L’effet domino : pourquoi votre cyber-résilience doit s’étendre au-delà des murs de l’entreprise

Le monde devient chaque jour plus incertain. Entre cyberattaques dopées à l’IA, menace émergente de l’informatique quantique, tensions géopolitiques et instabilité des chaînes d’approvisionnement, les facteurs externes provoquent des ondes de choc qui traversent l’ensemble des entreprises. Pour les entreprises qui cherchent à préserver la continuité d’activité et l’agilité, simplement réagir aux perturbations ne suffit plus. La résilience ne peut plus se limiter à un mécanisme de défense interne, elle doit devenir un principe de conception tourné vers l’extérieur.

Pour mieux comprendre comment les entreprises gèrent ces pressions externes, Zscaler a interrogé 1 750 responsables IT dans 14 marchés à l’échelle mondiale. Bien que l’engagement et l’investissement dans la cyber-résilience sont élevés, nos conclusions mettent en lumière un écart critique : la confiance des entreprises repose souvent sur un sentiment de contrôle des systèmes internes, plutôt que sur une véritable préparation aux perturbations externes. Une majorité (61 %) des responsables IT dans le monde reconnaissent que leurs stratégies de résilience restent trop centrées sur l’interne.

Le rapport de cette année, « L’effet domino : Comment rendre votre cybersécurité plus résiliente ? », démontre que la véritable résilience doit se diffuser à travers les différentes couches de dépendance — partenaires, plateformes et chaînes d’approvisionnement — afin de se prémunir des risques externes avant qu’ils ne déstabilisent les opérations. En adoptant une approche Resilience by Design qui dépasse les murs de l’entreprise, les entreprises peuvent intégrer, dès la conception, la capacité de faire face à l’inévitable.

Lacunes critiques : les limites d’une approche axée sur l’interne

Une approche de sécurité axée sur les systèmes internes présente quatre vulnérabilités majeures. Premièrement, la dépendance à l’égard des tiers constitue une source majeure de vulnérabilité : 68 % des entreprises s’appuient davantage sur des tiers, mais moins de la moitié ont mis à jour leur stratégie de résilience et le taux d’adoption de mesures de contrôle des risques reste inférieure à 50 %. Cet écart considérable critique a entraîné l’an dernier une défaillance majeure liée à un fournisseur pour 60 % des entreprises. Plus inquiétant encore, seules 54 % des entreprises sont couvertes par une assurance cyber en cas de compromission impliquant un tiers. Deuxièmement, l’évolution technologique constitue un défi : 52 % des responsables IT estiment que leurs dispositifs de sécurité actuels ne sont pas capables de contrer des menaces existantes ou émergentes telles que l’IA agentique et l’informatique quantique. Si 42 % testent l’IA agentique et 34 % l’ont déjà déployée, la moitié l’a fait sans cadre de gouvernance. Sept responsables IT sur dix déclarent ne pas avoir de visibilité sur l’usage de « l’IA fantôme », et 56 % redoutent une exposition de données sensibles. Par ailleurs, 57 % n’ont pas encore intégré la cryptographie post-quantique (PQC) dans leur stratégie de sécurité, alors même que 60 % reconnaissent que les données volées aujourd’hui pourraient être exploitées dans trois à cinq ans. Troisièmement, les pressions macroéconomiques imposent des ajustements rapides : 74 % des responsables IT estiment que l’environnement macroéconomique les contraint à réorienter rapidement leurs priorités. Si la planification progresse (71 % pour la conformité réglementaire, 69 % pour la localisation des données), une grande partie des réponses reste encore réactive.

La dépendance aux technologies étrangères alimente également les débats autour des politiques et des réglementations de souveraineté et pousse les entreprises à agir : notre enquête révèle que les responsables IT s’attaquent activement à ce risque. Ainsi, 79 % évaluent leur dépendance aux technologies étrangères, tandis que six sur dix ont mis à jour leur stratégie de cyber-résilience au cours de l’année écoulée afin de répondre à de nouvelles exigences de souveraineté ou à leur évolution. L’an dernier, 60 % des entreprises ont mis à jour leurs stratégies de cyber-résilience en réponse à l’évolution de la réglementation, notamment NIS2, DORA et le RGPD.

Enfin, l’architecture héritée demeure un obstacle majeur, dans la mesure où 81 % des entreprises dépendent encore de manière critique ou modérée à des systèmes hérités. Par ailleurs, 64 % des répondants reconnaissent que leur infrastructure actuelle entrave une réponse efficace aux incidents, et 59 % estiment que leur architecture ne parvient pas à s’adapter au rythme des évolutions de l’entreprise. Pour se montrer véritablement résilientes, les entreprises doivent procéder à des tests de résistance externes — par exemple en simulant des perturbations liées à l’informatique quantique, à l’IA ou aux interdépendances entre fournisseurs — afin de révéler les risques cachés.

Renforcer votre approche Resilient by Design : trois actions

Pour combler les failles de sécurité et déclencher « l’effet domino » protecteur, les entreprises doivent étendre leur réflexion sur la résilience au-delà de leur périmètre interne. Cela implique de faire de la visibilité une priorité et d’intégrer une démarche proactive d’identification des risques à tous les niveaux : au-delà des systèmes internes, vers les forces externes qui façonnent le risque opérationnel, tout en suivant les données à travers les systèmes internes, les partenaires externes et l’ensemble de la chaîne d’approvisionnement. Pour y parvenir, trois changements stratégiques s’imposent :

• Prendre du recul et veiller à ce que les changements architecturaux soient gérables : l’agilité est essentielle et suppose des architectures flexibles capables de s’adapter à des menaces externes en rapide évolution. Une architecture de plateforme facilite cette adaptation ; la complexité est l’ennemie de l’agilité, et découpler la sécurité de l’infrastructure réseau est indispensable pour agir rapidement.
• Faire de la visibilité une priorité et intégrer une démarche proactive d’identification des risques à tous les niveaux : passer d’une recherche réactive des menaces à une recherche proactive des risques, en suivant les données partout — à travers les systèmes internes, les partenaires externes et l’ensemble de la chaîne d’approvisionnement.
• Construire progressivement, car préparer l’avenir relève d’une évolution et non d’une rupture : avec une architecture de plateforme robuste et interopérable, la préparation aux menaces futures devient un processus continu. Par exemple, sécuriser l’IA agentique s’appuie sur les capacités existantes de protection contre la perte de données (DLP), et la préparation à la cryptographie post-quantique repose sur une démarche progressive fondée sur la visibilité et des mises à jour incrémentales.

Une résilience qui rayonne vers l’extérieur

Zscaler Zero Trust Exchange est conçue pour offrir cette résilience étendue, tournée vers l’extérieur. Plateforme de sécurité native du cloud, elle permet aux entreprises de :

1. Prioriser la visibilité : une plateforme de sécurité unifiée qui gère la sécurité des données, la sécurité de l’IA et la sécurité des tiers, offre un contrôle de bout en bout sur l’ensemble de la surface de risque, y compris les sous-traitants et les chaînes d’approvisionnement.
2. Simplifier grâce à une approche plateforme : en découplant la sécurité de l’infrastructure réseau, elle permet des connexions sécurisées fondées sur l’identité et donne aux entreprises la capacité de reconfigurer rapidement marchés et flux de données à mesure que les conditions évoluent, tout en répondant aux exigences de souveraineté des données grâce à 25 data centers répartis à travers l’Europe.
3. S’adapter rapidement grâce au Zero Trust : cette approche offre une trajectoire évolutive dans laquelle la sécurité de l’IA générative et la visibilité sur la cryptographie post-quantique peuvent être activées simplement depuis un tableau de bord unique, en s’appuyant sur des contrôles unifiés pour garantir une préparation durable.

Dans l’économie actuelle fondée sur les tiers, la résilience d’un entreprise n’est jamais plus solide que l’écosystème dont elle dépend. Si un entreprise ne conçoit pas et ne valide pas en continu ses contrôles de sécurité à travers l’ensemble de son écosystème — fournisseurs, prestataires et plateformes partagées — l’incident d’un partenaire peut rapidement devenir sa propre interruption de service.

Pour prospérer dans l’incertitude, les entreprises doivent consolider leurs fondations internes afin d’étendre leur résilience à l’ensemble de leur écosystème, et passer de mesures réactives à une approche proactive et stratégique.

Bâtissez votre résilience sur des bases solides afin que la protection qu’elle procure se diffuse vers l’extérieur et atténue l’impact des risques externes qui échappent à votre contrôle.

Besoin de conseils ? Contactez Zscaler pour amplifier l’effet domino au sein de votre entreprise et consultez le rapport completici.