Cybersécurité 2026: maîtrisez-vous ces 5 risques?
Cybersécurité 2026: maîtrisez-vous ces 5 risques?
En 2025, la Suisse a enregistré 65’000 cyberincidents. Environ 25’000 PME ont été victimes d’une attaque grave et seules 42% d’entre elles s’estiment suffisamment préparées. Phishing assisté par l’IA, deepfakes et nouvelles obligations de signaler changent profondément les règles du jeu. Ces 5 risques détermineront votre capacité de résistance digitale en 2026.
Vulnérabilités non détectées et exploitables
Le problème: cela fait longtemps que les pare-feu et les logiciels antivirus ne suffisent plus. Même si les scans de vulnérabilités classiques identifient des milliers de failles, ils ne permettent pas de déterminer lesquelles peuvent réellement être exploitées par un attaquant dans votre environnement. C’est précisément là que se situent les véritables portes d’entrée, souvent par l’intermédiaire de fournisseurs compromis. Seules 20% des PME suisses se sont déjà soumises à un audit de cybersécurité.
La solution: effectuer des tests d’intrusion réguliers et une validation des chemins d’attaque (Attack Path Validation) plutôt que de se limiter à de simples listes de vulnérabilités, mettre en place une gestion des vulnérabilités avec une priorisation selon leur exploitabilité réelle, et réaliser des contrôles de sécurité des fournisseurs critiques.
Sécurité de l’information et responsabilité personnelle de la direction
Le problème: en cas de négligence grave, la direction engage sa responsabilité personnelle et pénale, pas celle de l’entreprise. La pression réglementaire s’est également intensifiée: révision de la loi sur la protection des données (LPD), obligation de signaler les incidents sous 24 heures auprès de l’Office fédéral de la cybersécurité (OFCS), Directive européenne NIS2 via des clients de l’UE, Cyber Resilience Act qui entrera en vigueur en 2027. Réduire la cybersécurité à un simple centre de coûts conduit à sous-estimer sa valeur réelle, notamment pour la confiance, l’accès au marché et l’avantage concurrentiel.
La solution: privilégier des cadres pragmatiques tels que les CIS Controls ou le NIST CSF plutôt que des certifications lourdes, définir clairement les responsabilités au niveau C-Level, recourir au CISO-as-a-Service et positionner la cybersécurité comme un argument commercial.
Absence de préparation en cas de crise
Le problème: seules 30% des PME suisses disposent d’un plan d’urgence. En situation de crise, chaque heure compte et le délai de 24 heures imposé par l’obligation de signaler à l’OFCS ne laisse aucune marge de manœuvre. Un concept de 200 pages rangé dans un placard n’est d’aucune aide à 3 heures du matin.
La solution: mettre en place un plan d’urgence pragmatique, basé sur des check-lists et playbooks, permettant de guider pas à pas la gestion d’un incident, plutôt que de s’appuyer sur une encyclopédie. Ce plan doit définir des rôles clairs, des voies précises pour remonter les informations, inclure des sauvegardes hors ligne testées, prévoir une communication de crise prédéfinie et des partenaires externes (forensique, juridique) identifiés à l’avance.
Phishing assisté par l’IA et fraude par deepfake
Le problème:les e-mails de phishing générés par l’IA sont désormais quasiment indétectables. Des cas de fraude au CEO via deepfake audio ont déjà été documentés dans des banques suisses en 2025. Une formation de sensibilisation annuelle ne suffit plus face à des attaques qui évoluent chaque mois.
La solution: concevoir les processus internes de manière à empêcher les paiements non autorisés, par exemple au moyen du principe du double contrôle et des procédures de rappel via des canaux connus pour chaque transaction. La sensibilisation des collaboratrices et collaborateurs doit être continue tout au long de l’année: effectuer régulièrement des simulations de phishing courtes et organiser des exercices «tabletop», plutôt que des formations ponctuelles.
Attaques par rançongiciels (ransomware): les sauvegardes seules ne suffisent plus
Le problème: en 2025, 104 attaques par rançongiciels ont été signalées à l’OFCS en Suisse. Le dommage moyen pour une PME s’élevait à 84’000 francs. Les attaquants modernes exfiltrent les données avant le chiffrement et menacent ensuite de les publier. Une sauvegarde seule ne suffit plus. Par ailleurs, la révision de la LPD prévoit des amendes en cas de fuite de données.
La solution: opter pour une défense à plusieurs couches plutôt que pour une simple stratégie de sauvegarde: octroyer uniquement les droits strictement nécessaires (principle of least privilege), mettre en place des sauvegardes hors ligne en lecture seule selon la règle 3-2-1, déployer une authentification multi-facteurs, segmenter le réseau et s’appuyer sur un SOC (Security Operations Center) afin d’assurer une surveillance continue des activités suspectes et de détecter l’exfiltration de données avant le chiffrement.
Ce que les entreprises devraient faire dès maintenant
Les cyberattaques évoluent plus rapidement que jamais sur les plans technique, organisationnel et réglementaire. Pour rester résilientes en 2026, les entreprises ont besoin de plus que de simples mesures de sécurité isolées. Il est essentiel qu’elles établissent une stratégie de sécurité globale, mettent en place des processus clairs, effectuent des tests réguliers et sensibilisent leurs collaboratrices et collaborateurs.
