La cybersécurité connaît à nouveau un défi bien connu : un déficit en professionnels qualifiés, en profils seniors, et l’intelligence artificielle élève encore davantage le niveau de compétences exigées par les entreprises. Le rapport mondial 2026 sur l’écart des compétences en cybersécurité de Fortinet, basé sur une enquête menée auprès de 2 750 responsables IT et cybersécurité dans 32 pays, met en lumière une paradoxe inconfortable : malgré une hausse des lacunes en sécurité, une confiance accrue dans les outils dotés d’IA, les organisations rencontrent toujours des difficultés à recruter, former et fidéliser des talents spécialisés.

Le constat le plus évident est difficile à ignorer. 86 % des organisations interrogées déclarent avoir subi une ou plusieurs brèches de sécurité au cours des 12 derniers mois, et 29 % reconnaissent avoir connu cinq incidents ou plus. De plus, 52 % indiquent que ces incidents leur ont coûté plus d’un million de dollars. Il ne s’agit pas uniquement d’une question technique : l’enquête souligne que, pour la troisième année consécutive, les responsables IT citent le manque de compétences en cybersécurité comme l’une des principales causes des brèches, dépassant même les débats sur certains outils ou solutions.

L’IA aide, mais aggrave aussi la pénurie de talents

Fortinet décrit un marché où l’IA fait désormais partie intégrante du quotidien des équipes de défense. 91 % des répondants affirment que leur organisation utilise ou expérimente avec des solutions de cybersécurité basées sur l’IA, et 84 % estiment que ces outils rendent leurs équipes IT et de sécurité plus efficaces et plus performantes. L’adoption ne semble donc plus une tendance naissante, mais une pratique largement répandue.

Il serait facile de penser que l’IA compensera la pénurie de professionnels. Le rapport indique qu’elle peut aider dans des tâches répétitives, l’analyse de volumes importants de données, la détection d’anomalies et une réponse plus rapide aux incidents. Cependant, il met en garde : la technologie ne remplace pas la nécessité d’un jugement humain. Au contraire, elle crée de nouvelles exigences en matière de supervision, de gouvernance et de compétences techniques.

60 % des responsables interrogés déclarent que leur principal défi en recrutement est la recherche de talents en cybersécurité ayant une expérience spécifique en IA. De plus, 63 % anticipent qu’ils auront besoin de profils dédiés à la supervision et à la gouvernance de l’IA dans leurs équipes d’ici trois ans. En résumé, l’IA ne se limite pas à automatiser des tâches ; elle oblige également à créer de nouveaux rôles et à requalifier des professionnels qui, jusque-là, ne étaient pas amenés à évaluer des modèles, des automatisations, ou à gérer des risques liés à l’IA ou aux attaques amplifiées par cette technologie.

Les préoccupations concernant l’IA ne se limitent pas au recrutement. 45 % des répondants citent la fuite de données et d’informations confidentielles comme l’une des principales zones de préoccupation liées à l’IA en cybersécurité, et 44 % évoquent la défense contre des attaques amplifiées par l’IA. La technologie devient ainsi un outil de défense tout en constituant une surface de risque accrue.

Le conseil d’administration surveille, mais n’investit pas toujours

Un point sensible du rapport concerne le rôle des conseils d’administration. 73 % des répondants indiquent que la cybersécurité est une priorité pour leur conseil, mais seulement 59 % précisent que des budgets significatifs leur sont alloués pour la sécurité. La différence est importante : beaucoup d’entreprises parlent de cybersécurité comme d’une question stratégique, mais peinent à traduire cette préoccupation en investissements concrets en personnes, processus et technologies.

Le rapport note aussi que seulement 50 % des dirigeants pensent que leurs conseils sont pleinement conscients des risques liés à l’utilisation de l’IA. Un autre 42 % estiment que la prise de conscience est modérée. À une époque où les employés utilisent des outils IA, où les attaquants automatisent leurs campagnes, et où les équipes défensives dépendent de plus en plus de modèles automatisés, cette lacune en gouvernance peut devenir un vrai problème de gouvernance d’entreprise.

Par ailleurs, la responsabilité n’est pas abstraite. Fortinet indique que 50 % des répondants affirmant que des membres du conseil ou des cadres ont été sanctionnés suite à un cyberincident, allant d’amendes à la perte de poste ou d’emploi. La cybersécurité n’est plus confinée au département technique ; une défaillance grave peut avoir des répercussions sur la direction.

Les organisations réagissent généralement après un incident. Le rapport constate que, suite à une attaque, les mesures les plus courantes sont l’agrandissement de l’équipe IT ou sécurité, la mise en place de programmes de sensibilisation, la certification du personnel technique, ou l’acquisition de solutions de sécurité améliorées ou dotées d’IA. Toutefois, ces réactions correctives ne remplacent pas toujours une stratégie proactive et bien financée.

L’expérience senior devient la ressource la plus précieuse

La pénurie de talents ne concerne pas tous les profils de la même manière. 51 % des répondants indiquent qu’ils ont surtout besoin de compétences seniors en cybersécurité, contre 32 % recherchant des profils intermédiaires et 13 % des profils débutants. Cela reflète la réalité du marché : les entreprises ont besoin non seulement de plus de main-d’œuvre, mais aussi de professionnels capables de prendre des décisions complexes, d’élaborer des architectures, de coordonner la réponse face aux incidents, de gouverner les risques liés à l’IA et de traduire les menaces techniques en langage métier.

Ces profils expérimentés sont coûteux, peu nombreux et difficiles à fidéliser. 56 % des entreprises déclarent rencontrer des difficultés pour recruter des talents en cybersécurité, et 52 % avouent éprouver des difficultés à les retenir. Le manque de formations adaptées et d’opportunités d’évolution contribue à cette perte : 48 % soulignent que l’absence de programmes de développement peut nuire à la fidélisation.

Les certifications conservent toute leur importance : 91 % des responsables IT préfèrent embaucher des candidats détenteurs de certifications technologiques, et 92 % seraient prêts à financer des formations ou certifications pour leurs employés. De plus, 92 % prévoient d’investir dans la formation ou dans des certifications en IA et cybersécurité dans l’année à venir.

Ce contexte marque une évolution dans la manière de combler la pénurie : il ne suffit plus d’embaucher en externe. Les entreprises doivent former leurs équipes actuelles, instaurer des cursus internes, multiplier certifications et expérience pratique, tout en utilisant l’IA pour réduire les tâches répétitives sans pour autant remplacer l’expertise manquante.

Encore davantage de diversité, mais des résultats encore timides

Fortinet insiste également sur l’élargissement des sources de recrutement. 71 % des organisations ont mis en place des objectifs formels pour attirer des talents issus de groupes sous-représentés en cybersécurité, et 92 % utilisent des programmes, collaborations et initiatives pour encourager la diversité. Cependant, la composition des équipes ne progresse pas aussi rapidement que les actions mises en place.

Seuls 26 % des employés en IT ou cybersécurité dans ces entreprises sont des femmes, un chiffre stable, et respectent à peu près les mêmes proportions que l’année précédente. La représentation d’individus issus de minorités ou de vétérans est respectivement de 20 % et 16 %, avec 14 % de conjoints de vétérans. Le rapport précise aussi que la difficulté à recruter des candidates qualifiées a augmenté pour 31 % des organisations, contre 20 % l’année précédente.

En conclusion, ouvrir la porte à davantage de profils ne doit pas simplement se limiter à fixer des objectifs. Il faut accompagner ces actions par des formations, du mentorat, des certifications et de véritables opportunités d’évolution. En sécurité, où l’expérience est clé, celles qui ne bâtissent pas leur vivier continueront à se battre pour les mêmes talents rares.

Le rapport de Fortinet tire une conclusion essentielle : la cybersécurité ne se résoudra pas uniquement en achetant davantage d’outils, même dotés d’IA. Les écarts de compétences persistent, les coûts restent élevés, et l’humain demeure à la fois la cause et la solution. La différenciation entre une organisation vulnérable et une organisation résiliente dépendra de plus en plus de la capacité à combiner technologie, formation, gouvernance et leadership.

L’IA peut accélérer la défense, mais aussi amplifier les erreurs si elle est utilisée sans supervision, sans personnel qualifié et sans budget adéquat. Le rapport met en évidence cette tension : les entreprises savent que la cybersécurité est essentielle, mais ne toujours pas investir à la hauteur de cette conviction.

Questions fréquentes

Que révèle le rapport de Fortinet sur les brèches de sécurité ?
86 % des organisations interrogées ont subi au moins une brèche au cours des 12 derniers mois, dont 52 % indiquent que le coût dépasse un million de dollars.

L’IA aide-t-elle les équipes de cybersécurité ?
Oui. 84 % des répondants constatent que les outils IA rendent leurs équipes plus efficaces et performantes, même si cela crée aussi de nouveaux besoins en supervision et en formation.

Quel est le principal défi en recrutement dans la cybersécurité ?
60 % évoquent la difficulté à trouver des professionnels ayant de l’expérience spécifique en IA.

L’importance des certifications ?
Parce que 91 % des responsables IT préfèrent embaucher avec des certifications technologiques et 92 % seraient prêts à investir pour former leurs employés.

source : fortinet