Mimecast, leader mondial de l’accompagnement des entreprises dans la gestion du risque humain, a publié aujourd'hui son rapport « State of Human Risk ». Celui-ci s’appuie sur les résultats d'une enquête mondiale menée auprès de 1 100 décideurs dans les secteurs de l’informatique et de la sécurité. Il donne une vision d’ensemble sur le paysage du risque humain et fournit des recommandations aux organisations afin de les aider à améliorer leur posture de cybersécurité et à optimiser leurs budgets.
96% des répondants affirment que l’adoption d’une stratégie formelle de cybersécurité a amélioré le niveau de risque de leur organisation (95% en France). Néanmoins, le rapport indique que les responsables de la sécurité en 2025 font face à un paysage de menaces de plus en plus complexe. Il révèle par ailleurs qu’en France, 35% des employés font face à un manque de connaissance et de compréhension des protocoles de sécurité.
Le rapport met notamment en lumière que :
L'IA représente à la fois une menace et une opportunité. 95 % affirment que leur organisation utilise l'IA pour se défendre contre les cyberattaques et/ou les menaces internes. En parallèle, 81 % expriment des préoccupations quant aux risques de fuites de données sensibles via les outils d'IA générative (82 % en France). Plus de la moitié affirment ne pas être entièrement préparés par le biais de stratégies spécifiques aux menaces liées à l'IA (55 % au niveau mondial). En France, 42% sont en partie préparés mais développent encore des stratégies de défense spécifiques à l’IA. Cependant, seulement 5% des entreprises françaises mettent régulièrement à jour leurs politiques de sécurité afin de faire face aux nouvelles tendances.
Les menaces internes à l’organisation ont des conséquences coûteuses. Réduire le risque externe reste un enjeu important pour les responsables de la sécurité. Ils doivent cependant être tout autant vigilants en matière de risque interne, qu’il soit intentionnel ou non. 57% des Français ont ainsi constaté une hausse des menaces internes ou des fuites de données en raison de comportements imprudents de la part des collaborateurs au cours des 12 derniers mois. Au niveau mondial, 66% s’attendent à une hausse des pertes de données au cours des 12 prochains mois. Le rapport a également révélé que l'exposition, la perte, la fuite ou le vol de données par une personne au sein de l’organisation lui coûte en moyenne 13,9 millions de dollars (19,76 millions de dollars en France).
Les budgets de cybersécurité augmentent, mais pas suffisamment pour répondre à la demande. Bien que 85 % des répondants aient indiqué que le budget de cybersécurité de leur organisation a augmenté au cours des 12 derniers mois, beaucoup affirment qu'un budget supplémentaire est nécessaire pour le personnel de cybersécurité et les services tiers (57 %), la sécurité des outils de collaboration (52 %) et la sécurité des emails (47 %). En France, 61% des répondants affirment que le budget de cybersécurité de leur organisation a augmenté de 1 à 24 % au cours des 12 derniers mois et 30 % des répondants de 25 à 49%.
Les organisations redoutent l'erreur humaine malgré la formation régulière. 87 % des décideurs en sécurité interrogés affirment que leur organisation forme ses employés à repérer les cyberattaques au moins une fois par trimestre (en France, 33 % des répondants indiquent que cette formation a lieu au moins une fois par mois). Malgré ces efforts, un tiers des répondants (31 % en France) redoutent les erreurs humaines dans la gestion par les collaborateurs des menaces par email. De plus, 27 % redoutent que la fatigue des employés entraîne des baisses de vigilance (23% en France). Un autre sujet concerne l’envoi par les collaborateurs de documents vers leur adresse mail personnelle : 90% des décideurs français estiment que leur organisation a besoin de davantage de visibilité sur cette pratique.
Les outils de collaboration continuent d’élargir la surface d'attaque. La sécurité des outils de collaboration demeure un levier d'attaque croissant. 44% ont ainsi signalé une augmentation de ce risque au cours des 12 derniers mois (56% en France). La majorité d'entre eux (61%) estiment qu'il est inévitable ou probable que leur organisation subisse un impact négatif lié à une attaque touchant un outil de collaboration en 2025 (61% en France) et 95% d’entre eux s'attendent à continuer de rencontrer des défis liés à la sécurité des emails. 83% des Français reconnaissent que l’utilisation d’outils collaboratifs génèrent de nouvelles menaces et failles de sécurité qui doivent être adressées urgemment. 69% affirment que la sécurité de la plupart des outils de collaboration natifs est insuffisante pour répondre à leurs besoins.
« Alors que 80 % des incidents de sécurité sont causés par 8 % des utilisateurs, la mise en place d'une approche complète de gestion du risque humain (HRM – Human Risk Management) est devenue une priorité absolue pour les professionnels de la sécurité en 2025 », a déclaré Masha Sedova, VP, Human Risk Strategist de Mimecast. « Les organisations sont confrontées à des défis complexes, tels que l'augmentation du risque interne, l'élargissement de la surface d'attaque créée par les outils de collaboration et les attaques sophistiquées grâce à l'IA. Les organisations sont néanmoins encore trop désireuses de se contenter d'apporter des solutions ponctuelles au problème. Avec des équipes informatiques et de sécurité en sous-effectifs et un paysage de menaces mouvant, les organisations doivent adopter une approche centrée sur l'humain qui relie les employés et la technologie pour garder l'entreprise en sécurité. »
Pour plus d'informations et des recommandations, vous pouvez télécharger l’intégralité de l’édition 2025 du rapport « The State of Human Risk »
96% des répondants affirment que l’adoption d’une stratégie formelle de cybersécurité a amélioré le niveau de risque de leur organisation (95% en France). Néanmoins, le rapport indique que les responsables de la sécurité en 2025 font face à un paysage de menaces de plus en plus complexe. Il révèle par ailleurs qu’en France, 35% des employés font face à un manque de connaissance et de compréhension des protocoles de sécurité.
Le rapport met notamment en lumière que :
L'IA représente à la fois une menace et une opportunité. 95 % affirment que leur organisation utilise l'IA pour se défendre contre les cyberattaques et/ou les menaces internes. En parallèle, 81 % expriment des préoccupations quant aux risques de fuites de données sensibles via les outils d'IA générative (82 % en France). Plus de la moitié affirment ne pas être entièrement préparés par le biais de stratégies spécifiques aux menaces liées à l'IA (55 % au niveau mondial). En France, 42% sont en partie préparés mais développent encore des stratégies de défense spécifiques à l’IA. Cependant, seulement 5% des entreprises françaises mettent régulièrement à jour leurs politiques de sécurité afin de faire face aux nouvelles tendances.
Les menaces internes à l’organisation ont des conséquences coûteuses. Réduire le risque externe reste un enjeu important pour les responsables de la sécurité. Ils doivent cependant être tout autant vigilants en matière de risque interne, qu’il soit intentionnel ou non. 57% des Français ont ainsi constaté une hausse des menaces internes ou des fuites de données en raison de comportements imprudents de la part des collaborateurs au cours des 12 derniers mois. Au niveau mondial, 66% s’attendent à une hausse des pertes de données au cours des 12 prochains mois. Le rapport a également révélé que l'exposition, la perte, la fuite ou le vol de données par une personne au sein de l’organisation lui coûte en moyenne 13,9 millions de dollars (19,76 millions de dollars en France).
Les budgets de cybersécurité augmentent, mais pas suffisamment pour répondre à la demande. Bien que 85 % des répondants aient indiqué que le budget de cybersécurité de leur organisation a augmenté au cours des 12 derniers mois, beaucoup affirment qu'un budget supplémentaire est nécessaire pour le personnel de cybersécurité et les services tiers (57 %), la sécurité des outils de collaboration (52 %) et la sécurité des emails (47 %). En France, 61% des répondants affirment que le budget de cybersécurité de leur organisation a augmenté de 1 à 24 % au cours des 12 derniers mois et 30 % des répondants de 25 à 49%.
Les organisations redoutent l'erreur humaine malgré la formation régulière. 87 % des décideurs en sécurité interrogés affirment que leur organisation forme ses employés à repérer les cyberattaques au moins une fois par trimestre (en France, 33 % des répondants indiquent que cette formation a lieu au moins une fois par mois). Malgré ces efforts, un tiers des répondants (31 % en France) redoutent les erreurs humaines dans la gestion par les collaborateurs des menaces par email. De plus, 27 % redoutent que la fatigue des employés entraîne des baisses de vigilance (23% en France). Un autre sujet concerne l’envoi par les collaborateurs de documents vers leur adresse mail personnelle : 90% des décideurs français estiment que leur organisation a besoin de davantage de visibilité sur cette pratique.
Les outils de collaboration continuent d’élargir la surface d'attaque. La sécurité des outils de collaboration demeure un levier d'attaque croissant. 44% ont ainsi signalé une augmentation de ce risque au cours des 12 derniers mois (56% en France). La majorité d'entre eux (61%) estiment qu'il est inévitable ou probable que leur organisation subisse un impact négatif lié à une attaque touchant un outil de collaboration en 2025 (61% en France) et 95% d’entre eux s'attendent à continuer de rencontrer des défis liés à la sécurité des emails. 83% des Français reconnaissent que l’utilisation d’outils collaboratifs génèrent de nouvelles menaces et failles de sécurité qui doivent être adressées urgemment. 69% affirment que la sécurité de la plupart des outils de collaboration natifs est insuffisante pour répondre à leurs besoins.
« Alors que 80 % des incidents de sécurité sont causés par 8 % des utilisateurs, la mise en place d'une approche complète de gestion du risque humain (HRM – Human Risk Management) est devenue une priorité absolue pour les professionnels de la sécurité en 2025 », a déclaré Masha Sedova, VP, Human Risk Strategist de Mimecast. « Les organisations sont confrontées à des défis complexes, tels que l'augmentation du risque interne, l'élargissement de la surface d'attaque créée par les outils de collaboration et les attaques sophistiquées grâce à l'IA. Les organisations sont néanmoins encore trop désireuses de se contenter d'apporter des solutions ponctuelles au problème. Avec des équipes informatiques et de sécurité en sous-effectifs et un paysage de menaces mouvant, les organisations doivent adopter une approche centrée sur l'humain qui relie les employés et la technologie pour garder l'entreprise en sécurité. »
Pour plus d'informations et des recommandations, vous pouvez télécharger l’intégralité de l’édition 2025 du rapport « The State of Human Risk »
