Les tensions entre DSI, RSSI et direction sont-elles aujourd’hui apaisées ? 

Franck Rouxel : On observe toujours des difficultés organisationnelles. Il existe encore des recrutements réalisés sans réelle coordination avec les RSSI en place, ce qui crée des frustrations et un manque d’alignement. Le problème, c’est qu’on attend aujourd’hui des profils hybrides capables de comprendre à la fois les enjeux techniques et business, mais ces profils restent rares. Dans beaucoup d’entreprises, on distingue encore deux mondes : celles qui subissent la cybersécurité sous la contrainte réglementaire — avec des cadres comme DORA ou NIS2 — et celles qui ont réellement intégré une culture du risque. Dans les premières, la gouvernance reste souvent déséquilibrée, et les experts techniques ne sont pas toujours entendus à leur juste valeur. 

L’IA est-elle devenue un angle mort majeur de la cybersécurité ? 

L’IA accentue une asymétrie déjà connue entre attaquants et défenseurs. Ce n’est pas un phénomène nouveau, mais elle amplifie fortement cette dynamique. Un attaquant peut aujourd’hui identifier et exploiter une faille en quelques minutes, là où la défense reste structurellement plus lente. On est donc face à une croissance exponentielle des capacités offensives, alors que la défense progresse de manière beaucoup plus linéaire. Cela entraîne mécaniquement une augmentation de la surface d’attaque. De plus, les systèmes d’IA eux-mêmes posent un problème structurel : ils sont difficiles à sécuriser par nature. Ils nécessitent d’être pensés différemment dès leur conception, notamment dans la manière dont ils interagissent avec les données et les utilisateurs. 

Comment gérer le phénomène de Shadow IA dans les entreprises ? 

Le Shadow IA est encore plus complexe que le Shadow IT. On n’est plus seulement dans l’usage d’outils non validés, mais dans quelque chose de beaucoup plus intime : la manière dont chacun interagit avec son propre assistant IA. Même si l’entreprise met en place des solutions internes, elles sont souvent jugées moins performantes que les outils grand public. Résultat : les utilisateurs continuent à utiliser leurs propres solutions, avec des risques importants de fuite de données. Les approches classiques ne suffisent plus. Il faut à la fois encadrer les usages, mettre en place des mécanismes de détection et proposer des alternatives crédibles en interne. Mais aujourd’hui, beaucoup de projets d’IA en entreprise échouent, notamment parce que les prérequis - comme une transformation numérique aboutie - ne sont pas réunis. 

Le cloud est souvent accusé d’augmenter la surface d’attaque. Comment un RSSI doit-il l’aborder ? 

Le cloud n’est pas un problème en soi, mais il introduit de nouvelles couches de complexité. Chaque niveau - réseau, authentification, applications - nécessite des mécanismes de contrôle spécifiques. On voit notamment émerger des attaques sophistiquées autour de l’authentification. Le MFA, par exemple, n’est plus suffisant à lui seul. Des techniques permettent de détourner des sessions légitimes ou de récupérer des jetons d’accès. Le rôle du RSSI est donc d’imposer des exigences dès la phase de négociation : segmentation des accès, supervision, chiffrement, contrôle des identités. Et surtout, ne jamais considérer le cloud comme une solution clé en main sécurisée par défaut. 

Les risques liés à l’open source et au développement applicatif sont-ils sous-estimés ? 

Oui, clairement. Les chaînes de développement restent souvent moins matures en matière de sécurité. Les développeurs utilisent des composants open source sans toujours en maîtriser les risques, ce qui peut introduire des vulnérabilités critiques. L’enjeu est d’intégrer la sécurité directement dans les environnements de développement, avec des outils capables de détecter les failles et d’accompagner les équipes sans ralentir leur productivité. C’est un changement culturel autant que technique. 

Le contexte géopolitique change-t-il la donne pour les entreprises, y compris les PME ? 

Absolument. Les cybermenaces ne concernent plus uniquement les grandes entreprises ou les infrastructures critiques. Les PME sont désormais intégrées dans des chaînes de dépendance, notamment via leurs clients ou partenaires. Une petite entreprise peut devenir une porte d’entrée vers une organisation plus grande. Cela signifie qu’elle doit atteindre un niveau minimal de sécurité, même sans en avoir toujours conscience. Par ailleurs, les tensions internationales renforcent les questions de souveraineté et de dépendance technologique, notamment vis-à-vis des fournisseurs de cloud. 

Justement, faut-il s’inquiéter des législations étrangères sur les données ? 

C’est un sujet de plus en plus important. Selon le type de données et le secteur d’activité, certaines entreprises peuvent être contraintes de revoir leurs choix d’hébergement. On voit apparaître des obligations liées à la localisation des données ou à leur sensibilité. Cela pousse à envisager des solutions hybrides ou souveraines, mais ce n’est pas simple à mettre en œuvre. Il faut travailler de manière transverse, avec les équipes juridiques, achats et IT, pour bien comprendre les implications. Ce sont des décisions structurantes pour l’entreprise. 

Quels sont les enjeux autour de l’IoT et des systèmes connectés ? 

L’IoT pose un problème particulier, notamment dans l’industrie. Ce sont des équipements conçus pour durer longtemps, parfois plusieurs décennies, avec des capacités de mise à jour limitées. La sécurité doit donc être pensée en amont, via l’architecture réseau, la segmentation et l’inventaire des équipements. On retrouve finalement les fondamentaux de la cybersécurité, appliqués à des environnements plus contraints. 

En conclusion, quelles sont les priorités d’un RSSI en 2026 ? 

La priorité reste l’analyse de risque. Il ne faut pas tomber dans une logique de conformité aveugle, qui peut devenir contre-productive. Un RSSI doit comprendre les enjeux spécifiques de son entreprise, identifier les risques réels et adapter les mesures en conséquence. Enfin, la dimension humaine reste essentielle. La cybersécurité ne peut pas fonctionner sans une collaboration étroite entre les équipes techniques, les métiers et la direction. C’est un sujet transversal, qui dépasse largement la seule technologie