À LA UNE Sécurité

64 % des entreprises EMEA prennent des raccourcis risqués pour pallier la pénurie de compétences cyber

Face à la pénurie persistante de talents, les DSI jonglent entre conformité, modernisation et résilience. En France, 75 % des organisations manquent de compétences cyber et plus d’un tiers subissent déjà un impact « grave » ou « significatif ».

La statistique claque comme une alarme : 64 % des entreprises de la zone EMEA reconnaissent avoir recours à des solutions temporaires et à des raccourcis risqués pour tenir leurs objectifs de sécurité. Ce réflexe de court terme illustre l’impasse dans laquelle se retrouvent nombre de directions IT : il faut sécuriser plus vite, avec moins de ressources, sur des périmètres toujours plus vastes. L’étude internationale d’Insight Enterprises, menée au printemps 2025, acte ainsi un basculement : « la crise des compétences cède la place à une crise stratégique », où le sujet n’est plus seulement de recruter des profils rares, mais de piloter la cybersécurité comme une discipline d’entreprise à part entière.

France et Europe : tension maximale sur les compétences

En France, la pénurie est désormais la norme : 75 % des organisations déclarent manquer de compétences en cybersécurité et 36 % jugent l’impact de ce déficit « grave » ou « significatif ». À l’échelle EMEA, seuls 24 % des décideurs estiment disposer des capacités internes suffisantes pour faire face à l’évolution des menaces. Le cœur du problème dépasse le recrutement des experts techniques : les lacunes les plus sensibles se situent aussi au niveau du leadership (avec un manque de cap assumé par la direction générale), dans la gouvernance (pas de pilotage de haut niveau ni de coordination entre IT, métiers, juridique et conformité, ce qui crée incohérences et angles morts), la planification (trop de projets opportunistes sans feuille de route claire) et l’évaluation des risques (manque de proactivité, de visibilité, de priorisation).

Loin d’être une exception française, cette fragilité se traduit dans l’exploitation quotidienne partout en Europe : à l’échelon européen 76 % des organisations affirment être directement confrontées à un déficit de compétences, et 47 % jugent l’impact opérationnel « grave » ou « significatif ». Au total, l’immense majorité des entreprises reconnaissent déjà des effets négatifs : retards de programmes, arbitrages défavorables et exposition accrue au risque.

Des DSI et RSSI sous pression

Pour les DSI et les RSSI, l’équation se durcit. La généralisation des architectures hybrides (extension de la surface d’attaques), l’empilement d’outils disparates (complexité accrue) et la montée des exigences réglementaires (conformité et reporting) complexifient la défense. En outre, l’adoption accélérée de l’IA ajoute un double défi : tirer parti de l’automatisation pour soulager les équipes tout en maîtrisant les nouveaux risques.

Reste que les causes profondes de cette pénurie de main d’œuvre cyber restent systémiques : 68 % citent le coût élevé d’embauche et de formation des profils expérimentés et 65 % la rareté de candidats qualifiés sur le marché. Résultat : les plans cyber sont parfois repoussés, quand ils ne sont pas rabotés. Cette logique du « faire au plus vite » explique l’essor des palliatifs – ces fameux raccourcis à 64 % – et accroît la tension sur la conformité.

Du modèle « tout‑interne » aux partenariats intégrés

Dans ce contexte, le recours aux fournisseurs de services de sécurité managés (MSSP) s’impose comme une réponse de fond. Trois quarts des organisations font déjà appel à ces partenaires et, en moyenne, près de la moitié (46 %) des opérations cyber leur sont confiées. Quatre utilisateurs sur dix externalisent même plus de la moitié de leurs besoins. Les motivations dépassent la seule maîtrise des coûts : les décideurs citent d’abord l’accès à une réponse 24/7, puis l’expertise spécialisée et la capacité à combler rapidement les lacunes internes.

Cette dynamique va s’intensifier : 55 % des entreprises prévoient d’accroître leur recours aux MSSP dans les douze prochains mois, avec une accélération marquée dans l’IT/tech (41 % prévoient d’intensifier) et un mouvement d’initiation notable dans l’industrie manufacturière (20 % envisagent de démarrer). Les bénéfices remontés sont tangibles : 79 % constatent un gain de résilience, 77 % une meilleure visibilité et 72 % de meilleurs résultats de conformité, des effets particulièrement marqués dans le secteur public (89 % de résilience accrue).

« Le modèle traditionnel de gestion de la cybersécurité exclusivement en interne devient insoutenable. Le paysage évolue trop rapidement, reste trop fragmenté et requiert un niveau de spécialisation toujours plus élevé » avertit Rob O’Connor, Responsable de la sécurité de l’information EMEA. Cette mise en garde résonne comme un cap à tenir : passer d’accords transactionnels à de véritables partenariats intégrés, capables d’aligner la sécurité sur les objectifs métiers et de gérer la complexité multi‑fournisseurs.

L’IA : une alliée sous conditions

L’IA s’affirme comme un multiplicateur de force plutôt qu’un substitut. Si l’IA générative et les approches autonomes accélèrent l’analyse et la réponse, leur déploiement reste précoce : seules 20 % des organisations ont pleinement intégré l’IA et 7 % ont déployé des systèmes autonomes à grande échelle.
La confiance demeure prudente : 57 % se disent confiantes dans les résultats des systèmes autonomes, mais seuls 15 % affichent une confiance totale et 5 % se déclareraient prêts à déléguer entièrement la décision à l’automatisation. Les décideurs expriment des réticences liées à l’exactitude, aux biais et au caractère « boîte noire » de certains systèmes. Les initiatives les plus efficaces restent celles qui adoptent un principe de supervision humaine, en mettant l’IA au service de processus clés – SOC, détection, remédiation, sécurisation applicative – sans déléguer aveuglément la décision.

Le mandat de la résilience

Au‑delà des annonces d’outillage, le rapport trace une feuille de route à suivre pour toutes les entreprises : investir dans des compétences à forte valeur (gouvernance, gestion des risques, pilotage de la conformité), structurer des partenariats durables et faire converger ces piliers sur des plateformes intégrées, prêtes pour l’IA. La résilience cyber devient un actif d’entreprise qui conditionne l’innovation comme la croissance.

« Bien que la crise des compétences ait initié cette conversation, c’est la crise stratégique qui en définira les résultats. Les organisations qui abordent la cybersécurité comme une discipline stratégique intégrée à leur modèle d’affaires – plutôt que comme une simple fonction IT additionnelle – seront celles qui réussiront » conclut Rob O’Connor. Dit autrement, l’enjeu n’est plus seulement de recruter, mais de diriger la sécurité comme un levier de performance.

Legisway lance un module de Contract Management

Vol de smartphone et sécurité numérique
Gaidar Magdanurov, Acronis

Confidentialité des données : Les consommateurs très sceptiques sur les initiatives des grands distributeurs

Le Syntec et l’Afdel réagissent au plan numérique

Intégrer la voix dans une stratégie omnicanale
Jérôme Lebrun, Almavia

64 % des entreprises EMEA prennent des raccourcis risqués pour pallier la pénurie de compétences cyber

France et Europe : tension maximale sur les compétences

Des DSI et RSSI sous pression

Du modèle « tout‑interne » aux partenariats intégrés

L’IA : une alliée sous conditions

Le mandat de la résilience

À lire également :

La France est le pays européen le plus touché par les fuites de données en 2025

Task Scam : la nouvelle arnaque numérique qui vide les comptes des victimes

En France, seuls 38 % des responsables IT mettent à jour rapidement les firmwares des imprimantes

Ransomwares : 31 % des entreprises sont attaquées à répétition

Rapport HID PACS 2025 : 69 % des décideurs misent sur l’accès mobile

Welcome

Rajouter InformatiqueNews.fr sur votre écran d'accueil