Près de la moitié des entreprises britanniques sont confrontées chaque année à des cyberattaques

Les cybermenaces qui pèsent sur les organisations britanniques restent répandues et sérieuses

La dernière enquête du gouvernement britannique sur les atteintes à la cybersécurité (2025-26) confirme que les cybermenaces restent un défi majeur et permanent. Quarante-trois pour cent des entreprises britanniques, 28 % des organisations caritatives et 69 % des grandes entreprises ont subi une cyberattaque ou une violation de données au cours de l’année écoulée. Plus inquiétant encore, 29 % des personnes interrogées ont déclaré que des attaques se produisaient chaque semaine.

Ce phénomène ne se limite pas à un secteur spécifique. De grandes marques comme Marks & Spencer, Jaguar Land Rover et Co-op Group ont toutes été visées. En réalité, tout système connecté est un point d’entrée potentiel. À mesure que les entreprises numérisent leurs opérations et s’appuient davantage sur le cloud et les outils pilotés par l’IA, les surfaces d’attaque s’étendent. Cela transforme la cybersécurité d’un problème technique en un risque commercial à part entière que les dirigeants doivent directement gérer.

Les chefs d’entreprise doivent penser au-delà des listes de contrôle de conformité. La cybersécurité détermine désormais la fiabilité opérationnelle, la confiance des investisseurs et la réputation de la marque. Lorsque les systèmes tombent en panne, la production s’arrête et la confiance des clients s’évapore. À une époque où l’IA peut automatiser à la fois la défense et l’attaque, la vitesse et l’adaptabilité sont importantes. Les dirigeants doivent exiger une visibilité en temps réel de leurs systèmes et une simulation continue des menaces pour identifier les faiblesses avant que les attaquants ne le fassent.

Ce changement d’état d’esprit, du « problème informatique » à la « résilience de l’entreprise », n’est plus facultatif. Il définit qui s’adapte et qui prend du retard dans une économie numérique. L’objectif n’est pas d’éliminer tous les risques, mais de maintenir la résilience en amont des perturbations.

Le gouvernement britannique encourage vivement les entreprises à renforcer leur cyber-résilience par le biais d’un engagement formel.

Consciente de l’accélération des menaces, la ministre de la cybersécurité, Liz Lloyd, a appelé à une action directe de l’exécutif. Elle a écrit à plus de 180 PDG et présidents de conseil d’administration pour leur demander de signer le nouvel engagement du gouvernement britannique en matière de cyberrésilience. Cet engagement n’est pas symbolique, il comporte trois exigences : faire de la cybersécurité une responsabilité du conseil d’administration, s’abonner au service gratuit d’alerte précoce du National Cyber Security Centre et obtenir les certifications Cyber Essentials pour l’ensemble de la chaîne d’approvisionnement.

Ces étapes ont pour but de créer une responsabilité alignée entre les dirigeants, les opérations et les partenaires. Lorsque la surveillance au niveau du conseil d’administration rencontre des systèmes de défense structurés, les organisations ne réduisent pas seulement les vulnérabilités, mais signalent également aux actionnaires et aux régulateurs qu’elles opèrent avec discipline et prévoyance. Comme l’a déclaré M. Lloyd, « les entreprises ne peuvent pas se permettre de ne pas prendre ces mesures ».

Pour les décideurs, il s’agit d’une occasion de se donner un avantage à long terme. L’intégration de la cyberstratégie dans la gouvernance de l’entreprise ne protège pas seulement les données, elle soutient la confiance et la stabilité du marché. Par le passé, de nombreux conseils d’administration considéraient les discussions sur la sécurité comme une formalité technique. Cette approche ne fonctionne plus. Les dirigeants doivent considérer la cyber-résilience comme un investissement dans la continuité, et non comme un coût.

Le monde est en train de subir une transformation dans la manière dont il se connecte, s’automatise et évolue grâce à l’IA. À mesure que ces systèmes deviennent plus puissants, leur potentiel d’utilisation abusive augmente également. Les entreprises qui agissent maintenant, en intégrant la résilience et la transparence dans les priorités de leadership, seront celles qui définiront la prochaine phase de la confiance numérique au niveau national et mondial.

PARLONS-EN !

Un projet en tête ?
Planifiez un appel de 30 minutes avec nous.

Des experts senior pour vous aider à avancer plus vite : produit, tech, cloud & IA.

Planifier un appel

Veuillez saisir une adresse email professionnelle valide.

Certains indicateurs suggèrent une amélioration progressive de la cyber-résilience globale des organisations britanniques.

L’enquête sur les atteintes à la cybersécurité 2025-26 apporte un optimisme prudent. Les taux d’incidents globaux se sont stabilisés à 43 %, alors qu’ils atteignaient 50 % en 2023-24. Les signalements de Ransomware ont considérablement diminué, passant de 3 % à 1 %, ce qui suggère que la sensibilisation et l’amélioration des contrôles commencent à donner des résultats. Les attaques par hameçonnage, qui restent la forme la plus courante de cybermenace, ont touché 38 % des entreprises, soit moins que les 42 % d’il y a deux ans, tandis que les attaques par usurpation d’identité sont passées de 17 % à 12 %.

Ces chiffres indiquent que les investissements réguliers dans les cadres de sécurité, la formation des employés et les systèmes de détection ont un impact mesurable. Les grandes entreprises, en particulier, mûrissent dans leurs défenses, soutenues par des opérations de sécurité structurées et des mandats de conformité. Toutefois, cette amélioration ne doit pas conduire à l’autosatisfaction. Les attaquants affinent continuellement leurs stratégies, ce qui fait que même les plus petits oublis peuvent constituer des vulnérabilités potentielles. Le phishing reste un problème persistant, principalement parce que les acteurs de la menace exploitent l’erreur humaine par le biais de tactiques plus crédibles et plus adaptables.

La véritable leçon à tirer pour les dirigeants est que les progrès constants sont plus efficaces lorsqu’ils sont mesurables, proactifs et intégrés dans la prise de décision quotidienne. Des audits périodiques, des programmes de sensibilisation obligatoires et une responsabilité claire en matière de gestion des risques peuvent soutenir la tendance à la baisse. Les organisations qui renforcent leur résilience de manière systématique, et non réactive, continueront à voir moins de violations et des impacts moindres au fil du temps.

Malgré une sensibilisation accrue, de nombreuses organisations britanniques ne renforcent pas suffisamment leurs cyberdéfenses.

Si les grandes entreprises ont amélioré leurs mécanismes de réaction, les données de l’enquête révèlent des faiblesses persistantes chez les petites et moyennes entreprises (PME). La cyberhygiène, c’est-à-dire les pratiques de protection de base telles que l’évaluation des risques, la documentation des cyberpolitiques et la création de plans de continuité, a diminué après les améliorations précédentes. Cet écart entre les grandes et les petites organisations reste l’un des maillons les plus faibles de la chaîne globale de cyber-résilience du Royaume-Uni.

Malgré le nombre croissant d’attaques très médiatisées, dont celle qui a touché Marks & Spencer, de nombreuses organisations considèrent encore les investissements en matière de sécurité comme un coût plutôt que comme une nécessité pour l’entreprise. Il en résulte que les incidents sont de plus en plus préjudiciables : 5 % des organisations interrogées ont déclaré avoir subi des pertes financières ou des pertes de valeur des actions à la suite de cyberattaques, contre 2 % l’année précédente, et 3 % ont déclaré avoir subi une atteinte à leur réputation, contre 1 %. Cela montre que si la prise de conscience a progressé, l’exécution est au point mort.

Pour les chefs d’entreprise, le défi consiste à transformer la prise de conscience en action structurée. La cyber-résilience doit aller au-delà des départements informatiques et s’étendre à la planification opérationnelle, à l’approvisionnement et à la gouvernance d’entreprise. L’amélioration continue de la défense, la transparence des rapports et les protocoles de réponse rapide aux incidents sont essentiels pour maintenir la confiance et la stabilité des performances.

Les dirigeants doivent également reconnaître que l’inaction a des conséquences mesurables. Dans le contexte actuel de menaces, maintenir des systèmes obsolètes ou ignorer les politiques en matière de cyberrisques n’est pas neutre, c’est une vulnérabilité opérationnelle directe. Une approche axée sur le leadership qui intègre la résilience comme un objectif commercial essentiel, et non comme une simple tâche de conformité, déterminera les organisations qui resteront sûres et crédibles face à l’évolution des menaces numériques.

Des orientations gouvernementales fragmentées et une attitude complaisante à l’égard des risques de l’IA aggravent la cyber-vulnérabilité nationale.

L’approche du Royaume-Uni en matière de cyberstratégie reste fragmentée, ce qui ralentit les progrès réels dans la lutte contre les menaces croissantes. Selon Jonathan Lee, directeur de la stratégie chez TrendAI Cyber, les conseils d’administration sont de plus en plus sensibilisés, mais aucune action significative n’a suivi. Il souligne que le flux constant d’initiatives, de cadres et de canaux de communication émanant de différents organismes gouvernementaux fait qu’il est difficile pour les entreprises de savoir quelles sont les orientations à suivre ou à classer par ordre de priorité. Son appel à « une voix nationale unique et cohérente sur la cyberculture » souligne un manque de leadership critique dans la façon dont la sécurité numérique est coordonnée entre les secteurs.

Alors que les organisations accélèrent leur adoption de l’intelligence artificielle, les risques évoluent plus rapidement que la plupart des défenses. Les attaquants utilisent l’IA pour automatiser et personnaliser les menaces, de l’usurpation d’identité basée sur le deepfake aux campagnes de phishing adaptatives qui tirent les leçons des tentatives ratées. Ces capacités rendent les anciennes méthodes de détection beaucoup moins efficaces. En l’absence d’une stratégie unifiée et d’orientations claires, les entreprises peuvent facilement se laisser distancer par des menaces de plus en plus complexes et de plus en plus rapides à exécuter.

Les dirigeants doivent considérer cette période comme un point d’inflexion pour la résilience des pays et des entreprises. S’en remettre à des conseils fragmentés ou à une conformité à court terme ne protégera pas les opérations ou la réputation. Les conseils d’administration doivent exiger de la clarté, tant de la part des équipes internes que des dirigeants nationaux, et s’engager à aligner les stratégies commerciales sur une position cybernétique unifiée et à long terme qui intègre les risques émergents liés à l’IA.

Pour les organisations, la complaisance est aujourd’hui l’un des plus grands facteurs de risque. La compétitivité de l’économie britannique dépend d’une infrastructure numérique fiable et de la confiance dans les systèmes de données. L’IA va accélérer l’innovation, mais elle doit s’accompagner d’un engagement tout aussi avancé en matière de cyberdéfense. Se préparer à cet alignement n’est pas seulement une question de réglementation, c’est une question de survie à long terme dans une économie axée sur le numérique.

Principaux enseignements pour les dirigeants

• Le cyberrisque est une menace constante pour les entreprises : Près de la moitié des entreprises britanniques ont subi une cyberattaque au cours de l’année écoulée, ce qui montre que les menaces numériques demeurent un risque opérationnel persistant. Les dirigeants doivent considérer la cybersécurité comme une fonction essentielle de l’entreprise, et non comme une question technique.
• L’action du gouvernement vise à renforcer les défenses des entreprises : Le UK’s Cyber Resilience Pledge exhorte les dirigeants à faire de la cybersécurité une priorité au niveau du conseil d’administration et à l’intégrer dans les chaînes d’approvisionnement. Les hauts dirigeants devraient s’engager rapidement à prendre ces mesures pour renforcer la résilience à long terme et la confiance des investisseurs.
• Des gains modestes témoignent d’un progrès, mais pas d’une stabilité : Les cyberincidents ont légèrement diminué, les ransomwares et le phishing étant en baisse d’une année sur l’autre. Les dirigeants devraient maintenir ces améliorations en finançant des formations continues de sensibilisation et en modernisant les systèmes de détection.
• La sensibilisation sans action augmente l’exposition des entreprises : de nombreuses PME sont à la traîne en matière de cyberpréparation, alors que les dommages financiers et les atteintes à la réputation augmentent. Les chefs d’entreprise doivent transformer la prise de conscience en action pratique par le biais d’évaluations des risques, de plans de continuité et de cadres de responsabilité.
• L’IA et les conseils fragmentés augmentent le risque national : L’intégration rapide de l’IA et la dispersion des messages gouvernementaux ont créé un environnement vulnérable. Les dirigeants devraient faire pression pour obtenir des directives unifiées et s’assurer que l’adoption de l’IA s’accompagne de mesures de sécurité avancées.