Secu
Cyber résilience : « le Ripple Effect », nouveau risque des DSI
Par Thierry Derouet, publié le 03 mars 2026
On a trop souvent écrit la résilience comme un manuel : un PRA, des rôles, des procédures, et cette formule un peu trop lisse — « nous sommes prêts ». Dans le Resilience Factor Report – The Ripple Effect de Zscaler, un rapport fondé sur une enquête internationale menée avec Sapio Research, une idée revient avec insistance : la prochaine crise n’aura peut-être pas votre logo. Elle portera celui d’un fournisseur, d’un SaaS, d’un sous-traitant, d’un opérateur. Et pourtant, c’est bien votre entreprise qui prendra l’onde.
Zscaler appelle cela le Ripple Effect, l’effet ricochet. Une panne ou une compromission ailleurs ne reste plus ailleurs. Elle se propage dans des organisations reliées par des accès, des flux, des identités fédérées, des automatisations, et par ce que les DSI connaissent mieux que quiconque : la dépendance est devenue une architecture.
Ce constat arrive dans une actualité où la résilience n’est plus un mot de RSSI mais une ligne de risque au Comex. La souveraineté cloud, par exemple, est sortie du débat de principe pour devenir une question d’arbitrage et de calendrier. IT for Business l’a raconté ces dernières semaines, entre le retour du dossier EUCS et l’ombre portée de CADA (EUCS relancé, CADA en coulisses : ce que l’UE prépare vraiment pour le cloud), la poussée des investissements souverains vue par Gartner (Cloud souverain : l’Europe triple ses investissements selon Gartner), ou encore le “sovereign cloud” version hyperscaler, qui promet beaucoup tout en laissant intact le nœud juridictionnel (AWS lance son European Sovereign Cloud).
Dans cette étude, le décalage principal tient en une phrase : beaucoup d’organisations renforcent leur résilience “à l’intérieur”, pendant que le monde extérieur devient le premier facteur d’instabilité. Le DSI se retrouve alors à piloter une résilience qui n’est plus un périmètre, mais une circulation.
La dépendance aux tiers : l’angle mort qui finit toujours par parler
Le risque tiers n’est pas une mode, c’est le bruit de fond. Plus l’entreprise s’outille, plus elle confie : des données, des opérations, des pans entiers de production à des prestataires et à des services qu’elle ne maîtrise pas entièrement. Le problème n’est pas d’externaliser. Le problème est de croire qu’un contrat, une attestation et un questionnaire suffisent à remplacer une preuve.
Ces derniers mois, la “supply chain” est revenue au centre, non pas sous l’angle du discours, mais sous celui des textes et des responsabilités. L’Europe, avec le Cyber Resilience Act, pousse les éditeurs à sortir de l’opacité, à documenter, à sécuriser by design ce qui, pendant des années, a été assemblé comme on assemble une étagère trop vite (Supply chain logicielle : le CRA sonne le réveil pour les éditeurs). Et cinq ans après SolarWinds, on ne parle plus d’un “cas d’école” : on parle d’une règle du jeu (Supply chain : cinq ans après SolarWinds, la menace est devenue la règle).
Dans le récit Zscaler, la résilience devient donc une affaire de dépendances visibles : savoir ce qui est critique, ce qui est substituable, ce qui ne l’est pas, et ce qui se passe quand “l’autre” tombe. C’est une question de repli opérationnel autant que de cyber. Une question d’accès autant que de disponibilité. Et souvent, une question d’assurance : ce que l’on croit couvert ne l’est pas toujours, surtout quand l’incident n’est pas “chez vous”.
Shadow AI : l’usage qui déborde avant que la gouvernance n’arrive
Il y a un second ricochet, plus silencieux, qui ne vient pas d’un prestataire mais des couloirs : l’IA utilisée “pour aller vite”. Le Shadow IT existait. La Shadow AI le rend plus intime, parce qu’elle touche directement la matière première du travail : les documents, les mails, les notes, les procédures, parfois les données sensibles. Et elle progresse souvent à une vitesse qui ridiculise les circuits d’approbation.
IT for Business a documenté cette bascule de manière très concrète, en rappelant que le Shadow AI se traite d’abord comme un sujet de cybersécurité et de gouvernance, avec des outils déjà là — proxy/SWG, CASB, DLP — et une méthode progressive : observer, bloquer quand le risque l’exige, puis affiner par rôle et par donnée (Reprendre le contrôle face à un Shadow AI qui se généralise). C’est pédagogique, et c’est surtout réaliste : on ne “réforme” pas un usage, on l’encadre sans casser le quotidien.
Le rapport Zscaler insiste sur un point que les DSI connaissent : on peut interdire, mais on ne supprime pas le besoin. Si l’alternative officielle est plus lente, plus complexe, moins accessible, l’entreprise recrée elle-même ses contournements. La résilience, ici, consiste à éviter la fuite par l’outil “pratique”, pas à gagner une bataille morale.
IA agentique : quand l’outil ne se contente plus d’aider, mais agit
Le troisième mouvement, plus récent, est celui de l’IA agentique. Un assistant répond. Un agent exécute. Il enchaîne, il déclenche, il se branche. Et à partir de là, le modèle de contrôle change : l’accès devient le nerf, la traçabilité devient la preuve, et les garde-fous deviennent un design.
Ce n’est pas une spéculation. C’est déjà un marché de “cockpits” et de couches d’orchestration qui promettent de gouverner des flottes d’agents sans laisser le SI se fragmenter en silos (OpenAI Frontier et la bataille des cockpits d’orchestration). Et, côté menace, l’écosystème cyber annonce une industrialisation des attaques dopées à l’agentique, à un rythme qui oblige les défenseurs à revoir leurs réflexes (Trend Micro : 2026, bascule vers des usines à attaques agentiques).
Le rapport Zscaler se lit alors comme un avertissement simple : plus l’automatisation progresse, plus les erreurs, les dérives et les abus peuvent aller vite. La résilience ne se joue plus seulement dans la détection. Elle se joue dans la limitation du rayon d’impact, dans l’identité, dans le moindre privilège, dans la capacité à dire “non” à une action avant qu’elle ne parte, et à comprendre après coup ce qui s’est passé.
Sur ce point, l’actualité est presque ironique : les SOC branchent l’IA pour gagner des heures, pendant que les attaquants l’utilisent pour gagner des minutes. IT for Business l’a raconté avec des chiffres récents, en montrant comment agents offensifs, prompt injection et nouveaux connecteurs changent le visage des incidents (Cybersécurité 2026 : enfin des chiffres intéressants (rapport Darktrace)). Et l’ANSSI, sans dramatiser, a posé les termes du sujet : usages offensifs, menaces, points d’attention pour les organisations (L’ANSSI publie une note sur l’IA générative dans les cyberattaques).
Post-quantique : la dette qui s’accumule pendant que l’on regarde ailleurs
Le post-quantique, dans l’étude, n’est pas traité comme une panique, mais comme une dette. Ce n’est pas un “big bang” qui arrive demain à 9h. C’est un chantier qui devient impossible quand on l’a trop repoussé. La crypto est partout, souvent invisible, disséminée dans les certificats, les APIs, les appliances, les solutions tierces. Le jour où il faut changer, on découvre qu’on ne sait même pas où regarder.
La lecture la plus utile pour un DSI n’est pas “il faut tout migrer”. C’est « savoir où chiffrer, ce qu’on veut protéger à long terme, et comment le remplacer sans le casser ”. La résilience, ici, porte un autre nom : cryptoagilité.
La résilience, c’est l’art d’empêcher l’onde de traverser toute l’entreprise
Ce que Zscaler décrit, au fond, n’est pas une liste de solutions. C’est un changement de géographie. Le périmètre n’est plus la frontière. Le fournisseur n’est plus “à côté”. L’IA n’est plus “un outil”. Et la souveraineté n’est plus “une opinion”. Tout cela se mélange dans le même bassin.
Dans ce paysage, la cyber-résilience devient une propriété du système, au sens large : de l’architecture, des identités, des flux, des dépendances, des preuves. Elle se mesure moins à ce que l’on affirme qu’à ce que l’on encaisse, et à la vitesse à laquelle on retrouve un chemin praticable quand l’extérieur se dérègle.
Le DSI, lui, n’a pas besoin d’un sermon. Il a besoin d’un principe directeur : faire en sorte qu’un incident, même venu d’ailleurs, ne devienne pas une traversée complète. Réduire l’impact, contenir la propagation, garder la main sur les données, et rappeler au Comex cette vérité qui pique un peu : aujourd’hui, être résilient, ce n’est pas “tenir”, c’est “tenir malgré les autres”.
L’étude en bref
Qui ? Zscaler, avec Sapio Research.
Quand ? Enquête menée en décembre 2025 (publication début 2026).
Échantillon. 1.750 décideurs IT et responsables métiers, dans des entreprises de 500 salariés et plus.
Périmètre. 14 pays (dont la France).
Objet. Mesurer la maturité “cyber résilience” face aux chocs externes (risque tiers, volatilité, IA, cryptographie post-quantique) et les capacités de préparation, de gouvernance et de test.
À LIRE AUSSI :
