Le Enquête SANS sur les cyber-menaces 2026 Cette étude est parue, et sa principale conclusion est un paradoxe que tout responsable de la sécurité peut tirer profit : le CTI est largement reconnu comme essentiel, mais il ne détermine pas systématiquement les décisions qui comptent.
91 % des RSSI considèrent les renseignements commerciaux comme précieux, voire extrêmement précieux, mais seulement 26 % affirment qu'ils influencent significativement leurs décisions. Cet écart s'explique par la difficulté à traduire les renseignements commerciaux en informations opérationnelles, et constitue l'une des six conclusions que nous allons examiner ici.
Pour la première fois, l'enquête SANS sur le renseignement informatique (CTI) comprend une section dédiée aux RSSI, recueillant les réponses des responsables de la sécurité en complément des données traditionnelles axées sur les praticiens. Il en résulte un tableau plus complet que jamais de l'expérience du CTI des deux côtés : des analystes qui produisent les renseignements et des dirigeants qui les exploitent (ou non).
L'enquête a recueilli les réponses de près de 500 professionnels qualifiés en cybersécurité du monde entier entre novembre 2025 et janvier 2026, couvrant les services financiers, le gouvernement, la technologie, les soins de santé, la fabrication et bien plus encore.
Combler le fossé entre la reconnaissance et l'influence des CTI
Obtenez l'intégralité de l'enquête SANS CTI, notre résumé, la fiche pratique pour traduire les renseignements en décisions pour les parties prenantes et d'autres ressources dont vous avez besoin pour évaluer votre programme et accroître votre influence auprès des dirigeants.
Six conclusions clés concernant CTI
1. L'écart entre les valeurs et l'influence est bien réel.
C’est là le constat déterminant. Les RSSI ne remettent pas en question la fiabilité des CTI, mais ils peinent à déterminer comment les exploiter. do Décrire une menace avec précision ne revient pas à indiquer à un dirigeant quels risques exigent une action immédiate, ce qu'il faut dire au conseil d'administration ou comment allouer le budget.
- 49 % des RSSI considèrent CTI comme « extrêmement précieux ».
- 42 % affirment que cela n'influence que « modérément » leurs décisions
- Seulement 26 % affirment que cela « influence significativement » leurs décisions
Les renseignements appréciés mais non mis en œuvre n'atteignent pas encore leur objectif.
2. Le nombre d'équipes CTI augmente, mais elles sont surchargées.
56 % des organisations déclarent désormais disposer d'une équipe CTI dédiée et formelle, soit le taux le plus élevé jamais enregistré. Cependant, la plupart de ces équipes comptent moins de quatre employés à temps plein, et près d'un quart d'entre elles reposent sur une seule personne ou sur un modèle de responsabilité partagée.
Parallèlement, CTI est sollicitée pour apporter son soutien aux opérations de sécurité, à la réponse aux incidents, à la recherche de menaces, à la gestion des vulnérabilités, à l'émulation d'adversaires, à la gestion des risques, à la prise de décision par la direction, et bien plus encore. Une équipe de deux ou trois analystes ne peut en aucun cas gérer l'ensemble de ces aspects de la sécurité.
L’enquête est sans détour : « Les organisations ont adopté la CTI comme une capacité plus rapidement qu’elles ne l’ont financée comme une fonction. »
3. L'IA est passée du stade expérimental à celui d'opérationnelle
Près de la moitié des organisations (45 %) utilisent aujourd'hui l'IA dans leurs programmes de cybersécurité, et 32 % supplémentaires prévoient de l'adopter. Les principaux cas d'utilisation sont pratiques, et non spectaculaires :
- Synthèse des données et rédaction de rapports : 56 %
- Analyse, normalisation et extraction des données : 46 %
- Améliorations de l'automatisation et des flux de travail : 45 %
- Intelligence artificielle intégrée aux produits des fournisseurs : 42 %
Le modèle où l'humain reste au centre de la réflexion a toute sa place. L'IA ne remplace pas les analystes CTI, et elle leur permet de dégager du temps pour effectuer les tâches analytiques que l'IA ne peut pas réaliser.
4. Les obstacles sont structurels, et non liés aux compétences.
Pendant des années, la communauté CTI a débattu de la « pénurie de compétences ». Les données de 2026 redéfinissent complètement ce débat, car les participants à l'enquête ont souligné que les problèmes suivants empêchent leur organisation de mettre en œuvre efficacement la CTI :
- Manque de temps pour mettre en œuvre de nouveaux processus : 44 %
- Manque de financement : 44 %
- Manque d'adhésion de la direction : 27 %
- Manque de compétences techniques : 24 %
Les organisations ont réalisé de réels progrès dans le développement des talents en cybersécurité. Ce qui manque, ce sont le temps et les ressources nécessaires pour permettre à ces talents d'exprimer pleinement leur potentiel.
De plus, l'épuisement professionnel (38 %) et le cloisonnement organisationnel (40 %) limitent l'efficacité des analystes. Lorsque CTI perd des analystes expérimentés à cause de l'épuisement professionnel, les répercussions se font sentir dans des équipes déjà réduites.
5. Les opérations de sécurité ont repris la première place
Pour la première fois depuis 2022, les opérations de sécurité (71 %) ont dépassé la chasse aux menaces comme principal cas d'utilisation du renseignement sur les cybermenaces. Cela reflète probablement l'intégration des renseignements issus de la chasse aux menaces dans des règles et des scénarios de détection, signe de maturité.
Mais un risque existe : lorsque le renseignement informatique devient principalement une fonction de soutien aux opérations réactives, sa capacité à fournir des renseignements stratégiques et prospectifs diminue. Le problème du triage s’auto-alimente.
6. La gouvernance est le risque oublié
Plus de la moitié des organisations (55 %) ne disposent pas de processus de partage d'informations sur les communications électroniques (CTI) validés juridiquement, malgré des réglementations telles que NIS2 La loi sur la cyber-résilience impose de nouvelles obligations. Conséquence concrète : les équipes de renseignement en ligne confrontées à l’incertitude juridique ont tendance à moins partager d’informations, ce qui compromet le principe même du renseignement collaboratif.
Ce que les RSSI veulent réellement
Les dirigeants ne demandent pas plus Des renseignements. Ils demandent des renseignements qui éclairent leur processus de décision. Leurs priorités pour les 12 prochains mois :
- Informations sur les vulnérabilités activement exploitées : 79 %
- TTP spécifiques de l'adversaire : 77 %
- Informations générales sur les tendances des attaques : 64 %
- Alertes de menaces spécifiques à leur marque et à leur propriété intellectuelle : 62 %
Les rapports les plus appréciés sont les analyses du paysage des menaces (89 %), les rapports d'analyse après incident (78 %) et les analyses périodiques de l'actualité en cybersécurité (70 %). Les rapports destinés aux entreprises arrivent en dernière position (41 %), mais cela reflète très probablement leur faible fréquence de production, et non un manque d'utilité.
Recommandations à l'intention des responsables de la sécurité
D’après les résultats de l’enquête, voici des mesures concrètes que les responsables de la sécurité peuvent prendre pour combler l’écart entre la reconnaissance et l’influence en matière de cybercriminalité :
Soutenir les décisions commerciales
Structurez les résultats de l'analyse des menaces en fonction des décisions stratégiques prises par les dirigeants, et non des menaces suivies par les analystes. Commencez par la recommandation, étayez-la par des preuves et indiquez clairement les mesures à prendre.
Commencer ici: Ce trimestre, interrogez deux ou trois décideurs clés et demandez-leur quelles décisions ils prennent chaque mois. Identifiez les opportunités d'appuyer ces décisions sur des renseignements relatifs aux menaces. Ces opportunités pourraient vous surprendre. Par exemple, vous pouvez informer vos responsables RH de la fréquence des opérations de recrutement frauduleuses commanditées par des États. Vous pouvez également recommander de vérifier les adresses électroniques de tous les candidats auprès de sources de renseignement pertinentes.
Connectez directement les données CTI à la priorisation des vulnérabilités
79 % des RSSI souhaitent connaître les vulnérabilités activement exploitées, et 63 % des équipes CTI prennent déjà en charge la gestion des vulnérabilités. Cette capacité existe des deux côtés ; il manque simplement la visibilité de cette connexion.
Commencer ici: Élaborez un document mensuel d'une page recensant les vulnérabilités exploitées au sein de votre environnement et associant chacune à une priorité de correction recommandée. Offrez aux dirigeants un accès direct à l'information et à l'action.
Prenez le contrôle de votre coût total de possession (CTP) CTI
43 % des programmes CTI ne suivent pas leur évolution dans le temps, et près de la moitié ne recueillent pas de retours d'information systématiques sur leur efficacité. Comme le souligne l'enquête : « On ne peut pas justifier un budget dont on ne peut pas mesurer l'efficacité. »
Les programmes qui ne démontrent aucune amélioration ne peuvent pas justifier, données à l'appui, l'obtention de ressources supplémentaires. Il est judicieux d'établir ou de mettre à jour le coût total de possession (CTP) de votre programme : prendre en compte tous les coûts de licence, les flux de données, les coûts d'ingestion et les services avant de quantifier la valeur et l'impact. Les équipes de sécurité capables de démontrer un impact mesurable sont celles qui parviennent à maintenir les investissements malgré les contraintes budgétaires.
Commencer ici: Définir des indicateurs pour chaque outil CTI majeur (portée, utilisation, impact sur les décisions), mettre en œuvre un mécanisme de retour d'information structuré et adopter un cadre de suivi de la maturité comme CTI-CMM comme référence.
Utilisez l'IA pour créer des capacités, pas de la complexité.
Avec 45 % des organisations qui utilisent déjà l'IA dans le domaine de l'informatique décisionnelle, les opportunités de se démarquer grâce à une adoption précoce se réduisent. Il est donc essentiel de concentrer l'IA sur les tâches à fort volume et à faible valeur ajoutée, afin de libérer les analystes pour des analyses plus poussées.
Commencer ici: Identifiez les trois tâches répétitives les plus chronophages dans votre flux de travail CTI et évaluez comment l'automatisation assistée par l'IA avec des données structurées peut réduire l'effort manuel.
Concevez pour l'équipe que vous avez
Cessez de concevoir des programmes CTI pour un effectif futur qui ne se concrétisera peut-être jamais. Trois éléments font la différence entre une petite équipe performante et une équipe qui s'épuise :
- Automatisation intensive des tâches à faible valeur ajoutée et à volume élevé
- Définitions d'un portefeuille de produits clair avec des limites de portée explicites
- Alignement des attentes des parties prenantes sur une prestation réaliste
Obtenez une analyse juridique des processus de partage
Les programmes de renseignement commercial sans processus de partage validés juridiquement s'exposent à des risques de non-conformité et à un effet dissuasif sur le partage d'informations. Formaliser ce qui peut être partagé, avec qui et dans quelles conditions permet aux analystes de partager en toute confiance, plutôt que d'hésiter instinctivement.
Commencer ici: Planifiez une réunion avec un conseiller juridique ce trimestre. La plupart des partages de données CTI sont déjà réglementés, et leur formalisation lève toute ambiguïté.
Renseignements axés sur les affaires pour les pilotes
Seulement 41 % des RSSI considèrent aujourd'hui les renseignements commerciaux comme utiles, mais les dirigeants ne peuvent pas exiger ce qu'ils n'ont jamais vu. Des produits tels que les évaluations des risques liés aux fusions-acquisitions, les notes d'information sur les déplacements des dirigeants et les profils de menaces pesant sur la chaîne d'approvisionnement constituent une toute nouvelle forme d'influence.
Commencer ici: Identifiez un événement commercial à venir, comme une fusion, un déplacement important de la direction ou un nouveau partenariat avec un fournisseur, et rédigez un rapport ou une note d'information unique sur les menaces qui y sont liées. Utilisez cette réponse pour justifier la production de rapports supplémentaires.
CTI en 2026 : Prête à accroître son influence
Cette discipline a bénéficié d'une large adoption institutionnelle, a démontré ses capacités techniques et a intégré l'IA aux processus opérationnels. Ce qu'elle n'a pas encore réussi à faire, c'est traduire systématiquement ces acquis en décisions qui façonnent la stratégie organisationnelle.
L'écart entre la reconnaissance et l'impact ne se comble pas par la simple production de meilleurs rapports. Il se comble en comprenant les décisions spécifiques prises par les parties prenantes et en adaptant les renseignements pour les éclairer directement. C'est dans ce passage du signalement des menaces à la recommandation d'actions que l'influence des CTI se gagne ou se perd.
Pour les équipes de sécurité qui cherchent à exploiter le renseignement sur les menaces avec un contexte complet et un minimum de bruit, les plateformes qui font apparaître des signaux exploitables, plutôt que des volumes bruts de données, peuvent contribuer à combler précisément ce type d'écart entre l'information et l'action.
Combler le fossé entre la reconnaissance et l'influence des CTI
Obtenez l'intégralité de l'enquête SANS CTI, notre résumé, la fiche pratique pour traduire les renseignements en décisions pour les parties prenantes et d'autres ressources dont vous avez besoin pour évaluer votre programme et accroître votre influence auprès des dirigeants.
