Publié le 2025-10-02 08:11:00. Un rapport récent de PwC met en lumière les défis croissants auxquels les entreprises sont confrontées dans la sécurisation des systèmes technologiques opérationnels (OT) et de l’Internet des objets industriels (IIoT). Les pénuries de talents qualifiés et une gouvernance floue émergent comme les principaux freins, révélant une lacune structurelle dans la gestion des environnements industriels de plus en plus connectés.
- Le manque de personnel qualifié et une gouvernance incertaine constituent les principaux obstacles à la sécurisation des environnements OT et IIoT.
- Les investissements en cybersécurité sont en hausse face à l’instabilité géopolitique, mais peu d’organisations ont mis en œuvre toutes les mesures de protection recommandées.
- L’intelligence artificielle (IA) est perçue comme une solution clé pour pallier le manque de compétences, tandis que l’informatique quantique représente une menace future mal anticipée.
Selon le rapport « Global Digital Trust Insights 2026 » de PwC, près de la moitié des dirigeants d’entreprise (47 %) citent le manque de personnel qualifié comme le défi majeur pour sécuriser les systèmes OT et IIoT. Vient ensuite une gouvernance et une propriété peu claires, pointées par 39 % des sondés. Ces failles mettent en évidence une difficulté fondamentale pour de nombreuses organisations à structurer et à expertiser la gestion de leurs systèmes opérationnels connectés.
Face à un contexte géopolitique volatile, 60 % des organisations interrogées déclarent augmenter leurs investissements dans la gestion des cyber-risques. Cependant, l’enquête révèle une mise en œuvre encore insuffisante des mesures de sécurité : seuls 6 % des répondants indiquent avoir appliqué intégralement toutes les protections prévues. La cyber-défense, notamment par l’intelligence artificielle, se heurte également à des lacunes importantes en matière de connaissances et de compétences.
L’étude s’appuie sur les réponses de 3 887 dirigeants d’entreprise et de technologies, collectées entre mai et juillet 2025. Un tiers des participants proviennent de grandes entreprises dont le chiffre d’affaires annuel dépasse les 5 milliards de dollars. Les secteurs représentés couvrent un large spectre, incluant les services financiers (21 %), l’industrie manufacturière et automobile (21 %), la technologie, les médias et les télécommunications (19 %), le commerce de détail et les biens de consommation (16 %), la santé (10 %), l’énergie et les ressources (9 %), ainsi que les services gouvernementaux (4 %). Ces dirigeants proviennent de 72 pays, avec une répartition géographique significative en Europe occidentale (32 %) et en Amérique du Nord (27 %).
Le risque géopolitique redéfinit les stratégies, plaçant les investissements en cyber-risques parmi les trois priorités principales pour 60 % des dirigeants. Néanmoins, la résilience des organisations demeure un chantier en cours. Environ la moitié des sondés jugent leur capacité « moyennement efficace » face à des attaques ciblées, et seulement 6 % se déclarent entièrement confiants dans tous les domaines évalués. Cette approche, où 67 % des entreprises répartissent leurs investissements de manière égale entre mesures proactives et réactives, pourrait se révéler plus coûteuse et risquée à long terme, seulement 24 % privilégiant des dépenses accrues dans des actions préventives comme la surveillance et les tests.
L’intelligence artificielle s’impose comme une pierre angulaire des futures stratégies de défense. Les capacités basées sur l’IA agentique figurent parmi les priorités de sécurité, avec des applications envisagées dans la sécurité cloud, la protection des données et la cyber-défense.
L’informatique quantique représente quant à elle un défi émergent. Bien que classée parmi les cinq menaces pour lesquelles les organisations se sentent le moins préparées, elle ne figure que dans les budgets de moins de 10 % d’entre elles, et seulement 3 % ont mis en place des mesures préventives de pointe.
La pénurie de talents dans le domaine de la cybersécurité continue de freiner les progrès. Ce déficit de compétences pousse plus de la moitié des organisations (53 %) à envisager l’IA et les outils d’apprentissage automatique pour combler ces lacunes. Le recours à des services gérés spécialisés émerge également comme une stratégie pour pallier le manque d’expertise et gagner en capacité.
Les obstacles majeurs à la sécurisation des systèmes OT et IIoT, outre le manque de compétences (47 %), incluent l’absence de segmentation réseau adéquate entre les environnements OT/IIoT et informatique (41 %). Près de la moitié des organisations (40 %) reconnaissent un manque de compréhension de l’étendue des cyber-risques OT/IIoT, et 39 % pointent une gouvernance et une responsabilité floues. Un financement insuffisant et un soutien limité des dirigeants (38 %) ainsi qu’une visibilité insuffisante des actifs OT/IIoT (35 %) complètent ce tableau. Seulement 6 % des répondants estiment que leur organisation ne dispose pas d’une empreinte OT/IIoT significative.
L’étude souligne que l’IA et le cloud ne sont pas seulement des domaines d’investissement majeurs, mais aussi des cas d’utilisation privilégiés pour les services de sécurité gérés spécialisés. Les entreprises s’associent aux fournisseurs pour moderniser la livraison de leurs systèmes critiques, voyant ces services comme des accélérateurs stratégiques permettant de compenser un manque de compétences et d’apporter vitesse, échelle et savoir-faire.
Au cours des douze prochains mois, les organisations prévoient de recourir aux services gérés pour plusieurs domaines de leur programme de cybersécurité. L’IA arrive en tête avec 38 % des réponses, suivie par la sécurité du cloud (32 %) et la gestion des menaces (28 %). La protection et la confiance des données sont citées par 27 %, la sécurité réseau et le Zero Trust par 24 %, et la sécurité des terminaux par 19 %.
« Notre enquête révèle que les dirigeants d’entreprise américains considèrent la cybersécurité comme une priorité stratégique majeure, à une époque de changements technologiques rapides et d’incertitude géopolitique. Si la plupart des organisations reconnaissent l’urgence, beaucoup admettent que la résilience est encore en construction, avec seulement une poignée d’entre elles pleinement confiantes dans leurs défenses. L’IA devient un outil puissant pour combler les lacunes, mais les pénuries de talents, le sous-investissement dans les mesures proactives et la menace quantique émergente exposent des faiblesses. Le message est clair. »
Avinash Rajeev, Responsable des risques cyber, données et technologiques chez PwC US
« Dans un paysage des menaces défini par des adversaires étatiques et des groupes de cybercriminels de plus en plus sophistiqués, la résilience repose sur la maîtrise des fondamentaux : gestion de l’identité et des accès, segmentation réseau, sécurisation des environnements cloud, gestion des risques tiers et élaboration de plans d’intervention solides. L’exercice de ces plans et l’établissement de partenariats de confiance avec les forces de l’ordre transforment la préparation en réflexe. Chaque investissement dans la prévention, la détection et le développement des compétences réduit les failles que les adversaires cherchent à exploiter. »
Brett Leatherman, Directeur adjoint du FBI, Division Cyber
« Passer d’une défense réactive à une résilience proactive est une véritable opportunité pour les dirigeants de stimuler la croissance stratégique de l’entreprise. Cela nécessite un engagement fort de la direction générale, en utilisant des technologies puissantes comme l’IA et le cloud pour aider les équipes de sécurité à travailler plus intelligemment, pas seulement plus dur. Nous sommes optimistes quant à cet avenir, et c’est une mission que nous défendons aux côtés de nos clients. »
Nick Godfrey, Directeur principal et responsable mondial du bureau du CISO pour Google Cloud
La capacité à traduire les cyber-risques complexes en langage commercial et à communiquer que la cybersécurité est une responsabilité partagée est cruciale pour obtenir l’adhésion et la collaboration de la direction. Cette compréhension mutuelle soutient la gouvernance fondamentale, la résilience, la conformité réglementaire et les pratiques de réponse aux incidents. À l’avenir, les organisations devraient aborder proactivement les risques émergents en adoptant une approche « sécurisé dès la conception » et en utilisant les données pour identifier et justifier les investissements cyber les plus nécessaires.
Bien que l’informatique quantique ne représente pas une menace cyber immédiate, le retard dans la transition vers la cryptographie post-quantique pourrait exposer les données sensibles, les services d’authentification et les systèmes cryptographiques. Avec des délais de mise en œuvre s’étendant sur plusieurs années, la mise en place des fondations pour une sécurité résistante au quantique nécessite une action précoce. Actuellement, 29 % des organisations sont dans les phases de pilotage et de test, mais seules 22 % ont dépassé ce stade, et près de la moitié (49 %) n’ont pas encore envisagé ou initié de mesures de sécurité adaptées.
Les pénuries de main-d’œuvre dans le secteur de la cybersécurité continuent de ralentir les progrès, particulièrement alors que les organisations cherchent à opérationnaliser l’IA, à sécuriser des environnements complexes et à se préparer aux menaces de nouvelle génération. Les lacunes en matière de connaissances et de compétences ont été les principaux freins à la mise en œuvre de l’IA pour la cyber-défense, obligeant les entreprises à repenser leur montée en puissance. Nombre d’entre elles explorent de nouvelles voies pour acquérir ces compétences, notamment via des outils d’IA (53 %), des outils d’automatisation de la sécurité (48 %), la consolidation des outils cyber (47 %) et la formation continue ou la requalification (47 %). Les services gérés spécialisés sont également privilégiés, en particulier par les organisations ayant subi une attaque majeure (48 %).
Le rapport souligne une fois de plus que l’IA et le cloud sont des moteurs pour les services de sécurité gérés spécialisés, qui vont au-delà de la simple externalisation pour aider les entreprises à moderniser la livraison de leurs systèmes critiques.
