La cybersécurité n'est plus un sujet marginal pour les cadres supérieurs
En 2022, 2024 et 2025, Sophos a interrogé des responsables de niveau C sur les thèmes de la cybersécurité dans le cadre de sa grande étude sur le management. Le résultat montre une sensibilisation croissante des cadres (au-delà du personnel informatique spécialisé) et une évolution de la sérénité initiale vers la pertinence stratégique et l'implication personnelle.
L'étude de management de Sophos «Chef, comment vous sentez-vous en matière de cybersécurité ?» montre, sur trois années d'enquête (2022, 2024, 2025), comment la perception, la responsabilité et la proximité personnelle des dirigeants sur ce sujet ont évolué. La cybersécurité est aujourd'hui bien établie au niveau de la direction et reste un sujet qui préoccupe et inquiète autant les patrons que les patronnes.
2022: Grande confiance en soi, peu d'insécurité
En 2022, 32,3 % des entreprises allemandes, 37,3 % des entreprises autrichiennes et 47,1 % des entreprises suisses ont confirmé que l'importance de la sécurité informatique avait encore augmenté. Cependant, la cybersécurité était alors principalement considérée comme une tâche informatique opérationnelle ; seules 1,9 % des entreprises de plus de 200 employés plaçaient la responsabilité au niveau de la direction.
Malgré la situation politique mondiale tendue et la guerre en Europe - qui s'est également déroulée très tôt au niveau cybernétique - de nombreuses entreprises ont encore réagi de manière relativement calme. Seul un tiers environ des cadres interrogés ont indiqué que la situation géopolitique avait aiguisé leur regard sur la sécurité informatique.
La majorité s'estime en revanche bien positionnée en matière de cyberprotection de son entreprise : 53 % des petites entreprises et près de 70 % des grandes n'ont pas (encore) vu de raison de repenser leur conscience de la sécurité ou l'importance stratégique de la cybersécurité. Nombre d'entre elles ont estimé que leurs mesures existantes étaient suffisantes et qu'il n'était pas nécessaire d'agir davantage. Cela suggère que la cybersécurité était certes considérée comme pertinente en 2022, mais qu'elle n'était pas encore perçue comme un défi stratégique aigu.
2024: La cybersécurité gagne en importance stratégique
Dans l'enquête de 2024, la cybersécurité était de plus en plus considérée comme un facteur commercial. En Allemagne, 55 % des cadres supérieurs la considéraient comme très importante pour leurs relations commerciales, 46 % en Autriche et 60 % en Suisse. En outre, 28 % des cadres allemands, 34 % des cadres autrichiens et 32 % des cadres suisses ont jugé le sujet important. Les chiffres indiquent que la cybersécurité a été davantage associée à la confiance, à la collaboration et à la stabilité de l'entreprise.
2025 : la cybersécurité atteint le top management
L'enquête de cette année montre que la cybersécurité n'est pas seulement établie stratégiquement, mais qu'elle s'est également rapprochée des niveaux de direction. En Allemagne, 29,5 % des responsables de niveau C ont été personnellement impliqués dans la résolution d'un incident de cybersécurité au cours des six derniers mois ; en Autriche, cette proportion était de 26 % et en Suisse de 34 %. En outre, 32 % des cadres allemands, 34 % des cadres autrichiens et 20 % des cadres suisses font état d'une expérience personnelle plus ancienne. Parallèlement, beaucoup confirment que les incidents opérationnels continuent d'être traités principalement en dessous du niveau supérieur : C'est ce qu'ont indiqué 36 % des Allemands, 38 % des Autrichiens et 42 % des Suisses interrogés. Cela suggère que la responsabilité stratégique et la mise en œuvre opérationnelle se rapprochent certes, mais qu'une répartition des tâches subsiste : Les lignes directrices stratégiques sont élaborées au sommet, tandis que la mise en œuvre opérationnelle concrète se fait principalement à des niveaux inférieurs.
Les attaques étatiques font l'objet d'une prise de conscience
Ce qui est frappant, c'est la sensibilité accrue aux risques géopolitiques. Les rapports des médias sur les cyberattaques organisées par les États semblent aujourd'hui plus déstabilisants qu'en 2022. Bien que la cyberprotection soit désormais considérée comme une partie intégrante de la gestion d'entreprise, la situation actuelle des menaces ne laisse pas de nombreux cadres indifférents : 27,5 % des cadres allemands, 30 % des cadres suisses et 36 % des cadres autrichiens rapportent en 2025 que les informations correspondantes les déstabilisent. Cela peut indiquer que les dynamiques géopolitiques se répercutent désormais plus fortement dans les sphères dirigeantes qu'il y a encore quelques années.
Les investissements augmentent, les exigences envers les partenaires aussi
Près de la moitié des entreprises en Allemagne (47 %) et en Suisse (48 %) et même 60 % en Autriche ont en outre sensiblement renforcé leurs mesures de sécurité informatique, selon les chiffres de 2025. Parallèlement, les exigences augmentent tout au long de la chaîne d'approvisionnement et des exigences explicites sont établies pour les partenaires : l'Autriche est ici en tête avec 36 %, suivie de la Suisse (22 %) et de l'Allemagne (16,5 %).
Comparaison DACH : même tendance, rythme différent
Dans l'ensemble, les trois années d'étude indiquent un changement important : la cybersécurité est devenue une partie intégrante de la gestion responsable d'une entreprise. Les équipes dirigeantes de la région DACH réagissent de manière plus sensible aux situations de menace, investissent de manière plus ciblée et se rapprochent personnellement du sujet. Le rythme de cette évolution diffère dans les trois pays : La Suisse présente constamment une sensibilité particulièrement élevée, l'Allemagne souligne surtout la pertinence à long terme du thème en 2025 et l'Autriche présente la réaction la plus forte aux tensions géopolitiques actuelles, ce qui se traduit à la fois par une plus grande insécurité et par des investissements plus marqués.
Source : Sophos
