La cybersécurité ne se limite plus au seul Centre Opérationnel de Sécurité (SOC). En 2026, les décisions en matière de sécurité numérique auront un impact direct sur l’adoption de l’intelligence artificielle, la continuité des activités, la chaîne d’approvisionnement, la conformité réglementaire, la géopolitique et le rôle du Chief Information Security Officer (CISO) au sein de l’entreprise. Le dernier rapport de KPMG en Espagne, Considérations en matière de cybersécurité pour 2026, identifie huit priorités qui ne peuvent plus être traitées comme des projets isolés.

L’idée fondamentale est claire : l’IA étend la surface d’attaque tout en offrant de nouvelles capacités défensives. Les agents autonomes commencent à exécuter des tâches, les identités non humaines dépassent souvent celles des humains dans de nombreux environnements, les systèmes IT et OT sont de plus en plus connectés, et la cryptographie post-quântique passe d’un simple sujet technique à une question stratégique, notamment pour des secteurs comme la finance, la défense ou les infrastructures critiques.

La sécurité autonome s’installe dans le SOC, mais aussi dans la conformité

KPMG souligne que l’une des priorités sera de préparer les équipes de cybersécurité à la sécurité autonome. Il ne s’agit pas uniquement d’automatiser les alertes ou d’enrichir les événements, démarche adoptée par nombreuses organisations depuis plusieurs années. Le changement réside dans le fait que les agents IA commencent à assumer des tâches plus avancées, basées sur l’intelligence : investigation d’incidents, conformité réglementaire, gestion des risques, corrélation d’évidences ou supervision des identités non humaines.

Cette avancée peut soulager des équipes surmenées mais exige également une refonte des contrôles. Un agent qui exécute des actions ne peut pas être considéré comme un simple outil passif. Il nécessite des limites, une traçabilité, des permissions minimales, une revue des décisions et des mécanismes capables d’arrêter les comportements imprévus. La promesse de la sécurité autonome n’est opérationnelle que si l’organisation sait précisément ce que chaque agent peut faire, quels données il peut consulter, quels systèmes il peut modifier et qui est responsable en cas de défaillance.

L’IA change aussi la gestion des vulnérabilités. Les discussions autour de modèles tels que Claude Mythos ont montré que les systèmes avancés peuvent analyser de vastes bases de code, formuler des hypothèses sur les failles, valider des attaques et construire des chaînes d’exploitation efficaces. KPMG met en garde que le vrai défi n’est pas l’augmentation des vulnérabilités, mais que le rythme d’identification et d’exploitation puisse dépasser celui des cycles traditionnels de correction.

Cela oblige à revoir une pratique courante : la gestion des vulnérabilités par fenêtres hebdomadaires, la priorisation manuelle et la dépendance quasi exclusive au score CVSS. Dans un environnement où l’IA peut accélérer tant l’offensive que la défense, certaines corrections devront être évaluées et déployées en moins de 24 à 48 heures. La capacité de décision deviendra aussi cruciale que la sophistication technique.

Identités non humaines et agents : le nouveau périmètre

L’expansion des agents IA, comptes de service, identifiants machine, bots, APIs et automatisations a créé un problème que beaucoup d’entreprises n’ont pas encore bien inventorié. Les identités non humaines dépassent désormais en nombre les utilisateurs humains dans de nombreux contextes, mais leur gouvernance reste souvent immature.

Le risque est évident. Un utilisateur humain peut être soumis à une authentification multifactorielle (MFA), à des revues périodiques, à une désactivation lors de la sortie de l’organisme et à des politiques d’accès par rôle. Une identité non humaine peut rester oubliée pendant des années, avec des secrets intégrés, des permissions excessives et une surveillance faible. Lorsqu’elles sont connectées à des agents IA capables d’interagir avec des outils et des données, le périmètre de sécurité devient beaucoup plus difficile à maîtriser.

KPMG insiste sur le fait que la sécurité en IA ne doit pas se limiter à la protection du modèle lui-même. Il faut aussi sécuriser l’environnement complet de l’agent : les outils qu’il peut utiliser, les APIs qu’il invoque, la mémoire qu’il conserve, les données qu’il récupère via la récupération augmentée (RAG) et les actions qu’il exécute. Le traitement des données doit respecter un même niveau de rigueur que celui appliqué au code : traçabilité, gestion des versions, objectifs explicites, contrôle d’accès et expiration.

La chaîne d’approvisionnement en IA comporte aussi un niveau supplémentaire de risque. Les modèles externes, APIs tierces, chaînes d’outils, librairies, connecteurs et données d’entreprise peuvent introduire des dépendances opaques. Les organisations devront mettre en place des programmes de gestion de la chaîne d’approvisionnement en IA, similaires à ceux existant pour le cloud ou les logiciels critiques : enregistrement des versions, audit des APIs, évaluation des fournisseurs, plans de retrait et capacité à remplacer une pièce essentielle rapidement, sans être bloqué pendant plusieurs mois.

Géopolitique, IT/OT et cryptographie post-quântique

La cybersécurité de 2026 sera également marquée par un contexte géopolitique plus conflictuellé. KPMG indique que les défenses numériques et les actifs physiques sont exposés à d’éventuelles attaques de États hostiles. Cela concerne en particulier l’énergie, le transport, l’industrie, la santé, les télécommunications, le secteur public et les services financiers. La sécurité ne se limite plus à la protection des données mais inclut désormais la préservation de la continuité opérationnelle.

L’hyperconnectivité entre IT et OT augmente cette tension. Capteurs intégrés, dispositifs IoT, usines connectées et environnements physiques digitalisés rendent la frontière entre le numérique et le physique de plus en plus floue. Un incident ne se limite plus à une perte d’information ou à une indisponibilité d’application ; il peut affecter la production, la sécurité des personnes, la logistique, la maintenance et l’approvisionnement.

Le rapport souligne aussi que la cryptographie post-quântique devient une priorité difficile à repousser. La menace que de futurs ordinateurs quantiques puissent casser les algorithmes cryptographiques actuels incite à préparer des inventaires, à évaluer le niveau d’exposition et à planifier des migrations. Pour des secteurs comme la défense, la banque ou les infrastructures critiques, il ne s’agit pas seulement d’une mode technique : les données chiffrées aujourd’hui peuvent être capturées pour être décryptées plus tard, lorsque la capacité quantique sera disponible.

La migration vers une cryptographie post-quântique sera complexe, car elle implique les certificats, les systèmes hérités, les communications, les appareils, les logiciels embarqués, les fournisseurs et les processus à long cycle de vie. Il ne suffira pas d’un simple changement d’algorithme dans une application moderne. Il sera nécessaire d’identifier où la cryptographie est utilisée, quels données doivent être protégées sur plusieurs décennies et quels systèmes ne pourront pas être facilement mis à jour.

Le rôle du CISO s’affirme, mais sous pression

Le rôle du CISO ne cesse de s’étendre. Il ne se limite plus à rapporter des incidents, à gérer des outils ou à fournir des métriques techniques. La sécurité s’est intégrée à l’innovation, à la conformité, aux opérations, à l’IA, à la chaîne d’approvisionnement, à la résilience et à la stratégie. Le CISO devient une figure capable de traduire les risques techniques en langage métier tout en évitant que l’organisation freine l’adoption de technologies essentielles.

Cet équilibre sera difficile à maintenir. La direction souhaite automatiser, utiliser l’IA, gagner en efficacité et déployer des agents. Les équipes de sécurité doivent permettre cela sans créer une surface d’attaque ingérable. La réponse ne peut pas être un blocage généralisé, mais pas non plus une acceptation sans contrôle. KPMG recommande de favoriser la confiance tout en encourageant l’innovation. Sur le terrain, cela implique de s’appuyer sur une gouvernance solide, une architecture adaptée, une observabilité renforcée et une capacité opérationnelle réactive.

L’observabilité sera l’un des changements clés. Dans les systèmes IA, il ne suffit pas de surveiller le modèle seul : il faut observer l’ensemble du cycle d’action, y compris les données récupérées, les outils invoqués, la mémoire construite, les décisions prises, les permissions utilisées et les actions effectuées. Cela requiert de nouveaux journaux, une intégration avec des systèmes de gestion des événements (SIEM), des playbooks spécifiques et des équipes capables d’interpréter des incidents peu resemble aux méthodes classiques.

La formation sera également cruciale. Protéger l’IA avec des équipes non formées aux modèles, à la récupération augmentée (RAG), aux agents, à l’injection de prompts, à la mémoire persistante ou au red teaming en IA reviendra à appliquer des contrôles inefficaces. La sécurité en IA nécessite des profils hybrides, des laboratoires, des simulations et des pratiques sur mesure.

Le message pour 2026 est clair mais difficile : la cybersécurité ne pourra plus fonctionner avec des rythmes, des contrôles et des structures conçus pour un monde antérieur à l’ère de l’IA autonome. Les organisations qui traiteront ces changements comme un problème ponctuel seront en retard. Celles qui les percevront comme une évolution structurale disposeront de meilleures chances d’innover tout en maîtrisant leurs risques.

Questions fréquentes

Quelles sont les principales priorités en matière de cybersécurité pour 2026 ?
KPMG identifie huit domaines clés : sécurité autonome, contexte géopolitique et conformité, protection des systèmes IA, identités non humaines, hyperconnectivité IT/OT, cryptographie post-quântique, gestion de la chaîne d’approvisionnement en IA et approfondissement du rôle du CISO.

Comment l’IA transforme-t-elle la cybersécurité ?
Elle introduit des agents capables d’agir, des architectures RAG connectées à des données d’entreprise, de nouvelles surfaces d’attaque, ainsi qu’une automatisation accrue et une vitesse d’action plus grande pour les défenseurs comme pour les attaquants.

Que sont les identités non humaines ?
Ce sont des comptes de service, crédentiels machines, bots, agents IA, APIs et automatisations qui ont accès à des systèmes et données sans être des utilisateurs humains directs.

Que doivent faire les entreprises dès à présent ?
Inventorier tous les agents et modèles, revoir les permissions, accélérer le processus de correction des vulnérabilités, renforcer la traçabilité, préparer la migration post-quântique, contrôler la chaîne d’approvisionnement en IA et former des équipes spécialisées en sécurité de l’IA.