Un changement de culture s’impose donc : abandonner les pratiques d’obfuscation qui freinent la transparence et la gestion proactive des risques. Celui-ci s’articule autour de quatre tendances :

L’IA générative : un développement accéléré mais une sécurité laissée pour compte

Le rythme effréné de l’essor de l’intelligence artificielle générative (GenAI) a mis en évidence des vulnérabilités critiques, souvent introduites faute de contrôles de sécurité adaptés. Des centaines de vulnérabilités ont déjà été signalées dans des applications majeures telles que Microsoft Copilot, Flowise, ou Langflow, découvertes par l’équipe de recherche de Tenable. Les développeurs et équipes DevOps peinent à comprendre et à corriger le code généré par les modèles de langage (LLM). L’absence de visibilité laisse ainsi des portes ouvertes à l’exploitation de vulnérabilités. Tant que des garde-fous solides ne seront pas mis en place, accélérer l’innovation et la création à tout prix risque d’exposer davantage les systèmes.

L’échéance réglementaire approche, mais la sécurité ne se décrète pas

Les nouvelles régulations européennes comme le Digital Operational Resilience Act (DORA), la directive NIS 2, le Cyber Solidarity Act ou l’AI Act qui entrent progressivement en application, marqueront une nouvelle étape pour la cybersécurité. En renforçant les exigences et en imposant un cadre plus rigoureux aux organisations, ces réglementations poseront de nouveaux standards. Pourtant, la conformité à elle seule ne suffit pas à garantir une sécurité efficace.

Les cadres réglementaires sont des outils, pas des solutions. Seules les organisations détiennent la compréhension de leurs systèmes critiques, de leurs données et des actifs essentiels à leur fonctionnement. La vision proactive des risques reste le meilleur rempart contre les menaces. Anticiper, identifier les priorités et renforcer continuellement les points de vulnérabilité fait bien plus sens que de se limiter à la simple validation d’un audit de conformité.

Briser les silos pour une protection globale et unifiée

L’infrastructure IT évolue toujours, mêlant aujourd’hui des environnements cloud et on-premise, des identités internes et externes, ainsi que des technologies opérationnelles dépendantes des systèmes. Face à cette complexité croissante, les approches fragmentées ont montré leurs limites. La multiplication des outils et le cloisonnement des technologies instaurent de nouveaux silos qui créent des angles morts dans les défenses. La sécurité doit être envisagée comme un ensemble global, où chaque composant, chaque identité, chaque processus est pris en compte. Concrètement, sécuriser partiellement revient à ne rien sécuriser. L’enjeu de 2025 est donc de protéger l’infrastructure dans son intégralité, de manière unifiée et holistique.

La cybersécurité : une priorité collective et une responsabilité partagée

La cybersécurité est un enjeu qui concerne toutes les organisations, tous les secteurs et toutes les équipes. La complexité croissante des infrastructures, combinée à l’arrivée des nouvelles régulations et l’explosion des innovations comme l’IA imposent un changement radical de paradigme.

La sécurité est avant tout un effort collectif, reposant sur la transparence, la responsabilité et une approche proactive. Chaque organisation doit prendre la mesure des risques auxquels elle est confrontée et agir pour protéger ce qui compte : ses systèmes, ses données et ses utilisateurs. Car dans un monde numérique interconnecté, l’existence d’une faille quelque part peut devenir un risque pour tous. Pour cela, il faut repenser les priorités, remettre en cause les approches actuelles et collaborer pour construire un environnement numérique plus sûr, plus fiable et plus résilient.