en tant que petit marché. Avec 250 répondants, Singapour représente le centre financier asiatique et le leader en matière de gouvernement numérique.

    Principales conclusions de Singapour :
    • 44,4% sont préoccupés par les menaces liées aux outils de collaboration (au-dessus de la moyenne de l'APAC - sensibilisation aux menaces sophistiquées)
    • Des taux d'adoption de l'IA plus élevés que ceux des pays de la région
    • L'accent est mis sur les approches intégrées de la sécurité (plus susceptibles de coordonner les personnes et les technologies).
    • Le secteur des services financiers est à l'origine des normes de sécurité régionales
    • L'Agence gouvernementale de cybersécurité (CSA) fournit des conseils proactifs
    Ce qui le motive :
    • Le rôle de centre financier régional et mondial crée une cible à haute valeur ajoutée
    • Initiatives gouvernementales en matière d'économie numérique (stratégie "Smart Nation")
    • Forte concentration de sociétés multinationales
    • Orientations et cadres de l'Agence pour la cybersécurité proactive
    • Forte culture d'adoption des technologies
    • Une main-d'œuvre qualifiée avec un pôle régional d'expertise en matière de sécurité
    Le différentiateur :

    Les organisations de Singapour sont plus susceptibles de coordonner la sécurité entre les personnes et la technologie, ce qui témoigne d'une maturité allant au-delà du déploiement d'outils et d'une gestion orchestrée des risques humains.

    Ce que les autres peuvent apprendre :

    La collaboration entre le gouvernement et l'industrie, la réglementation proactive et l'accent mis sur l'intégration plutôt que sur l'accumulation d'outils permettent de créer des postures de sécurité de premier plan.

    Australie : une évolution dictée par la réglementation

    Les organisations australiennes connaissent une évolution rapide en matière de sécurité, sous l'effet des exigences réglementaires et des mandats de protection des infrastructures critiques. Avec 250 répondants, l'Australie montre comment la réglementation peut accélérer la maturité de la sécurité.

    Principales conclusions de l'Australie :
    • Forte adoption des principes fondamentaux de la sécurité du courrier électronique
    • Les exigences en matière de sécurité des infrastructures critiques stimulent les investissements
    • Les cadres de sécurité mis en place par les gouvernements (Essential Eight, ISM) fournissent des orientations claires.
    • Priorité à la résilience et à la continuité des activités
    • Collaboration croissante entre les secteurs public et privé en matière de renseignements sur les menaces
    Ce qui le motive :
    • Législation sur la protection des infrastructures critiques (loi SOCI)
    • Centre australien de cybersécurité (ACSC) : conseils sur les menaces actives
    • Les exigences relatives aux violations de données notifiables déterminent la préparation de la réponse aux incidents
    • Des opérations distantes/distribuées qui posent des défis uniques en matière de sécurité
    • Proximité avec le paysage des menaces de l'APAC
    Ce que les autres peuvent apprendre :

    Des exigences réglementaires claires et des cadres fournis par le gouvernement accélèrent la maturité de la sécurité lorsqu'ils sont associés à des conseils pratiques.

    Le bilan

    Si les tactiques varient d'une région à l'autre en fonction de l'environnement réglementaire, du paysage des menaces, des normes culturelles et de la disponibilité des ressources, l'impératif stratégique est universel. La gestion des risques humains nécessite des plateformes intégrées et coordonnées :

    • Initiatives axées sur les personnes (formation, sensibilisation, culture)
    • Contrôles axés sur la technologie (détection, prévention, réaction)
    • Cadres de gouvernance et de conformité (politiques, conservation, audit)
    • Adaptation continue à l'évolution des menaces (IA, outils de collaboration, risques d'initiés).

    Les solutions ponctuelles, la prolifération des outils et les initiatives cloisonnées échouent, quelle que soit la situation géographique. Pour réussir, il faut des plateformes unified, des stratégies coordonnées et un engagement en faveur d'une conception de la sécurité centrée sur l'homme.

    Pour en savoir plus, téléchargez le rapport The State of Human Risk 2026 de Mimecast.

    Haut de la page