La cyber-résilience devient une question de survie Risk-in

Comment l'IA, la dépendance au cloud et les nouveaux modèles de gouvernance obligent les entreprises à repenser la sécurité et les risques.

Lors de la conférence Risk-!n 2026 de cette année, il est apparu clairement que la cybersécurité n’est plus une question informatique isolée. Elle est en train de devenir une question centrale pour la résilience, la gouvernance et la prise de décision stratégique des entreprises. C’est ce qu’a démontré de manière particulièrement impressionnante le discours de Shira Kaplan intitulé « Protecting what matters : Le rôle de la cybersécurité dans la résilience des entreprises d’aujourd’hui » et dans la discussion entre Mario Keil et Stefan Gershater.

Shira Kaplan, fondatrice de Cyverse AG, a brossé le tableau d’un monde d’entreprise dans lequel les dépendances numériques augmentent de manière exponentielle. Dans le passé, les organisations étaient comme des châteaux avec des murs clairement définis : des centres de données centraux, des réseaux internes et un accès clairement contrôlé. Aujourd’hui, cependant, une entreprise est constituée d’un « maillage de confiance distribué » très complexe de services en nuage, de plateformes SaaS, de prestataires de services externes, d’employés à distance et, de plus en plus, d’agents d’intelligence artificielle. Cela augmente considérablement la surface d’attaque. La cyber-résilience ne consiste donc plus à « tout » protéger, mais à comprendre exactement quels systèmes et processus ne doivent jamais tomber en panne.

Quand l’IA devient une arme d’attaque

M. Kaplan est particulièrement critique à l’égard de la rapidité des évolutions actuelles. Quatre courbes s’accélèrent simultanément : les capacités des attaquants, les exigences réglementaires, la dépendance numérique et la diffusion de l’intelligence artificielle. Depuis la sortie de ChatGPT, le nombre de sites de phishing générés par l’IA a explosé. Dans le même temps, de nouveaux modèles comme Claude Mythos réduisent considérablement le temps entre la découverte d’une vulnérabilité et son exploitation. L’IA devient donc à la fois une arme de défense et d’attaque. « L’IA attaque l’IA », a déclaré M. Kaplan pour résumer la situation.

Les agents d’intelligence artificielle, une nouvelle source de risque

L’un des principaux thèmes de sa présentation était les agents d’intelligence artificielle. Les entreprises les utilisent de plus en plus comme des assistants numériques capables de lire des courriels, de déclencher des flux de travail, de modifier des bases de données ou même d’effectuer des paiements. Cela soulèverait de nouveaux problèmes de sécurité. Mme Kaplan a comparé les agents d’IA à des « employés subalternes » : rapides, efficaces et utiles, mais potentiellement dangereux sans supervision. C’est pourquoi des identités claires, des droits d’accès minimaux, l’approbation humaine des décisions critiques et des « kill switches » (interrupteurs d’urgence) sont nécessaires pour pouvoir désactiver immédiatement les agents en cas d’urgence.

Le nouveau danger systémique de la dépendance à l’égard de l’informatique dématérialisée

Le thème de la dépendance à l’égard de l’informatique en nuage a également joué un rôle central. M. Kaplan a mis en garde contre les risques de concentration invisible de la part d’hyperscalers tels que AWS, Microsoft Azure ou Cloudflare. Les entreprises deviendraient de plus en plus dépendantes de quelques plateformes mondiales. La défaillance d’un de ces fournisseurs pourrait affecter des secteurs entiers en même temps. Dans ce contexte, Kaplan a parlé d’une nouvelle forme de risque systémique, comparable aux mécanismes de la crise financière de 2008, cedémat qui explique l’émergence d’un nouveau marché pour « l’assurance contre la défaillance du système », c’est-à-dire l’assurance contre la défaillance des plates-formes technologiques critiques.

Pourquoi la gestion traditionnelle des risques ne suffit plus

Parallèlement, la discussion entre Mario Keil, responsable des ventes DACH Corporater, et Stefan Gershater, responsable des risques et de la gouvernance The Co-operative Group (UK), a montré à quel point la compréhension de la gouvernance, des risques et de la conformité est également en train de changer. M. Gershater, ancien responsable des risques du groupe britannique The Co-operative Group, a remis fondamentalement en question la gestion traditionnelle des risques. Il s’est décrit comme un autiste atteint de TDAH et un « sceptique de la GRC » et a expliqué de manière provocante que la plupart des solutions sur le marché ne sont en fin de compte que des bases de données relationnelles avec différentes interfaces utilisateur. L’erreur principale de nombreux systèmes est qu’ils commencent par les risques au lieu des objectifs de l’entreprise et de la création de valeur.

Des décisions au lieu de registres de risques

Pour M. Gershater, l’accent n’est pas mis sur le risque, mais sur la question de savoir comment les entreprises peuvent prendre de meilleures décisions plus rapidement. Au lieu d’utiliser des registres de risques et des cartes thermiques, il a toujours commencé les discussions avec les chefs d’entreprise par leurs objectifs : Croissance, rentabilité ou nouveaux modèles d’entreprise. Les risques ne sont pertinents que lorsqu’il est clair quelle valeur une entreprise veut protéger ou créer. Il a également communiqué cette façon de penser à sa propre équipe. Quiconque entame une discussion par « Quels sont vos risques ? » a déjà perdu.

Scepticisme à l’égard de l’engouement pour l’IA dans la gestion des risques

Son attitude sceptique à l’égard de l’IA dans la gestion des risques était également intéressante. Selon lui, de nombreuses applications actuelles de l’IA relèvent essentiellement du marketing. Pour Gershater, la véritable valeur ajoutée à l’avenir résidera moins dans l’évaluation automatisée des risques que dans l’analyse des causes : Comment un risque externe influence-t-il les processus internes et, en fin de compte, la stratégie de l’entreprise ? C’est précisément là que les modèles d’apprentissage automatique pourraient contribuer à rendre visibles des relations complexes à l’avenir.

La résilience devient une compétence stratégique de base

Les deux contributions ont clairement montré que les entreprises sont aujourd’hui confrontées à un double défi. D’une part, les risques technologiques augmentent rapidement en raison de l’IA, des dépendances au cloud et des réseaux numériques. D’autre part, les modèles traditionnels de gouvernance et de risque ne suffisent plus à gérer cette complexité. La résilience n’est plus créée uniquement par des pare-feu ou des listes de contrôle de conformité, mais par une compréhension approfondie de la création de valeur, des dépendances et des processus de prise de décision.

La conférence Risk-!n 2026 a ainsi démontré de manière impressionnante que la cybersécurité, la gouvernance et la stratégie d’entreprise fusionnent de plus en plus. Si vous voulez gérer les risques avec succès à l’avenir, vous devez non seulement sécuriser la technologie, mais aussi et surtout comprendre quels sont les objectifs commerciaux et les processus critiques à protéger.

Binci Heeb

Tags: #Agents d'intelligence artificielle #AI #Arme d'attaque #Conférence Risk-!n 2026 #Cyber Resilience #Dépendance à l'égard de l'informatique en nuage #Gestion des risques #Question de survie #Registre des risques #Resilience #Scepticisme

« La fraude n’est pas de la malchance – la fraude est la quittance

Les économies occidentales ont-elles connu leur moment Kodak (II) ? »