Sécurité / IT

10 octobre 2021

Cybersécurité entreprise : 7 piliers stratégiques 2026

cybersécurité

La cybersécurité entreprise n'est plus un sujet réservé à la DSI. Selon l'ANSSI (2026), la future loi Résilience qui transposera la directive NIS2 en droit français concernera environ 15 000 entités essentielles et importantes en France, contre près de 1 500 sous le précédent cadre NIS1. Cette bascule réglementaire engage directement la responsabilité des dirigeants sur la gestion des risques cyber, et plus seulement celle des équipes IT.

Une stratégie de cybersécurité entreprise efficace en 2026 repose sur sept piliers complémentaires : la conformité réglementaire, la gestion des identités et des accès, la détection et la supervision, la protection des données, la sensibilisation des collaborateurs, et deux piliers souvent absents des guides généralistes, la gouvernance des accès et des partages sur Microsoft 365, et l'impact de Copilot et de l'IA générative sur ces mêmes accès.

Au programme de cet article :

Pilier 1 : Gouvernance et conformité réglementaire (NIS2, RGPD, DORA)

Au 18 juin 2026, la France n'a pas encore achevé la transposition de la directive NIS2 dans son droit national. Le projet de loi Résilience, qui regroupe NIS2, la directive REC et le règlement DORA, a été adopté en première lecture par le Sénat en mars 2025 et examiné par une commission spéciale à l'Assemblée nationale en septembre 2025. Selon l'ANSSI (2026), son adoption définitive est attendue lors d'une session parlementaire extraordinaire prévue en juillet 2026.

En attendant ce vote, l'ANSSI a publié le 17 mars 2026 le Référentiel Cyber France (ReCyF), un document de travail qui détaille les mesures recommandées pour atteindre les objectifs de sécurité fixés par NIS2. Les entreprises concernées peuvent déjà se pré-enregistrer sur la plateforme MonEspaceNIS2 pour anticiper leurs obligations plutôt que d'attendre la promulgation de la loi.

NIS2 impose dix mesures minimales de gestion des risques cyber, communes aux entités essentielles et importantes : politique d'analyse des risques, gestion des incidents, continuité d'activité, chiffrement, authentification multifacteur ou encore sécurisation de la chaîne d'approvisionnement en font partie. L'article 20 de la directive impose en outre aux organes de direction d'approuver ces mesures et d'en superviser la mise en œuvre, avec un risque de responsabilité personnelle en cas de manquement avéré.

Les sanctions distinguent deux catégories d'entités. Les entités essentielles risquent jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Les entités importantes risquent jusqu'à 7 millions d'euros ou 1,4% du chiffre d'affaires mondial. Ces montants s'ajoutent à ceux du RGPD, qui peuvent atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial pour les manquements les plus graves.

Pour un RSSI, NIS2, RGPD et DORA se chevauchent partiellement et méritent d'être cartographiés ensemble plutôt que traités isolément :

  • NIS2 (directive 2022/2555, 14 décembre 2022) : périmètre de 18 secteurs, environ 15 000 entités en France, autorité compétente ANSSI, sanction jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial pour les entités essentielles.
  • RGPD (règlement 2016/679, applicable depuis 2018) : périmètre universel, tout responsable de traitement de données personnelles, autorité compétente CNIL, sanction jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial.
  • DORA (règlement 2022/2554, en application directe depuis le 17 janvier 2025) : périmètre sectoriel financier (banques, assurance, gestion d'actifs, prestataires informatiques critiques), autorités compétentes ACPR et AMF en France, sanctions déterminées par le droit national pour les entités financières, et jusqu'à 1% du chiffre d'affaires journalier moyen pour les prestataires informatiques critiques placés sous supervision européenne directe.

Une entreprise du secteur financier peut ainsi être simultanément soumise aux trois textes, avec des autorités de contrôle différentes selon le volet concerné.

Pour une entreprise concernée par NIS2, la conformité réglementaire engage désormais la responsabilité des dirigeants, pas uniquement celle de la DSI.

 

Pilier 2 : Gestion des identités et des accès

La gestion des identités et des accès, ou IAM, consiste à attribuer, suivre et révoquer les droits numériques de chaque utilisateur en fonction de son rôle dans l'entreprise. Sur un environnement Microsoft 365, cela couvre l'authentification des comptes via Microsoft Entra ID, l'attribution des licences et la définition des rôles d'administration.

Microsoft Entra ID propose des politiques d'accès conditionnel qui adaptent les exigences d'authentification au contexte de connexion, un module de gestion des identités à privilèges (PIM) qui limite dans le temps les droits d'administrateur, ainsi que des campagnes de revue d'accès (Access Reviews) pour recertifier périodiquement les droits attribués. L'authentification multifacteur reste recommandée en priorité sur les comptes à privilèges, qui restent la cible la plus rentable pour un attaquant.

Le départ d'un collaborateur reste l'un des angles morts les plus fréquents de l'IAM. Un compte non désactivé ou des droits non révoqués après un changement de poste restent une porte d'entrée active, invisible tant qu'aucun audit ne la signale.

Un IAM bien structuré ne suffit pas à lui seul : il définit qui peut se connecter, mais ne contrôle pas ce que chaque utilisateur partage ensuite avec ses droits légitimes. Cette distinction entre gestion des identités et gestion des données partagées est souvent absente des guides généralistes de cybersécurité entreprise, alors qu'elle conditionne directement l'exposition réelle des données sensibles. La gestion des identités et des accès pose les fondations d'une stratégie de cybersécurité entreprise, mais elle doit être complétée par un contrôle régulier de ce que les utilisateurs font de leurs droits une fois connectés.

 

Pilier 3 : Détection et supervision (SIEM, SOC)

Un SIEM (Security Information and Event Management) centralise les journaux d'activité de l'ensemble du système d'information pour détecter les comportements anormaux. Un SOC (Security Operations Center) exploite ces données pour qualifier les alertes et déclencher une réponse. Sur un environnement Microsoft 365, Microsoft Sentinel et les journaux d'audit Microsoft Purview alimentent généralement cette supervision. Un volume anormal de téléchargements depuis un compte, ou une connexion depuis un pays inhabituel, figurent parmi les signaux types remontés par ces outils.

Selon le rapport IBM Cost of a Data Breach (2025), le coût moyen mondial d'une violation de données s'élève à 4,44 millions de dollars, en baisse de 9% par rapport à 2024, grâce à une détection et un confinement plus rapides. Le délai moyen pour identifier et contenir une violation atteint 241 jours, le plus court depuis neuf ans selon la même étude. En France, le coût moyen d'une violation de données atteint 3,59 millions d'euros en 2025, en baisse de 7% sur un an, d'après l'étude menée par le Ponemon Institute auprès de 34 organisations françaises.

Selon IBM (2025), les organisations qui déploient largement l'intelligence artificielle et l'automatisation dans leur SOC réduisent le coût moyen d'une violation de 1,9 million de dollars et raccourcissent son cycle de vie de 80 jours, par rapport à celles qui ne les utilisent pas. Cette automatisation réduit également la fatigue des analystes confrontés à un volume croissant d'alertes.

Un SIEM ou un SOC détecte les comportements anormaux après qu'un accès a déjà été accordé : il intervient en aval d'une gouvernance des identités et des accès qui reste la première ligne de défense.

 

Pilier 4 : Protection des données et résilience opérationnelle

La protection des données combine le chiffrement, la sauvegarde régulière et un plan de reprise d'activité testé périodiquement. Le chiffrement rend les données illisibles sans la clé de déchiffrement, y compris en cas d'exfiltration. NIS2 inscrit explicitement la continuité d'activité, incluant la gestion des sauvegardes et la reprise après sinistre, parmi ses dix mesures minimales de gestion des risques.

Selon l'ANSSI, qui a coréalisé avec le Club de la continuité d'activité (CCA) le guide Organiser un exercice de gestion de crise cyber, un plan de continuité d'activité robuste face au risque cyber repose sur des simulations de crise régulières, en complément des mesures de gouvernance, de protection et de défense déjà en place. Un PRA non testé perd une partie de sa valeur opérationnelle face à une situation réelle. La bonne pratique consiste à conserver plusieurs copies des données critiques sur des supports distincts, dont au moins une copie hors ligne ou immuable, inaccessible en cas de compromission du réseau principal.

Pour les environnements Microsoft 365, la résilience dépend aussi de la maîtrise du volume de données stockées. Un tenant saturé de données obsolètes ou en doublon complique la restauration après incident, ralentit les recherches lors d'un forensic et augmente la surface d'exposition en cas de compromission d'un compte.

La résilience opérationnelle d'une entreprise se mesure à sa capacité à reprendre une activité normale rapidement après un incident, pas seulement à l'absence d'incident.

 

Pilier 5 : Sensibilisation et facteur humain

Selon l'étude IFOP pour IDECSI et le CESIN (avril 2024), 49% des salariés des grandes entreprises françaises déclarent avoir déjà été visés par une tentative d'hameçonnage dans le cadre professionnel, soit deux points de plus qu'en 2019. La même étude révèle que 37% des salariés avouent avoir accès à des documents confidentiels partagés sans que cet accès soit toujours justifié par leur fonction, et 48% ont déjà stocké des données personnelles sur un appareil à usage professionnel.

Cette même enquête montre que 51% des salariés des grandes entreprises se disent inquiets pour la sécurité de leurs données professionnelles, en hausse de six points par rapport à 2019. Cette inquiétude croissante ne se traduit pas automatiquement par de meilleures pratiques : près d'un salarié sur trois évite certains outils numériques par crainte de problèmes de sécurité, ce qui freine la transformation digitale plutôt que de la sécuriser.

Les campagnes de simulation d'hameçonnage, couplées à une formation courte et régulière, permettent de mesurer la progression des réflexes des collaborateurs dans le temps plutôt que de se fier à une session de sensibilisation isolée en début d'année.

Sensibiliser les collaborateurs aux bonnes pratiques de partage et de gestion des accès reste le levier le moins coûteux pour réduire l'exposition des données, à condition de leur donner les moyens concrets d'agir sur leurs propres partages plutôt qu'un simple rappel théorique sans outil associé.

 

Pilier 6 : Gouvernance des accès et des partages sur Microsoft 365

Les outils collaboratifs Microsoft 365 (Teams, SharePoint, OneDrive) ont rendu chaque utilisateur administrateur de ses propres partages. Selon Microsoft (Learn, 2026), le partage externe est activé par défaut sur l'ensemble de l'environnement SharePoint et OneDrive d'un tenant Microsoft 365, avec un niveau de partage organisationnel réglé par défaut sur Anyone, c'est-à-dire accessible par lien sans authentification.

Ce pilier est absent de la plupart des guides généralistes de cybersécurité entreprise, alors qu'il conditionne directement ce que Copilot et les autres outils d'IA générative peuvent exposer, comme détaillé au pilier suivant.

Selon les données IDECSI (2026), une revue de droits structurée sur un tenant Microsoft 365 permet de corriger en moyenne 7 risques par utilisateur dès la première campagne, sur un périmètre de plus d'un million d'utilisateurs traités. Les actions les plus fréquemment réalisées sont la suppression d'un accès, le changement de propriétaire d'une donnée et la suppression d'un partage anonyme. Lors de son dispositif DETOX, la communauté d'agglomération de Cergy-Pontoise a supprimé 50% des risques identifiés dès sa première campagne, puis 70% lors de la seconde.

La gouvernance des accès et des partages M365 ne remplace pas l'IT : elle organise un partage de responsabilité où chaque utilisateur corrige ses propres accès sous la supervision des équipes de sécurité, qui pilotent la campagne et mesurent les résultats.

 

Pilier 7 : Copilot et l'IA générative, accélérateur du risque cybersécurité entreprise

Microsoft 365 Copilot s'appuie sur Microsoft Graph et respecte les permissions existantes de l'utilisateur connecté : il n'accède à rien de plus que ce que cet utilisateur peut déjà consulter manuellement. C'est précisément ce qui transforme un problème de gouvernance latent en risque immédiat. Un partage oublié depuis cinq ans, invisible dans une arborescence de dossiers, devient instantanément découvrable par une simple question en langage naturel.

Ce mécanisme explique pourquoi Copilot ne crée pas de nouveau risque mais révèle les risques déjà présents dans le tenant. Une entreprise qui n'a jamais audité ses partages découvre généralement l'ampleur du problème au moment du déploiement de Copilot, pas avant.

Selon les données IDECSI (2026), chez BPCE, une campagne structurée de revue des accès et des partages sur Microsoft 365 a généré plus de 36 000 corrections, avec un taux de participation des utilisateurs supérieur à 55%. Ce volume, chez un acteur bancaire par ailleurs soumis à DORA, illustre l'ampleur des partages à risque qui s'accumulent silencieusement dans un tenant de grande taille, tous secteurs confondus.

Pour limiter ce risque avant un déploiement Copilot, l'ordre des opérations compte : auditer et corriger les partages existants en premier, plutôt que de déployer Copilot puis découvrir l'étendue du problème par la remontée d'incidents ou de plaintes internes.

Le pilier le plus négligé dans les guides généralistes de cybersécurité entreprise n'est donc pas technique : c'est le manque d'anticipation sur ce que l'IA générative va rendre visible.

Tendances 2026 : l'intelligence artificielle, arme et défense

Selon le rapport IBM Cost of a Data Breach (2025), une violation sur six implique désormais l'utilisation de l'IA par l'attaquant, le plus souvent pour générer des messages d'hameçonnage convaincants (37% des cas) ou des usurpations par deepfake (35% des cas). L'IA générative réduit le temps nécessaire pour rédiger un message de phishing crédible de plusieurs heures à quelques minutes.

Le ransomware reste une menace majeure malgré cette évolution. Selon la même étude, le coût moyen d'un incident d'extorsion ou de ransomware atteint 5,08 millions de dollars en 2025. Davantage d'organisations refusent désormais de payer la rançon (63% contre 59% l'année précédente), mais peu d'entre elles impliquent les forces de l'ordre, alors que cette implication réduit statistiquement le coût final de l'incident selon IBM.

Ce double mouvement, l'IA comme arme pour les attaquants et comme outil de détection plus rapide pour les défenseurs, rejoint directement le pilier de gouvernance des accès : un attaquant qui exploite l'IA pour générer un hameçonnage convaincant n'a besoin que d'un seul compte compromis pour accéder à tout ce que ce compte est autorisé à voir, exactement comme Copilot le ferait de manière légitime.

L'IA générative agit comme un amplificateur, pas comme un risque isolé : elle accélère à la fois la capacité d'attaque et l'ampleur de ce qu'un accès compromis peut exposer.

Ce qu'il faut retenir

Les sept piliers d'une cybersécurité entreprise efficace en 2026, en synthèse :

  • Gouvernance et conformité : directive NIS2, RGPD, DORA, autorités ANSSI, CNIL, ACPR, AMF.
  • Gestion des identités et des accès : Microsoft Entra ID, authentification multifacteur, PIM.
  • Détection et supervision : SIEM, SOC, Microsoft Sentinel.
  • Protection des données et résilience : chiffrement, sauvegarde, plan de reprise d'activité.
  • Sensibilisation des collaborateurs : simulations d'hameçonnage, formation continue.
  • Gouvernance des accès et des partages Microsoft 365 : revue de droits, suppression des partages à risque.
  • Copilot et l'IA générative : audit des partages avant déploiement, l'IA comme révélateur et comme amplificateur de risque.

Auto-évaluation : votre maturité cybersécurité entreprise en 5 questions

Cinq questions rapides pour situer votre organisation sur les piliers présentés dans cet article :

  • Connaissez-vous le statut de votre entreprise au regard de NIS2 (entité essentielle, importante, ou hors périmètre) ?
  • Vos comptes à privilèges Microsoft 365 sont-ils tous protégés par une authentification multifacteur ?
  • Disposez-vous d'un SIEM ou d'un SOC capable de détecter une activité anormale sur vos environnements cloud ?
  • Votre plan de reprise d'activité a-t-il été testé au cours des douze derniers mois ?
  • Savez-vous combien de partages anonymes ou externes sont actifs aujourd'hui sur votre tenant Microsoft 365 ?

Trois réponses positives ou plus signalent une maturité solide sur les fondamentaux. En dessous de ce seuil, le pilier correspondant à la première réponse négative mérite d'être traité en priorité, avant d'investir dans un nouveau dispositif.

Conclusion

Une stratégie de cybersécurité entreprise robuste en 2026 articule ces sept piliers sans en négliger aucun. Les piliers 6 et 7, gouvernance des accès et gouvernance face à l'IA générative, restent les plus souvent sous-estimés dans les guides généralistes, alors qu'ils déterminent l'exposition réelle des données face à Copilot et aux usages collaboratifs quotidiens.

Avant d'investir dans un nouvel outil de détection, un audit du tenant Microsoft 365 permet de mesurer l'ampleur réelle des accès et partages à risque, et de prioriser les actions correctives sur l'ensemble des sept piliers présentés ici.

FAQ

Q6 : Copilot Microsoft 365 crée-t-il de nouveaux risques de sécurité ? R : Non, Copilot ne crée pas de nouveau risque, il révèle les risques déjà présents dans le tenant. Il s'appuie sur Microsoft Graph et respecte les permissions existantes de chaque utilisateur, ce qui signifie qu'un partage oublié ou mal configuré devient instantanément découvrable par une simple question en langage naturel. C'est pourquoi un audit des accès avant déploiement reste indispensable.

Nos articles

Ces articles peuvent
vous intéresser

Microsoft 365
Sécurité / IT

Phishing Microsoft 365 : quand vos partages amplifient le risque

Lire l'article
Microsoft 365
Sécurité / IT

Microsoft Defender pour Office 365 : fonctionnalités et limites

Lire l'article
Microsoft 365
Sécurité / IT

Sécuriser les agents IA dans Microsoft 365 : bonnes pratiques 2026

Lire l'article
Microsoft 365
Sécurité / IT

Microsoft Foundry : guide complet et enjeux pour la sécurité (2026)

Lire l'article

Protection des données, discutons de votre projet ?

 

Contactez-nous
video background