Chaque année, le rapport Voice of the CISO de Proofpoint fait le point sur les observations et perspectives des responsables de la cybersécurité en première ligne. 2025 marque un tournant pour les RSSI qui sont confrontés à un paysage de cybermenaces persistantes, à des environnements de données complexes, à des technologies émergentes telles que l'IA générative ainsi qu'à des pressions croissantes tant sur le plan professionnel que personnel.
Basé sur une enquête mondiale menée auprès de 1 600 RSSI de 16 pays, ce rapport offre un regard sur les défis et les priorités des RSSI, ainsi que sur l'évolution de leur rôle. Vous trouverez ci-dessous les constats les plus intéressants relatifs à sept thématiques clés.
1. Entre confiance et préoccupations
Si 67 % des RSSI pensent posséder une culture de la cybersécurité robuste, 76 % d'entre eux estiment que leur entreprise risque d'être la cible d'une cyberattaque d'envergure au cours des 12 prochains mois, contre 70 % en 2024. Ce paradoxe ne fait que refléter un sentiment de plus en plus généralisé : les compromissions sont désormais jugées inéluctables plutôt qu'évitables.
Cette inquiétude croissante n'est pas sans fondement. Deux tiers (66 %) des RSSI ont signalé une importante fuite d'informations sensibles au cours des 12 derniers mois, alors qu'ils n'étaient que 46 % en 2024. En dépit des investissements consentis dans le renforcement de la sécurité et la sensibilisation, plus de la moitié (58 %) d'entre eux se sentent insuffisamment préparés en cas de cyberattaque en 2025.
2. Des cybermenaces de toutes parts
Face à une telle variété de menaces, l'avis des RSSI est partagé quant à ce qui constitue la principale cybermenace. La fraude par email et les menaces internes se partagent la première place (37 %), suivies de près par les ransomwares (36 %), la prise de contrôle de comptes (34 %) et les attaques de la chaîne logistique (33 %).
Le dénominateur commun de toutes ces menaces ? Les fuites de données. Indépendamment du vecteur d'attaque, les informations sensibles restent très convoitées par les cybercriminels. Il n'est donc pas étonnant que deux tiers (66 %) des répondants déclarent que leur entreprise serait susceptible de payer une rançon pour restaurer les systèmes ou empêcher la divulgation de données par un cybercriminel.
3. Une prolifération des données plus rapide que les contrôles de sécurité mis en place
Nous n'assistons pas tant à une augmentation du volume des données mais bien à une véritable explosion de celles-ci dans les clouds, les terminaux et les outils d'IA générative. Cette vaste distribution des données complique considérablement leur classification, leur gouvernance et leur protection. Si 98 % des RSSI déclarent avoir mis en place un programme de prévention des fuites de données (DLP), seuls 6 % possèdent des ressources dédiées pour le gérer.
Et les résultats le prouvent : 66 % des RSSI ont été victimes d'une fuite de données majeure au cours des 12 derniers mois. Il est à souligner que les principales causes sont d'origine humaine, qu'il s'agisse d'utilisateurs internes négligents, malintentionnés ou qu'ils aient été victimes d'une compromission. Comme l'explique Phil Ross, RSSI de la compagnie aérienne Air New Zealand, « les fuites de données ne se produisent pas par magie. Ce sont les utilisateurs qui les déclenchent ».
4. Le problème humain persiste
Les collaborateurs constituent l'actif le plus précieux d'une entreprise, mais également sa plus grande cybervulnérabilité. 66 % des RSSI reconnaissent que le risque humain est la principale menace de cybersécurité à laquelle leur entreprise est confrontée — même si 68 % estiment que les collaborateurs comprennent le rôle qu'ils ont à jouer dans la protection des données.
Quoi qu'il en soit, il apparaît qu'une protection centrée sur les personnes adaptée fait défaut à bon nombre d'entreprises. Les formations sur la sécurité destinées aux collaborateurs figurent loin dans le classement des technologies déployées et seuls 70 % des entreprises possèdent un programme de gestion des risques internes dédié. Ce décalage entre la sensibilisation perçue et le comportement réel des collaborateurs reste une ombre majeure au tableau.
5. Des restrictions à la gouvernance avec l'IA
L'IA générative est désormais une constante dans le monde des entreprises mais aussi dans le paysage des menaces. 60 % des RSSI considèrent l'IA générative comme un risque de sécurité (contre 54 % l'année dernière). Parmi leurs principales inquiétudes, citons les fuites de données au travers d'outils publics d'IA générative, l'utilisation de plates-formes de collaboration telles que Slack et Teams, ainsi que la facilité avec laquelle les collaborateurs peuvent créer et partager des données sensibles en dehors du périmètre de protection traditionnel.
Cela étant, les RSSI sont conscients du potentiel de l'IA. 64 % déclarent qu'une utilisation sécurisée de l'IA est une des grandes priorités des deux prochaines années et 68 % s'intéressent aux fonctionnalités optimisées par l'IA pour se protéger des erreurs humaines et des menaces avancées.
6. Évolution de la position des RSSI au sein des conseils d'administration
Après avoir culminé en 2024, l'entente entre les RSSI et leur conseil d'administration semble régresser. Cette année, seuls 64 % des RSSI disent s'entendre avec leur conseil d'administration sur la question de la cybersécurité, contre 84 % l'année dernière. Dans le même temps, 66 % seulement estiment que les membres du conseil d'administration devraient avoir une expertise en cybersécurité, alors qu'ils étaient 84 % auparavant.
Toutefois, l'on constate certains progrès. Pour la première fois, l'impact sur la valeur de l'entreprise est la principale préoccupation du conseil d'administration en cas de cyberattaque, ce qui dénote une appréciation plus stratégique du risque de la part de la direction.
7. Une pression croissante, un soulagement limité
Les pressions exercées sur le RSSSI restent constantes. 66 % se disent confrontés à des attentes excessives, un pourcentage identique à celui de l'année dernière mais supérieur à celui des années précédentes. Le plus préoccupant est que 67 % se sentent personnellement responsables d'un cyberincident alors même qu'ils ne sont pas plus de 67 % à estimer disposer des budgets, outils et personnels nécessaires pour réaliser leurs objectifs.
Mais tout n'est pas sombre pour autant. 65 % des RSSI indiquent que leur entreprise a pris des mesures pour éviter que leur responsabilité personnelle soit engagée en cas d'incident, ce qui permettra sans doute de limiter les cas de surmenage, en progression constante d'une année à l'autre.
Conclusion
L'édition 2025 du rapport Voice of the CISO dresse un portrait complexe : les responsables de la sécurité sont plus compétents et visibles que jamais, mais ils sont également plus vulnérables — aux attaques, au surmenage et à des attentes parfois déraisonnables.
Tout le défi consiste à présent à transformer la confiance de l'entreprise en véritable résilience. Cela signifie des technologies plus intelligentes, certes, mais aussi une gouvernance renforcée, un investissement accru dans le personnel et un véritable engagement de la part du conseil d'administration. L'évolution du paysage des menaces demande également de revoir l'approche de protection adoptée vis-à-vis de ce qui compte le plus pour une entreprise : ses collaborateurs et ses données.
Téléchargez l'intégralité du rapport Voice of the CISO 2025 ici.
Inscrivez-vous à notre prochain webinaire Voice of the CISO pour découvrir en direct les principales conclusions du rapport et les perspectives des RSSI.
