Radar RSSI 2026 : Top 30 des actions pour 2030

En bref

La cybersécurité est en pleine mutation, nécéssitant la mise en place de nombreuses actions à horizon 2030
Le tsunami règlementaire actuel poussent les organisations à évoluer rapidement
Les tensions géopolitiques redéfinissent les modèles IT et la résilience
Certains leviers sont essentiels pour des fondations robustes : visibilité, confiance, vitesse d’exécution
Une feuille de route opérationnelle est nécéssaire pour faire de la cybersécurité un levier stratégique durable

Alors que de nombreuses organisations achèvent la mise en œuvre de leur stratégie cybersécurité 2025, l’attention se tourne déjà vers l’avenir. Le prochain cycle stratégique, à l’horizon 2030, impose de repenser les priorités. Cette réflexion est d’autant plus cruciale que la nature des risques, des technologies et des contraintes réglementaires est en pleine mutation. Le cycle 2030 ne se limite pas à prolonger les actions menées jusqu’ici. Il requiert une vision intégrée et prospective, prenant en compte l’ensemble des périmètres, des systèmes, des processus et des acteurs.

Dans cette perspective, nous avons choisi de porter notre regard plus loin en identifiant le TOP 30 des actions à horizon 2030, dans le cadre de notre réflexion habituelle visant à construire le radar du RSSI. Nous avons travaillé en commun à l’échelle de Wavestone pour construire une trajectoire claire, intégrant les tendances, les risques et les leviers d’action, afin que la cybersécurité devienne un véritable levier d’accélération et de transformation, et non une simple fonction défensive. Cette trajectoire stratégique pour 2030 doit être adaptée à chacun des périmètres de nos clients.

Quatre forces pour structurer la roadmap cybersécurité à horizon 2030

Les chemins d’évolution sont multiples et dépendent de facteurs variés, tels que le secteur d’activité, la localisation géographique, les ressources disponibles et l’évolution de la menace. Nous pensons qu’il est utile de dégager les priorités nous semblant communes à de nombreux acteurs.

Évolution des menaces au-delà de l’infrastructure

Les attaques cyber se diversifient et deviennent plus sophistiquées. Les attaquants ciblent désormais non seulement l’infrastructure traditionnelle (postes de travail, Active Directory…), mais aussi les tiers : partenaires, fournisseurs et sous-traitants. Selon le Rapport CERT-Wavestone 2025, plus de la moitié des incidents impliquent ces acteurs, soulignant la nécessité de renforcer la gestion des risques et la surveillance des relations externes.

Le cloud, les plateformes SaaS et de messagerie instantanée sont devenus des cibles majeures car elles concentrent des données sensibles et des flux critiques, comme l’ont montré les attaques sur Salesforce à l’été 2025 (ouvre un nouvel onglet). Certaines attaques reposent sur l’infiltration directe de faux collaborateurs, illustrée par la stratégie nord-coréenne d’insertion de ses experts informatiques dans des entreprises occidentales, ou sur des techniques de social engineering. Les attaques deviennent également de plus en plus ciblées et adaptatives, ajustant leur mode opératoire aux vulnérabilités détectées, souvent grâce à l’automatisation et à l’intelligence artificielle.

Un tsunami réglementaire à juguler

Le paysage réglementaire en cybersécurité continue de se complexifier, avec l’adoption de nouveaux textes de plus en plus strictes et détaillées. Les régulateurs européens laissent entrevoir un allègement possible d’ici 2030, visant à harmoniser et simplifier certaines règles, mais à court terme, les entreprises doivent composer avec une multiplicité de cadres et de directives. Parmi les plus impactants figurent :

DORA : qui encadre la résilience opérationnelle dans le secteur financier
NIS2 : visant la sécurité des réseaux et systèmes d’information critiques, le Cyber Resilience Act, ainsi que l’AI Act pour l’intelligence artificielle.

Cette superposition de textes crée une couche réglementaire dense, qui exige des organisations d’optimiser l’implémentation et la conformité tout en maintenant leur agilité opérationnelle.

Transformations géopolitiques et découplage des activités

Les évolutions géopolitiques influencent directement les modèles IT et les stratégies de cybersécurité. Elles se traduisent par des exigences réglementaires spécifiques, telles que la localisation obligatoire des données ou l’utilisation de certaines technologies dans des pays comme la Chine. Des situations de conflits internationaux, comme celui entre l’Ukraine et la Russie, ont démontré la nécessité de prévoir des plans d’arrêt ou de transfert d’activités, afin de protéger les opérations critiques.

Ces transformations imposent aux organisations de passer d’une approche globale standardisée à des architectures plus régionales ou indépendantes des fournisseurs étrangers. Cette fragmentation géopolitique oblige à repenser la localisation des données, la continuité des opérations et la capacité à maintenir la sécurité et la résilience dans des environnements variés et parfois instables.

Transformation digitale boostée à l’IA

L’intelligence artificielle devient un facteur clé de la transformation numérique. Son adoption rapide transforme les processus métiers, accélère les échanges entre partenaires, qu’ils soient métiers ou technologiques, et modifie les surfaces d’attaque. Elle crée également de nouvelles exigences en matière de conformité et de sécurité. La complexité des décisions autonomes et le potentiel de manipulation malveillante nécessitent une vigilance particulière, afin de garantir la confiance et la résilience dans ce nouvel environnement numérique.

Le radar du RSSI 2026

Nous maintenons depuis plus de 10 ans un Radar du RSSI recensant l’ensemble des thématiques auxquelles les acteurs de la cybersécurité sont confrontés.

Les thèmes du Radar sont répartis en 3 niveaux :

Mature : thèmes pouvant et devant être maîtrisés par tout RSSI
Actualité : thèmes commençant à être traités de façon opérationnelle avec de premiers retours d’expérience pouvant être partagés
Emergent : sujets encore peu connus, en mouvement ou pour lesquels il n’existe pas de solutions évidentes (les identifier permet d’anticiper les évolutions futures et préparer l’organisation à leur arrivée)

L’identification des thématiques, leur positionnement et leurs analyses résultent d’un travail conjoint mené par les équipes de management de la practice cybersécurité de Wavestone dans l’ensemble des géographies du cabinet.

CISO Radar 2026 — Radar du RSSI 2026

Le Radar du RSSI et sa déclinaison pour construire le « Top 30 pour 2030 » présente une sélection des thématiques phares pour les professionnels de la cybersécurité et de la résilience opérationnelle, qu’ils sont amenés à manipuler dans leur activité.

Le visuel est organisé en cadrans qui délimitent des thématiques clés : identité, protection, détection, gestion des risques, conformité, continuité. Chacune de ces thématiques est divisée en trois niveaux de maturité : “Mature”, “Actualité” et “Emergent”.

**Identity & trust services**
AI for IAM, Predictive anti-fraud, Account takeover protection, CICD4IAM, Phishing resistant authn, Non-Human Identities, IAM of AI Agents, Security of admin accounts, Decentralized identities, IAM of Things, Converged identity platform, KMS, PKI, PAM, MFA, Unstructured data access, IAM orchestration, Adaptive authentication, Attribute access control, Extended enterprise IAM, IAM for OT, SAP IDM end of life, Identity Analytics, Identity Federation, OAuth2, IAMaaS, IAG & SoD, Customer IAM, Frontline workers IAM, CIdO Chief ID Off., Zero Standing Privilege, eIDAS, Id Threat DR, CIAM B2B2C, Post Quantum Crypto roadmap

**Protect**
DDoS prot., OT probe, AD Exit, Homomorphic encryption, EDR, CIEM, Crypto agility, IAM-OT, Micro
seg., CNAPP, Zero Trust Access, Secure Wkstn., Zero trust enabled app., Zero trust metrics, Tech debt mgt., IT/OT VOC, Containers, API security, Deep fake protection, AI agent & MCP security, SAST, Extended tier 0, AI based data classification, AI red teaming, Product security, DRM/DLP, AI risk assessment MLSecOps, OT DevSecOps, IT/OT convergence, AI for security, 0 day mgt., PLC code security, OPC UA deployment, AI-BoM, Digital twin, Bug Bounty

**Detect/respond**
CICD Security, DAST, SBOM/SCA, Auto Secret detection, Agentic AI cyber platform, Cyber data lake, Real-time AI response, Deception, CTEM/BAS/EASM/APM, RASP, Supply chain security, Cyber range, UEBA, Purple team, Threat-led risk analysis & pentest, SecApp SDLC Governance, Cloud based SIEM, SOC/Fusion centers (IT/OT/Product/Fraud), XDR, CTI, Red team, In-house CSIRT, Service catalog, ISMS

**Risk & governance**
Business App surveillance, Unified security by design (cloud/IT/OT/AI), DevSecOps automation, Cyber Sustainability, Talent Mgt., Value realization office, Trustworthy AI, Cyber efficiency & rationalization, Cyber Data & AI Office, Smart Sourcing, Risk Quantification, Insider Threat program, Real-time risk evaluation, Culture change, “All” Risk/IT/OT/Product/AI TOM, Small entity security, 4th party, Org. Risk Analysis, Global maturity framework, At scale 3rd party mgt, M&A at scale, IR retainer, Awareness, Insurance

**Compliance & privacy**
Unified compliance framework, Digital dependencies mapping, Sectorial Compliance, AI Act, DORA, Compliance assurance, Privacy mgt., By design compliance, resilience & security, Critical infra NIS2/REC, Product certif./CRA, Unified customer privacy rights, Synthetic data & anonymization, AI automated assurance, Critical business services id./MVC

**Operational resilience**
BIA, OpRes regulations, Workforce resilience, Crisis management, Severe but plausible scenarios (Inc. Geopolitics), Supply chain resilience, Multi-cloud continuity, DRP, AD rebuild, Decoupled IT, Red button, Stress test incl. 3rd party, Cloud erasure resilience, Crisis Info. System, Airgap storage & backup, OT Resilience, Resilience management tooling, Cyber vault, Fast IS rebuilding, Resilience culture, Isolated Recovery Env.

Accélérer la cybersécurité : vers une résilience numérique en temps réel

Les quatre forces identifiées imposent aux organisations de repenser leur posture de cybersécurité. La cybersécurité doit s’accélérer pour rester efficace face à des environnements de plus en plus dynamiques et complexes.

Trois axes structurants émergent alors pour le RSSI :

Visibilité : disposer d’une compréhension complète des systèmes, flux et risques, y compris sur les périmètres où elle est encore insuffisante
Confiance : garantir la sécurité et la fiabilité des informations, des identités et des processus critiques
Vitesse d’exécution : rapprocher la cybersécurité du temps réel et pour cela augmenter la qualité des données cyber, car l’efficacité des processus automatisés en dépend directement

Ces trois axes sont interdépendants et constituent la base pour accélérer la cybersécurité dans un environnement 2030 marqué par des menaces, contraintes et transformations continues.

Accroître la visibilité : intelligence artificielle, comportements et environnements OT/produits

La visibilité devient un levier stratégique essentiel sur l’intelligence artificielle, les comportements et les systèmes industriels et produits.

L’IA des métiers : des systèmes critiques à sécuriser

Notre conviction est que l’intelligence artificielle, au-delà des simples démonstrateurs, s’imposera comme un levier central de la transformation numérique. Sa généralisation modifie profondément les risques, les périmètres et les exigences de contrôle encore plus avec l’arrivée des agents IA. Ces évolutions imposent aux organisations de poursuivre et de renforcer leurs efforts en matière de gouvernance commune, formations, cadres méthodologiques et garde-fous ML/IA.

Gérer le cycle de vie des agents

La première priorité concerne la gestion des agents eux-mêmes. Certains seront rattachés à un utilisateur, d’autres à une fonction ou un service métier. La réalité combinera probablement les deux. Dans ce contexte, il faudra encadrer leur identité numérique, leurs accès et leurs interactions, en veillant à limiter la visibilité des données à ce qui est strictement nécessaire. Le rythme effréné des évolutions technologiques dans le domaine rend cette tâche complexe : les protocoles, cadres et outils changent plus vite que les normes ne s’établissent, obligeant les RSSI à une vigilance continue.

Savoir qualifier une IA de confiance

Le second enjeu réside dans la capacité à définir le niveau de confiance que l’on peut accorder à un système d’intelligence artificielle. Il faut le mesurer et en déduire le niveau d’autonomie (“human in the loop”, “human over the loop” ou “human out of the loop”). Ces niveaux devront être intégrés aux analyses de risque et vérifiés par des tests concrets, notamment via des exercices de red teaming IA capables d’évaluer la robustesse et les biais des modèles.

Renforcer la transparence de l’IA

La transparence devient un impératif. Les organisations devront comprendre comment leurs IA sont conçues et entraînées, en adoptant des pratiques de sécurité intégrées dès le design (Secure by Design, MLDevSecOps). L’émergence de pratiques comme l’“AI Bill of Materials”, explicitant les composant et données qui ont permis la création des modèles, facilitera la traçabilité et l’analyse des sources de données utilisés. Le SOC, quant à lui, devra apprendre à surveiller ces nouvelles entités numériques, à détecter les déviations de comportement, les injections de prompts ou les usurpations d’identités non humaines.

Visibilité 360° des comportements : prévenir la menace interne

La menace interne dépasse largement le cadre des simples employés imprudents : les attaquants exploitent de plus en plus de comptes légitimes pour mener leurs actions malveillantes. La menace interne s’étend désormais à l’ensemble des populations numériques, y compris les partenaires, les prestataires et les agents d’intelligence artificielle. La visibilité sur les comportements, humains comme machine, deviendra donc l’un des piliers de la cybersécurité d’ici 2030. Pour y répondre efficacement, il faudra :

articuler la surveillance autour d’une gouvernance transverse
déployer des outils d’analyse comportementale avancés (de type UEBA)
adopter une approche “trust & care” qui protège les collaborateurs tout en maintenant leur confiance

Articuler la surveillance autour d’une gouvernance transverse

Les organisations devront repenser leur gouvernance autour d’une approche véritablement transversale. La détection des comportements à risque ne relèvera plus du seul domaine de la cybersécurité : elle impliquera les ressources humaines, les achats, la lutte contre la fraude et le contrôle interne. Ensemble, ces fonctions devront concevoir des dispositifs cohérents permettant de surveiller, comprendre et contextualiser les signaux faibles en toute légalité et transparence. Cette approche devra aussi s’étendre aux agents d’intelligence artificielle, devenus eux-mêmes acteurs de l’écosystème opérationnel. Les scénarios de “menace interne” devront intégrer ces nouvelles entités numériques.

Déployer des outils d’analyse comportementale avancés (UEBA)

Sur le plan technologique, la visibilité sur les comportements reposera sur une nouvelle génération de solutions d’analyse comportementale, fondées sur l’IA et connectées au SOC. Ces outils permettront de corréler des signaux techniques et organisationnels aujourd’hui dispersés (fin d’un contrat de prestation, départ d’un collaborateur, demande au support, anomalie dans les accès ou les transferts de données, etc.) pour détecter plus tôt les situations à risque.

Adopter une approche transparente et constructive “trust & care”

L’objectif n’est pas d’instaurer une surveillance intrusive, mais d’adopter une logique “trust and care”, qui renforce la confiance des collaborateurs tout en les protégeant contre les dérives ou les compromissions potentielles. Ce programme devant intégrer dès sa conception les principes de proportionnalités, de transparence et une communication de qualité.

IT, OT et produits numériques : vers une convergence unifiée

La dernière zone sur laquelle les organisations devront renforcer leur visibilité concerne les environnements industriels et les produits numériques. La situation aujourd’hui est claire : la gouvernance est déjà partiellement convergée et les dispositifs de protection ont été déployés, mais il est désormais nécessaire de passer aux étapes suivantes pour construire un modèle sécurisé et cohérent sur l’ensemble de ces périmètres. Notre conviction c’est que, à l’horizon 2030, la distinction entre les mondes IT, OT et produits tendra à s’estomper. Les architectures, les protocoles et les technologies convergent progressivement, créant un continuum de systèmes interconnectés où les frontières historiques perdent leur sens opérationnel. Cette évolution impose de repenser les modèles de sécurité pour garantir une approche unifiée, cohérente et efficace sur l’ensemble de ces périmètres.

Créer un modèle de sécurité unifié

Si certaines entreprises ont déjà initié une convergence partielle de la gouvernance et des dispositifs de protection, cette intégration demeure incomplète. Il ne s’agit plus simplement d’appliquer des politiques communes, mais de bâtir une véritable continuité sécuritaire fondée sur les mêmes principes, les mêmes architectures et les mêmes technologies. Les environnements industriels adoptent de plus en plus des solutions historiquement réservées à l’IT : PLC virtualisés, protocoles de réseau de terrain basés sur IP, systèmes connectés en temps réel à des plateformes cloud, d’IA ou à des interfaces SaaS. Ces changements créent de nouvelles surfaces d’attaque et nécessitent une approche holistique de la cybersécurité.

L’un des chantiers structurants de cette convergence sera l’extension des dispositifs d’identité et de gestion des accès à l’OT. Aujourd’hui, les solutions d’IAM couvrent encore mal les environnements industriels, laissant en marge les opérateurs, les automates et les machines. D’ici 2030, il deviendra indispensable de mettre en place l’IAM-OT, une gestion des identités et des accès spécifiques aux environnements opérationnels, intégrée au modèle global de sécurité et adaptée aux contraintes des technologies industrielles souvent anciennes ou hétérogènes. Plusieurs organisations ont déjà commencé à explorer cette voie, conscientes qu’elle constitue un prérequis à toute visibilité et à toute résilience sur le long terme.

Préparer la vague de certifications

Du côté des produits numériques, une nouvelle exigence émerge avec l’arrivée de réglementations comme le Cyber Resilience Act en Europe ou le Cyber Trust Mark aux États-Unis. Ces cadres imposent aux fabricants non seulement de concevoir des produits sécurisés, mais aussi de démontrer cette sécurité par des certifications auto-gérées ou reposant sur des tiers évaluateurs. Une véritable vague de certification est donc à prévoir dans les années à venir, transformant la manière dont les produits sont conçus, testés et mis sur le marché. Ce chantier, entraîne un “flou de gouvernance” entre les équipes produit et les responsables cybersécurité, et devra être clarifié pour garantir, à l’échelle, la conformité et la confiance auprès des clients et partenaires.

Faire évoluer le SOC

Le SOC devra évoluer pour couvrir ces nouveaux périmètres hybrides. Il devra être capable de collecter et de corréler des signaux issus des environnements IT, OT et produits, de traiter de nouveaux protocoles et de réagir à des scénarios d’incident inédits. Cela impliquera la création de nouveaux “playbooks” de réponse, la définition de déclencheurs spécifiques et l’adaptation des outils d’analyse afin de détecter les signaux faibles, caractéristiques des environnements industriels. L’objectif est de construire un socle étendu, apte à surveiller de manière continue l’ensemble du système d’information et des infrastructures opérationnelles, tout en intégrant les exigences réglementaires croissantes liées à la sécurité des produits.

Renforcer la confiance

Au-delà d’augmenter la visibilité, des actions sont nécessaire pour renforcer la confiance qui, dans certains dispositifs ou mécanismes de sécurité, s’érode face aux changements technologiques et au contexte géopolitique.

Cryptographie : renouveler le chiffrement pour garantir la confiance

La cryptographie est désormais en risque face aux ordinateurs quantiques qui disposeront de la puissance nécessaire pour casser certains des algorithmes les plus importants aujourd’hui. Il ne s’agit plus seulement de prévoir l’avenir et de savoir quand ses ordinateurs seront disponibles, mais bien de se conformer aux exigences réglementaires : États-Unis, Union européenne et autres fixent 2030 comme échéance pour la mise à niveau sur la cryptographie post-quantique. Cette échéance, largement reconnue par les acteurs internationaux et les régulateurs, impose une transformation majeure des systèmes de chiffrement car les protocoles classiques sont présents dans de très nombreux systèmes. Les équipes devront donc anticiper et planifier cette migration vers des algorithmes post-quantiques, dans une logique de crypto-agilité permettant de mettre à jour les systèmes de manière continue sans repartir de zéro à chaque évolution technologique.

Définir une gouvernance dédiée

La mise en œuvre de cette transition exige une gouvernance claire et structurée. Les organisations devront définir les responsabilités et piloter un programme long terme. Plusieurs scénarios de pilotage sont possibles, impliquant soit les équipes cybersécurité, la production IT, voir celles en charge de l’obsolescence des systèmes. Il sera crucial de dresser une cartographie complète des usages du chiffrement afin de prioriser les systèmes et les données les plus sensibles dans la durée. L’accent devra être mis sur les informations qui doivent rester confidentielles le plus longtemps, minimisant ainsi le risque que des données capturées aujourd’hui puissent être déchiffrées demain grâce aux capacités quantiques.

Construire une roadmap de migration

La reconstruction du socle crypto deviendra un chantier stratégique. Cela impliquera la mise à jour des infrastructures fondamentales telles que les infrastructures de gestion de clé (PKI), les équipements stockant les clés (HSM) et les systèmes de gestion des clés (KMS). Le tout, en veillant à intégrer la capacité à migrer rapidement vers de nouveaux algorithmes. Une bonne pratique consiste à inclure, dès aujourd’hui, dans tous les contrats IT des clauses de prise en charge des algorithmes post-quantiques, ce qui facilitera les futures migrations et garantira que les partenaires et fournisseurs pourront eux aussi se conformer à ces exigences le moment venu.

Adopter un framework de crypto-agilité

La notion de crypto-agilité sera centrale. Les systèmes de chiffrement ne doivent pas être figés, car les nouvelles implémentations post-quantiques présenteront elles-mêmes des vulnérabilités potentielles de par leur jeunesse. La capacité à mettre à jour rapidement et de manière sécurisée ces algorithmes sera essentielle pour maintenir la confiance dans l’ensemble de l’écosystème. Les organisations devront donc concevoir leurs infrastructures pour qu’elles puissent évoluer continuellement, réduisant ainsi le besoin de grands programmes de migration coûteux et longs à déployer.

Résilience : fonctionner dans un monde numérique fragmenté

D’ici à 2030, les organisations devront apprendre à fonctionner dans un environnement fragmenté, où les ruptures géopolitiques, les interdictions technologiques ou les contraintes de souveraineté locale pourront survenir à tout moment. La résilience numérique constitue donc le second pilier fondamental pour renforcer la confiance dans un contexte en profonde mutation. Dans ce monde, les systèmes IT globaux, tels qu’ils existent aujourd’hui, ne pourront plus garantir la visibilité et le contrôle à une échelle internationale. La capacité à maintenir la continuité des opérations nécessitera donc une approche stratégique et proactive de la résilience.

Réévaluer les risques et dépendances numériques

La première étape consiste à cartographier précisément les actifs numériques et à mettre à jour le profil de risque associé. Non pas uniquement selon les critères techniques ou IT, mais en fonction des activités stratégiques et des zones dans lesquels le chiffre d’affaires de l’entreprise est réalisé. Cette cartographie permettra d’identifier les dépendances, de prioriser les actions et d’identifier les fonctions vitales à protéger en cas de crise, en tenant compte des spécificités régionales et sectorielles. Les scénarios de crise devront être révisés et enrichis pour intégrer de nouveaux déclencheurs, tels que le découplage d’un pays, le blocage de technologies ou la fragmentation d’internet, et s’assurer que les plans de continuité sont réalistes et applicables dans toutes les circonstances.

Découpler l’IT et autonomiser les systèmes critiques

La résilience implique de concevoir des environnements majoritairement isolés mais interconnectés, capables de fonctionner de manière autonome tout en conservant une coordination globale. Dans ce contexte, la cybersécurité devient un acteur central, car elle doit garantir que les zones isolées restent protégées tout en permettant une détection et une réponse coordonnées à l’échelle de l’organisation. Cette approche nécessite de repenser les architectures réseaux, de créer des zones sécurisées et de définir des mécanismes de communication et de supervision adaptés à un monde fragmenté.

Réviser les scénarios de crise et tester en conditions réelles

La confiance dans la résilience ne peut être théorique : elle doit être vérifiée par des tests rigoureux et réguliers. Ces exercices doivent inclure non seulement les systèmes internes, mais aussi les partenaires, les fournisseurs et, dans certains cas, les concurrents, afin de simuler des situations de crise réelles et d’évaluer la robustesse des plans de continuité. Seule une pratique régulière et immersive permettra de s’assurer que les organisations sont capables de réagir efficacement face à des scénarios complexes et imprévisibles, et de démontrer une résilience véritable aux parties prenantes internes et externes.

Identité : la fondation de la confiance numérique

L’identité est devenue le nouveau périmètre de sécurité : elle est continuellement ciblée par les attaquants, indispensable pour la détection des incidents et scrutée par la conformité. D’ici à 2030, elle deviendra la fondation de toutes les interactions numériques, qu’il s’agisse d’employés, de partenaires, de contracteurs ou d’agents d’intelligence artificielle. La multiplication des identités et leur exposition constante aux cyberattaques font de cette fonction un vecteur critique de sécurité. Mais aujourd’hui le paysage IAM est trop fragmenté en de multiples plateformes et responsabilités et ne peut plus faire face à cette transformation.

Unifier la gouvernance

Aujourd’hui, le paysage des systèmes de gestion des identités (IAM) est composé de multiples plateformes et solutions souvent isolées les unes des autres. Cette fragmentation ne pourra pas résister à l’accélération des usages numériques et à la complexification des menaces. La réponse consiste d’abord à unifier la gouvernance de toutes les identités au sein de l’entreprise, en intégrant l’ensemble des entités internes et externes. A l’exception, éventuellement, du Customer IAM, qui constitue un périmètre spécifique lorsqu’il implique des centaines de milliers de clients.

Mettre en place le nouveau rôle de Chief Identity Officer

La complexité et la criticité de la mise en place d’une identité comme base de la confiance numérique justifient l’émergence d’un nouveau rôle stratégique au sein des entreprises : le Chief Identity Officer. Ce leader aura pour mission de piloter la transformation de l’identité, d’assurer sa gouvernance unifiée, de superviser la plateforme centralisée et de garantir que l’organisation dispose d’une source fiable et vérifiable d’identité et d’accès pour toutes les opérations critiques. La fonction deviendra ainsi un levier clé pour renforcer la confiance interne et externe, soutenir la conformité réglementaire et sécuriser l’ensemble des interactions numériques dans un monde où les identités sont constamment sollicitées et attaquées.

Créer une Identity Control Tower pour permettre le Zero Trust

L’unification passe par la centralisation et la rationalisation des plateformes, créant une véritable « Identity Control Tower », source unique de confiance et pivot de toutes les opérations de sécurité, de détection et de conformité. Cette plateforme centralisée ne se limite pas à la gestion des identités. Elle doit devenir le support stratégique pour mettre en œuvre le modèle Zero Trust, en intégrant les mécanismes d’accès conditionnel, l’authentification adaptative et les principes de just-in-time et just-enough access. Ces fonctionnalités sont essentielles pour contrôler en temps réel qui accède à quoi, quand et dans quelles conditions, y compris pour les agents IA. Elles garantissent que les droits sont strictement limités au nécessaire et que la visibilité sur l’ensemble des identités est complète, contribuant à la sécurité et à la confiance organisationnelle.

Augmenter la vitesse

Aujourd’hui, les attaques et la défense sont amplifiées par l’intelligence artificielle, qui agit comme un véritable catalyseur, accélérant les processus à un rythme jamais vu auparavant, les exemples d’usage d’IA pour l’attaque comme la défense se multiplient. Nous pouvons citer deux projets emblématiques de cette accélération :

CVE Génie de l’université de Californie qui a créé une IA permettant d’écrire les codes d’exploitation associés aux vulnérabilités publiées par les éditeurs. Ce moteur a permis de recréer, pour quelques dollars par faille, des codes d’attaques exploitables automatiquement.
aixCC de l’entité DARPA du ministère des armées américains. Il s’agit d’un concours qui a vu des équipes s’affronter pour créer une IA qui analyse des codes sources, trouvent des failles, les corrigent et s’assure que le code passe les tests requis pour une mis en production. Les résultats ont été particulièrement impressionnants avec en moyenne un coût de 450$ et un délai de 45 minutes pour corriger des failles.

Cette accélération transforme profondément la manière dont la cybersécurité doit fonctionner. Pour que les organisations puissent continuer à garantir résilience numérique et confiance à horizon 2030, elles doivent être capables de convertir les données cybersécurité sur les menaces ou les équipements de sécurité en actions automatiques, immédiatement exploitables. Cela ne consiste pas seulement à réagir plus vite, mais à repenser le moteur même de la cybersécurité pour qu’il fonctionne à cette nouvelle vitesse, capable de traiter en continu des volumes massifs de données cyber collectées automatiquement depuis les systèmes IT, des outils de sécurité et des processus métiers.

Ainsi, la première étape consiste à comprendre que la vitesse est devenue un facteur stratégique, non plus un simple atout opérationnel. Sans adaptation du moteur cybersécurité, il sera impossible de répondre aux menaces en temps réel et d’anticiper les incidents, ce qui compromettrait la résilience et la confiance de l’organisation dans un environnement numérique de plus en plus dynamique et automatisé.

Mettre en place un Cyber Data Lake et des agents IA cyber

Pour atteindre cette vitesse, deux mouvements clés sont nécessaires :

Améliorer et automatiser le moteur de décision existant grâce à une plateforme Agentic AI. Cette plateforme permet d’accélérer la prise de décision dans les processus de sécurité tout en s’appuyant sur l’intelligence artificielle pour automatiser certaines actions critiques. Cependant, l’intelligence artificielle ne peut fonctionner efficacement sans une donnée de qualité et en temps réel. Or, aujourd’hui, les données cybersécurité sont souvent trop froides, collectées trop lentement et provenant de sources disparates.
Pour résoudre ce problème, il est essentiel de créer un Cyber Data Lake, centralisant et corrélant des informations provenant de toutes les sources pertinentes : outils de sécurité, systèmes IT, processus GRC, données business et même actualité métier. Ce data lake permet de normaliser et d’enrichir les données afin d’alimenter le moteur Agentic AI de manière continue et fiable. Cette infrastructure devient le cœur du passage à une cybersécurité en temps réel, permettant de traiter les informations instantanément et de déclencher des actions automatisées dès qu’un risque est identifié. La combinaison de la plateforme AI et du data lake transforme le système cybersécurité en un moteur capable d’analyser, corréler et réagir à des volumes massifs de données de manière fluide et autonome.

Permettre des innovations : assurance et réponse en temps réel, jumeaux numériques

Cette transformation ouvre de nouvelles perspectives, notamment en termes d’innovation. Premièrement, elle permet de réaliser une mesure du niveau de confiance (la fameuse « assurance » en terme anglophone) en temps réel de la conformité et de la sécurité. Les organisations peuvent mesurer instantanément leur posture, détecter les écarts et appliquer les correctifs nécessaires avant que les risques ne se matérialisent. Deuxièmement, elle pourra dans le futur permettre une réponse automatisée aux alertes et incidents : la détection, le blocage des flux, la reconfiguration des systèmes ou le déploiement de correctifs pourront être exécutés en temps réel, limitant ainsi l’impact des attaques. Troisièmement, ces données permettront de créer des jumeaux numériques afin de simuler et tester les failles, les configurations et les modifications avant leur déploiement, offrant un outil d’évaluation réelle du risque et de stress test pour la résilience globale du système.

Déverrouiller des cas d’usage : Classification, TPRM, AppSec

La transformation déverrouille également, et a plus court terme, des cas d’usage aujourd’hui impossibles à mettre en œuvre à grande échelle. Parmi ces opportunités concrètes, l’intelligence artificielle permet d’automatiser la classification des données, de renforcer la gestion des tiers en suivant et évaluant continuellement les fournisseurs, et d’optimiser la sécurité applicative en automatisant la détection et la correction des vulnérabilités. Ces cas d’usage représentent un gain significatif en termes d’efficacité et de fiabilité, tout en permettant de libérer des ressources humaines pour des tâches à plus forte valeur ajoutée.

Créer un Cyber Data & AI Office pour piloter cette accélération

Pour réussir cette transformation, il est nécessaire de créer une nouvelle organisation au sein de l’équipe cyber : le Cyber Data & AI Office. Cette entité regroupe des data engineers, des data scientists, des experts IA et des professionnels de la cybersécurité, chargés de construire et maintenir le data lake, de développer et superviser les agents AI, et d’accompagner les équipes existantes dans l’adoption de ces nouveaux processus. Cette organisation pilote également la définition des cas d’usage prioritaires, évalue leur retour sur investissement et met en place des métriques de confiance pour vérifier la fiabilité des systèmes.

Enfin, la convergence de ces approches nécessitera le choix et le déploiement d’une plateforme cible capable de centraliser et harmoniser les différents modules : que ce soit des solutions “in house”, des extensions de la GRC ou du SOC, ou l’intégration progressive d’outils AI existants dans l’infrastructure IT. L’objectif final est de disposer d’un moteur cybersécurité fluide, fiable et adaptable, capable de réagir en temps réel, de déverrouiller de nouveaux cas d’usage et de préparer l’organisation à la cybersécurité prédictive et automatisée de 2030.

Créer un Cyber Value Realisation office

La transformation vers une cybersécurité en temps réel ne se limite pas aux technologies et aux processus : elle nécessite également de repenser l’organisation et de démontrer la valeur tangible créée.

À l’horizon 2030, les investissements sont significatifs et les changements organisationnels profonds. Sans démonstration claire de leur impact et de la valeur apportée, le soutien des dirigeants et des métiers peut être difficile à maintenir. C’est dans cette optique qu’il est nécessaire de créer le Cyber Value Realisation Office (VRO), rattaché directement au RSSI. Cette entité a pour rôle de mesurer et de valoriser la contribution de la cybersécurité, en optimisant le portefeuille d’outils, en simplifiant les processus et en démontrant comment la cybersécurité peut accélérer les ventes, soutenir les métiers ou même créer de nouveaux services à destination des clients. Le reporting et la communication de cette valeur deviennent essentiels pour obtenir le support de l’organisation et garantir la disponibilité des fonds nécessaires aux programmes stratégiques.

Roadmap 2026-2030 & conclusion

Radar RSSI : Top 30 actions for 2030 — Top 30 des actions pour 2030

Ce visuel présente le top 30 des actions pour 2030.

Elles sont réparties par périodes :

2026-2027 : Data foundations

2028-2029 : Data shift & Automation

2030 : Real time shift

Et par piliers clés :

Visibility

Trust

Speed

Value

**2026-2027 : Data foundations**

**Visibility**: AI agent lifecycle & identity, Define & verify trustworthy AI, Cross-function governance, Product certification wave

**Trust**: Establish encryption governance & roadmap, Map digital dependencies & update risk profile, Unify governance across all identities

**Speed**: Appoint a Chief Cyber Data & AI Office, Renew data protection

**Value**: Establish a Value Realization Office

**2028-2029 : Data shift & Automation**

**Visibility:** Increase AI transparency & visibility, Build and deploy a “Trust & Care” program, Increase SOC visibility on OT & Product, Deploy a converged security model & IAM-OT

**Trust**: Deploy the crypto agility framework, Update crisis scenarios and test boldly, Make your crown jewels independent, Centralize and rationalize IAM platforms, Design IAM platform as Zero trust enabler

**Speed**: Build a trusted cyber data lake, Implement your Agentic AI platform, Boost TPRM, Accelerate App Security

**Value**: Simplify and optimize cyber processes and tools, Enable business growth through cyber trust

**2030 : Real time shift**

**Visibility:** Enforce AI-drivenbehavioral analysis (UEBA)

**Trust**: Implement automated assurance, Enable a decoupled IT

**Speed**: Implement real-time assurance & response, Create Cyber Digital Twins

Cette trajectoire, à adapter en fonction du contexte, s’étend de 2026 à 2030. Nous proposons une organisation de l’ensemble des chantiers évoqués, progressivement et par grand pilier. Sur le volet « temps réel », pilier de la stratégie 2030, 3 grandes phases de maturités seront nécessaires.

Entre 2026 et 2027, l’objectif est de créer les fondations autour de la donnée et de la structuration des équipes, avec la nomination d’un Chief Cyber Data Officer pour piloter ces travaux.
À partir de 2028 et jusqu’en 2029, le data lake devient pleinement opérationnel et les agents IA sont progressivement greffés à la plateforme pour automatiser les processus et renforcer l’efficacité des opérations.
A l’horizon 2030, l’organisation vise la mise en œuvre de la cybersécurité en temps réel, avec la capacité d’assurer la sécurité et la conformité de manière instantanée, et éventuellement de déployer une réponse automatisée aux incidents, en fonction de la maturité atteinte par les différents processus et technologies.

L’avenir repose sur une approche proactive, fondée sur la donnée, la résilience et la maîtrise des technologies émergentes. Les décisions prises aujourd’hui détermineront la capacité des organisations à opérer efficacement dans un environnement numérique en constante évolution, faisant de la cybersécurité un moteur de performance, d’innovation et de valeur stratégique à l’horizon 2030.

Gérôme Billois

Partner – France, Paris

Wavestone
LinkedIn
Léa Merveilleau

Consultant

Wavestone
LinkedIn
Antoine Hascoët

Analyst

Wavestone
LinkedIn

Partager ce contenu

Link copied

Votre choix
Assurance
Banque
Énergie & Utilities
Transport, voyage et logistique
Automobile & industrie
Distribution, Luxe & Beauté
Life Sciences
Secteur public & institutions internationales
Transition écologique et sociétale
Cybersécurité
Data & Intelligence artificielle
SAP Consulting
Stratégie IT & Conseil au CTO
Compliance & Résilience
Finance, RH, Risques & Achats
Développement de logiciel "coeur"
Supply chain
Industrie 4.0 & IoT
Expérience client
Conduite du changement
Agile et modèle opérationnel
Sourcing & Optimisation de services
Transformations technologiques
Règlementations & risques