Communiqué de presse
Selon 78 % des RSSI, les cadres supérieurs des entreprises ne mesurent pas pleinement les cyberrisques encouru par les employés
Publié le: 9 Juil 2026
Près de la moitié des responsables sécurité des systèmes d’information (RSSI) qui ont moins confiance dans la cyber-résilience de leur organisation citent l’ingénierie sociale alimentée par l’IA en raison principale
79 % des RSSI constatent que le soutien des dirigeants à la sensibilisation aux questions de sécurité s’érode avec le temps
Pour 68 % d’entre eux, les employés sont le principal risque de sécurité pour leur organisation, car l’IA intensifie les attaques ciblant des humains
Londres, 9 juillet 2026 – Selon une récente étude, plus des trois quarts des RSSI en Europe estiment que les cadres dirigeants ne mesurent pas entièrement les cyberrisques posés par les employés – à l’heure où, avec l’appui de l’IA, les attaques ciblant les humains sont plus sophistiquées, plus massives, plus convaincantes et de plus en plus fréquentes.
Le sondage réalisé par MetaCompliance, l’entreprise de gestion des cyberrisques humains, auprès de 200 RSSI au Royaume-Uni, en France, en Allemagne et en Suède, révèle une déconnexion croissante entre les risques que l’élément humain représente pour les organisations et le niveau nécessaire de compréhension, de coordination et de soutien des cadres dirigeants pour les gérer de manière efficace.
Il apparaît que les attaques alimentées par l’IA ciblent de plus en plus le jugement des employés plutôt que les vulnérabilités techniques. Selon l’étude, parmi les RSSI moins confiants dans la cyber-résilience de leur organisation qu’il y a 12 mois, près de la moitié citent, pour raison principale, la montée en sophistication des attaques d’ingénierie sociale alimentées par l’IA.
Et les employés restent une source importante de cyberrisques. Plus des deux tiers des RSSI continuent de les considérer comme le principal risque de sécurité pour leur organisation, soulignant la façon dont l’IA amplifie des difficultés déjà existantes au niveau du facteur humain.
Pourtant, l’étude suggère que de nombreux RSSI s’efforcent de régler ce problème alors que la direction ne leur accorde pas un appui constant en matière d’initiatives de sécurité. Près de quatre RSSI sur cinq constatent que ce soutien s’érode avec le temps, et 76 % des RSSI font état de difficultés à satisfaire les attentes contradictoires des différentes parties prenantes concernant les indicateurs du risque humain.
Pour près d’un quart d’entre eux, lorsqu’il s’agit de gérer les cyberrisques humains, la coordination des parties prenantes de différentes fonctions est l’un des domaines dans lesquels ils sont le moins confiants – soulignant ainsi la difficulté de construire une approche commune à toute l’entreprise.
Pour James Mackay, directeur général de MetaCompliance : « L’IA a changé le contexte du risque lié à l’élément humain. Les attaquants ne se reposent plus sur des escroqueries cousues de fil blanc ou sur des emails d’hameçonnage grossièrement rédigés. Aujourd’hui, ils peuvent créer – à grande échelle – des tentatives d’usurpation d’identité, des attaques d’ingénierie sociale et des communications frauduleuses très convaincantes.
Il est donc plus important que jamais de coordonner les différentes fonctions dirigeantes. Les cyberrisques humains ne se résument plus à une question de sensibilisation ou de formation ; ils constituent un risque stratégique pour l’entreprise. Pourtant, notre recherche montre que nombre de RSSI s’efforcent encore de faire changer les choses sans bénéficier d’un soutien régulier, sans que soit établie une responsabilité claire et sans que l’impact des cyberrisques humains sur toute l’entreprise soit compris de tous
Si le soutien des responsables s’érode après la première impulsion, les organisations sont laissées sans protection. Construire la résilience face aux menaces alimentées par l’IA nécessite un appui sans faille des équipes de direction, une meilleure coordination des parties prenantes et une approche plus intelligente de la gestion des cyberrisques humains, qui s’appuie sur les comportements ».
Les conclusions de l’étude montrent également comment l’IA modifie fondamentalement le paysage des menaces pour les organisations :
- Plus de quatre RSSI sur dix sont préoccupés par l’accélération, grâce à l’IA, de la vitesse et de l’impact des attaques d’ingénierie sociale
- 40 % des RSSI craignent que les employés partagent des informations sensibles avec des plateformes d’IA générative
- 41 % s’inquiètent de ce que des personnes malfaisantes internes à l’entreprise puissent utiliser l’IA pour faciliter la fraude, la cybercriminalité ou le vol de données
- Au Royaume-Uni, les attaques d’usurpation d’identité par deepfake inquiètent tout particulièrement : plus de la moitié des RSSI les considèrent comme une menace majeure pour leur organisation – la proportion la plus élevée de tous les marchés sondés.
Il est de plus en plus difficile de distinguer les contenus générés par IA des communications légitimes. Les organisations s’efforcent donc de renforcer davantage leurs défenses contre les attaques ciblant des humains. Il est de plus en plus crucial d’améliorer la résilience face aux attaques d’ingénierie sociale alimentées par l’IA, et près d’un quart des RSSI considèrent ce point comme l’une des grandes priorités des douze prochains mois.
James Mackay ajoute : « Les organisations les mieux placées pour y répondre seront celles qui traitent le cyberrisque humain comme une priorité de gestion permanente, et non un exercice de formation périodique.
Les employés ont besoin de soutien au moment précis où le risque se matérialise. Cela implique d’utiliser des connaissances en matière comportementale, des ciblages en temps réel et des directives en fonction du contexte pour aider les personnes à prendre de meilleures décisions en matière de sécurité, alors que les attaques alimentées par l’IA sont de plus en plus difficiles à détecter ».
FIN
Méthodologie
L’étude a été menée par Censuswide auprès d’un échantillon de 200 RSSI d’entreprises de plus de 250 salariés (âgés de plus de 30 ans) en Allemagne, en France, au Royaume-Uni et en Suède (50 RSSI dans chaque marché). Les données ont été collectées du 17 au 23 février 2026. Censuswide est membre de la Market Research Society (MRS), du British Polling Council (BPC), et signataire du Global Data Quality Pledge. Nous adhérons au code de conduite de la MRS et aux principes d’ESOMAR.
À propos de MetaCompliance
MetaCompliance est une société de gestion des risques humains qui place la culture de la sécurité au cœur des organisations. Sa plateforme intelligente clé en main allie automatisation, outils de formation personnalisés sur la cybersécurité et analyses comportementales, avec pour objectif de mesurer, atténuer et gérer les risques humains à grande échelle. Avec plus de six millions d’utilisateurs dans le monde, MetaCompliance aide les entreprises internationales à réduire les risques humains et à faire changer durablement les comportements. www.metacompliance.com
Contacts presse
- MetaCompliance
- Liz Adams, Vice-présidente, Marketing - [email protected]