.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Lorsqu'une organisation choisit un éditeur de cybersécurité, elle confie à ce dernier des éléments essentiels à sa résilience opérationnelle : son personnel, ses données et son chiffre d’affaires.
Pourtant, malgré cette dépendance, la plupart des organisations manquent de confiance dans les éditeurs dont elles dépendent pour assurer leur sécurité, selon une nouvelle étude de Sophos.
Pour comprendre la réalité de cette confiance en matière de cybersécurité, Sophos a commandé une enquête mondiale indépendante et agnostique auprès de 5 000 décideurs IT/Sécurité dans 17 pays. Menée par Vanson Bourne, un cabinet d'étude spécialisé, l'enquête offre un aperçu statistiquement significatif et concret de la manière avec laquelle la confiance se construit et se perd entre les acheteurs et les éditeurs de solutions de cybersécurité.
Les principaux résultats de cette recherche sont les suivants :
- La confiance fait défaut : seuls 5% des responsables IT affirment que leur organisation et eux-mêmes ont pleinement confiance en leurs éditeurs de cybersécurité.
- Les preuves vérifiables sont un facteur primordial de confiance : les équipes IT et dirigeantes s'accordent à dire que les éléments vérifiables témoignant de la maturité en matière de cybersécurité constituent l'indicateur le plus significatif de fiabilité.
- Évaluer la fiabilité des éditeurs reste un défi : 79% des organisations ont du mal à évaluer la fiabilité de leurs nouveaux partenaires en matière de cybersécurité, et 62% rencontrent même des difficultés avec leurs éditeurs actuels.
- Ce manque de confiance a des conséquences : 51% des personnes interrogées estiment que ce manque de confiance engendre une anxiété quant à la probabilité que leur organisation subisse un cyber-incident majeur.
- Les professionnels IT et les dirigeants ne sont pas souvent d’accord : 78% des personnes interrogées affirment que leur équipe IT et leur direction/conseil d’administration ont des opinions divergentes quant à la fiabilité des éditeurs de cybersécurité utilisés au sein de leur organisation.
Vous souhaitez conserver ces résultats à portée de main ? Téléchargez le rapport ici.
Les niveaux de confiance signalés sont faibles
Seuls 5% des responsables IT affirment que leur organisation et eux-mêmes ont pleinement confiance en leurs éditeurs de cybersécurité.
Lorsque vous comptez sur votre éditeur de cybersécurité pour protéger votre réseau et assurer la continuité de vos opérations, la confiance est primordiale. Les éditeurs de cybersécurité sont ceux qui protègent votre entreprise 24h/24 et 7j/7, même la nuit et le week-end, et lorsque les membres de votre équipe IT sont en vacances. Pour les propriétaires de petites entreprises, il se peut même qu'ils n'aient pas de personnel IT dédié, et leurs produits ou services de cybersécurité peuvent alors agir comme un véritable employé à part entière.
Avant de pouvoir décider à qui faire confiance, les organisations sont confrontées à un défi encore plus fondamental : il s’agit tout simplement d’évaluer la fiabilité d’un éditeur, et ce dès le départ.
Selon l'enquête, 79% des personnes interrogées affirment qu'il est difficile d'évaluer la fiabilité des nouveaux éditeurs ou partenaires de cybersécurité, soulignant ainsi une difficulté généralisée à comparer les produits, à valider les performances et à comprendre si un éditeur potentiel peut réellement protéger l'entreprise. 62% d’entre elles ont également du mal à évaluer la fiabilité des éditeurs avec lesquels elles travaillent déjà, indiquant ainsi que les problèmes de confiance ne disparaissent pas une fois le contrat signé.
Les personnes interrogées ont souligné plusieurs obstacles à la confiance, la plupart étant liés à un manque de transparence. Nombreux sont ceux qui peinent à interpréter les affirmations des éditeurs, à évaluer les détails techniques ou à trouver les informations dont ils ont besoin pour prendre des décisions éclairées.
Près de la moitié (47%) disent que les informations fournies par les éditeurs ne sont pas factuelles ou suffisamment détaillées, et 45% trouvent ces informations difficiles à interpréter ou à comprendre. 43% admettent ne pas avoir les compétences ou les connaissances nécessaires pour évaluer efficacement les éditeurs, 41% sont confrontés à des informations contradictoires et 38% ont du mal à trouver les informations dont ils ont besoin.
La principale différence entre les petites entreprises (moins de 250 employés) et les grandes entreprises (plus de 1 000 employés) réside dans le fait que les PME sont beaucoup plus susceptibles de ne pas disposer des compétences ou des connaissances nécessaires pour évaluer efficacement la fiabilité des éditeurs ; les PME ont désigné ce point comme un problème 8% plus souvent que les personnes interrogées dans des grandes entreprises.
Confiance limitée : les potentiels impacts signalés
Cette recherche quantifie l'impact du manque de confiance entre un éditeur de sécurité et ses clients, un problème important à plusieurs égards. Interrogées sur l'impact du manque de confiance envers leurs éditeurs de cybersécurité, les personnes interrogées ont souligné un ensemble de conséquences émotionnelles et opérationnelles :
- 51% des personnes interrogées font état d'une inquiétude accrue quant à la possibilité que leur organisation subisse un cyber-incident majeur.
- 45% d'entre elles affirment que cette anxiété les incite davantage à changer d’éditeur, un processus coûteux et perturbateur pour la plupart des organisations.
- 42% constatent un renforcement des exigences en matière de surveillance.
- 41% déclarent avoir moins confiance en leur posture de cybersécurité.
- 38% se disent préoccupées par le fait qu'elles-mêmes ou leur organisation aient peut-être fait un mauvais choix d’éditeur.
Ces impacts signalés s'ajoutent aux exigences opérationnelles qui pèsent déjà sur les équipes IT/Cybersécurité.
Évaluations divergentes entre les équipes IT et dirigeantes
Un autre défi majeur réside dans le décalage entre les personnes qui utilisent quotidiennement les outils de cybersécurité et celles qui signent les contrats. 78% des personnes interrogées affirment que leur équipe IT et leur direction/conseil d'administration ont des opinions divergentes quant à la fiabilité de leurs éditeurs de cybersécurité, et près d'un tiers d'entre elles indiquent que ces désaccords sont fréquents.
Les personnes interrogées ont indiqué que l’équipe dirigeante restait très impliquée dans les décisions d'achat. Seulement 1% des organisations ont indiqué que l’équipe dirigeante ne jouait aucun rôle dans les décisions d'achat en matière de cybersécurité.
Comment les entreprises de cybersécurité peuvent mieux entretenir la confiance ?
Les personnes interrogées ont indiqué que des pratiques de sécurité transparentes et fondées sur des preuves sont essentielles pour instaurer un climat de confiance. Les organisations recherchent des éditeurs qui instaurent la confiance grâce à l'ouverture, la clarté et des pratiques de sécurité fondées sur des preuves.
Au sein des équipes dirigeantes et IT, les « éléments vérifiables témoignant de la maturité en matière de cybersécurité » ont été classés comme le principal facteur de confiance envers les éditeurs de solutions de cybersécurité. Ces types de preuve comprennent les programmes bug bounty, un Trust Center public, des avis détaillant les vulnérabilités de leurs produits (ainsi que la manière avec laquelle elles ont été corrigées), des évaluations tierces et des certifications.
« La transparence et la communication rapide lors des incidents et des divulgations » se classent également au deuxième rang des principaux facteurs de motivation pour les membres de l'équipe dirigeante et au troisième rang pour les membres de l'équipe IT.
L’engagement de Sophos à gagner la confiance de ses clients et partenaires
Chez Sophos, nous savons que la confiance se construit, elle ne se décrète pas, et nous nous efforçons de la gagner chaque jour grâce à la transparence, l'intégrité et un engagement indéfectible envers la protection de la sécurité et des données.
Au cœur de nos efforts se trouve Sophos Trust Center, où nous publions des avis de sécurité, documentons les vulnérabilités des produits et les solutions apportées, décrivons notre politique de conformité et expliquons comment nous protégeons les données de nos clients.
Cette transparence est également démontrée dans l’investigation Pacific-Rim de Sophos X‑Ops, qui a documenté publiquement une campagne de cinq ans menée par des acteurs malveillants basés en Chine et a partagé des tactiques, techniques et procédures (TTP) détaillées, des indicateurs de compromission (IOC) et des conseils de défense pour aider les organisations à renforcer leur résilience à l’échelle du secteur.
En révélant les activités sophistiquées des États-nations, en collaborant avec les gouvernements et d'autres éditeurs, et en faisant preuve de transparence quant à ses forces et ses faiblesses, Sophos démontre que la confiance se gagne au quotidien grâce à l'honnêteté, la responsabilité et un engagement à protéger l'écosystème numérique dans son ensemble.
Plus en savoir plus
Pour obtenir plus d'informations sur notre engagement à instaurer la confiance et sur les ressources que nous mettons à votre disposition pour vous aider à évaluer la confiance en Sophos, veuillez consulter le Trust Center ou contacter votre partenaire ou interlocuteur Sophos.
Pour consulter ces résultats au format PDF, accédez au rapport ici.
Billet inspiré de The Cybersecurity Trust Reality in 2026, sur le Blog Sophos.