Quelles priorités pour les CISO en 2026?
Les cyberattaques évoluent plus rapidement que jamais et ciblent les systèmes informatiques, cloud, OT et IA. Dans le même temps, les exigences imposées aux CISO continuent de croître, dans l’objectif de rétablir la transparence et le contrôle sur des écosystèmes numériques complexes. Le Swisscom Cybersecurity Threat Radar 2026 identifie les principaux risques et explique comment les approches TDR modernes permettent aux entreprises de retrouver leur capacité d’action.
Avril 2026, Texte Andreas Heer 4 Min.
Il est un peu plus de trois heures et demie du matin lorsque plusieurs voyants d’alerte se mettent à clignoter simultanément dans la salle de contrôle d’un grand groupe industriel suisse. D’abord un message indiquant des tentatives de connexion inhabituelles dans un environnement cloud, puis quelques minutes plus tard, des anomalies dans le réseau de production, suivi du déploiement soudain et automatisé d’une «mise à jour de routine» dans un logiciel s’avérant être un composant d’un système de commande critique. Aucun de ces éléments pris isolément ne semble suspect. Mais mises bout à bout, ces actions forment un schéma – un schéma qui n’est reconnu que tardivement, car les signaux sont dispersés dans la chaîne d’approvisionnement entre l’informatique, le cloud, la technologie opérationnelle (OT) et les prestataires de services externes.
Tandis que l’ingénieure appelée·en urgence vérifie les machines à la recherche d’un éventuel piratage, l’équipe chargée de la sécurité tente de déterminer s’il s’agit de fausses alertes, de processus d’IA non sécurisés ou du début d’une attaque visant la chaîne d’approvisionnement. Et bientôt, il apparaît qu’il s’agit de tout cela à la fois.
Ce scénario fictif, c’est la réalité dans laquelle évoluent les entreprises suisses en 2026. L’état des menaces englobe différents domaines d’infrastructures, évolue de manière dynamique et modifie fondamentalement le rôle des CISO. Le Swisscom Cybersecurity Threat Radar 2026 le prouve: pour rester résilient, il faut considérer la Threat Detection and Response (TDR) comme un outil central et non comme un projet technologique.
Le dilemme de la direction: comment garder le contrôle dans un monde fluctuant?
En 2026, les CISO sont confrontés à une situation paradoxale: la technologie offre plus de possibilités que jamais, mais elle s’accompagne d’une dépendance croissante vis-à-vis de tiers, de systèmes automatisés et de décisions basées sur l’IA qui sont difficilement compréhensibles. L’article Radar identifie quatre domaines de risque qui redéfinissent le rôle des CISO: les incertitudes liées à l’IA, les risques présentés par la chaîne d’approvisionnement, la souveraineté numérique et la sécurité OT.
Ces domaines sont moins techniques que stratégiques: ils concernent la gouvernance, la responsabilité, la visibilité et la résilience. L’approche TDR devient ainsi un instrument de gestion qui assure une transparence vis-à-vis des risques afin de garantir les conditions nécessaires à un fonctionnement sûr et rentable.
Vue d’ensemble des domaines de risque:
Les incertitudes liés à l’IA – le nouvel angle mort sur le radar des CISO
Les modèles et les agents d’IA prennent des décisions qui ne sont ni documentées ni vérifiables. Cela a un impact direct sur l’approche TDR:
- La détection classique perd en efficacité, car les décisions de l’IA ne sont pas vérifiables
- De nouvelles surfaces d’attaque apparaissent au sein des organisations: le code généré par l’IA («vibe coding») peut présenter des failles de sécurité, des fuites de données dues à l’injection de prompts, avec les agents IA pouvant servir de porte d’entrée
- Shadow AI contourne les mesures de sécurité officielles, par exemple lorsque du personnel utilise des services d’IA générative non autorisés avec des données confidentielles
Une gouvernance de l’IA devient essentielle pour réglementer l’utilisation de l’IA, tout comme l’inventaire et la surveillance des modèles et des agents d’IA exploités.
Chaînes d’approvisionnement logicielles – la transparence comme nouvelle monnaie de référence
Les attaques visant l’écosystème npm (Node.js) et la récente compromission de la célèbre bibliothèque Python LiteLLM montrent que les modules compromis constituent aujourd’hui un vecteur d’attaque efficace pour introduire du code malveillant dans les applications d’entreprise et les processus de développement logiciel. C’est une réalité depuis longtemps: les entreprises ne contrôlent plus elles-mêmes une grande partie de leur code.
Une approche TDR fonctionnelle doit donc couvrir les pipelines de conception, les fournisseurs, les SBOM et les mécanismes de mise à jour. L’intégrité et l’origine des composants logiciels deviennent des indicateurs stratégiques, comparables à l’audit financier.
Souveraineté numérique – le fondement stratégique de l’approche TDR
L’externalisation vers le cloud, les modèles SaaS et l’utilisation croissante de l’automatisation par l’IA renforcent la dépendance vis-à-vis des prestataires de services externes et compliquent ainsi le contrôle direct des données, des processus et des risques. Parallèlement, la loi suisse sur la protection des données (LPD) et le RGPD européen exigent la transparence quant au traitement des données.Un contrôle complet de tous les processus numériques est difficilement réalisable dans des écosystèmes interconnectés à l’échelle mondiale. La souveraineté numérique reste donc un objectif ambitieux. Elle suppose que les entreprises gèrent stratégiquement leurs dépendances, développent un savoir-faire technique et sélectionnent leurs partenaires ou la chaîne d’approvisionnement en connaissance de cause. Les entreprises doivent donc gérer activement leurs risques.
L’approche TDR concerne précisément ces dépendances et ces facteurs de risque: elle met en évidence les menaces, les flux de données et les schémas comportementaux. Sans cette transparence, ni contrôle ni véritable résilience ne sont possibles. La TDR devient ainsi la condition préalable à la prise de décisions souveraines.
Sécurité OT – quand la cybersécurité devient concrète
Les environnements de production, les installations énergétiques et les systèmes médicaux ne sont pas faciles à pirater. Mais avec la mise en réseau croissante, les frontières entre l’IT et l’OT (Operational Technology) s’estompent, offrant de nouvelles surfaces d’attaque aux cybercriminels. Les risques sont aussi bien opérationnels, au sens de perturbations de la production et de risques d’approvisionnement, que critiques pour la réputation. En outre, la pression réglementaire sur les infrastructures critiques augmente, notamment en ce qui concerne la norme minimale relative aux TIC et la directive NIS2.
Les CISO doivent fusionner l’IT et l’OT en matière de détection des menaces, tant sur le plan organisationnel que technique. Cela nécessite un SOC convergent, des processus coordonnés et des mécanismes de détection spécifiques à l’environnement OT.
Les priorités stratégiques en 2026
Les tendances actuelles, tant dans le domaine de la cybersécurité que de l’informatique en général, déterminent la feuille de route d’un CISO et définissent ses priorités stratégiques. Les aspects suivants devraient notamment figurer tout en haut de cette liste:
Créer de la transparence
- Mise en place d’une infrastructure de données centralisée pour le monitoring sous la forme d’un «Unified Telemetry Fabric» regroupant tous les signaux de sécurité de l’IT, de l’OT, du cloud et de l’IA.
- Création d’inventaires pour les modèles d’IA, les types de logiciels, les chaînes d’approvisionnement et les dépendances critiques.
Renforcer la gouvernance
- Inclusion de la gouvernance de l’IA et de la chaîne d’approvisionnement au sein de la stratégie de cybersécurité de l’entreprise.
- Redéfinition des rôles, des responsabilités et des processus de validation afin d’intégrer les risques et les surfaces d’attaque provenant également des systèmes d’IA et OT.
Moderniser l’approche TDR
- Intégration des nomenclatures logicielles (SBOM) et surveillance des processus de développement (pipeline monitoring) pour détecter les manipulations à un stade précoce.
- Utilisation d’une analyse comportementale basée sur l’IA pour repousser les nouvelles attaques elles-mêmes basées sur l’intelligence artificielle.
Réorienter les structures organisationnelles
- Mise en place d’un SOC convergent qui combine la surveillance de l’infrastructure informatique classique et de l’OT.
- Promotion de la coopération interdisciplinaire entre la cybersécurité, le développement de logiciels (DevOps), la production, le service juridique et la science des données pour une gestion globale des risques complexes.
Prioriser la résilience
- Développement de playbooks de réponse aux incidents pour les scénarios complexes tels que les manipulations via l’IA, les défaillances dans la chaîne d’approvisionnement ou les attaques sur les installations de production.
- Mise en place de tests de stress et de simulations (Tabletop Exercises) afin d’entraîner les processus décisionnels de la direction dans des conditions réalistes.
La TDR n’est pas un outil, elle fait partie intégrante du travail de direction
L’année 2026 obligera les CISO à élargir leur activité: d’abord garants techniques, ils devront se transformer en catalyseurs de résilience et de souveraineté.
L’approche TDR constitue ainsi la pierre angulaire d’une stratégie de sécurité moderne: elle replace les alertes provenant de différentes sources dans leur contexte et apporte ainsi de la clarté dans un monde caractérisé par l’opacité, la complexité et le transfert des risques automatisé.
En associant TDR, contrôle et gouvernance dans tous les domaines, vous renforcez non seulement la cyberdéfense, mais aussi la capacité d’action de toute l’entreprise.