L’incertitude politique s’accroît. Les chocs géopolitiques et les cyberattaques continuent de frapper durement les entreprises. L’incertitude économique persiste. Et l’IA progresse plus vite que la gouvernance ne peut suivre. L’IA agentique – la dernière vague de technologie d’IA – est déjà là, pourtant de nombreuses entreprises tentent encore de comprendre l’IA générative et ses risques trois ans après l’arrivée de cette technologie sur le marché grand public.
Ces forces créent un environnement à haut risque qui exige des réponses plus rapides, plus précises et plus proactives. Les stratégies de gestion des risques évoluent-elles assez rapidement face à ce paysage ?
Riskonnect a interrogé plus de 200 professionnels du risque, de la conformité et de la résilience dans le monde entier pour découvrir les menaces les plus pressantes d’aujourd’hui et voir si les organisations sont prêtes pour cette nouvelle génération de risques.
Le Rapport 2025 sur la nouvelle génération de risques révèle que les risques ayant le plus grand impact cette année sont la cybersécurité (61 %), l’économie (50 %) et la politique (40 %). Cependant, des écarts critiques subsistent entre l’impact des risques et la préparation.
Bien que les dirigeants réalisent des progrès significatifs dans des domaines importants, tels que la planification des scénarios catastrophes, l’adoption de l’IA et l’élaboration de plans pour les risques géopolitiques (qui étaient largement absents il y a un an), davantage d’efforts sont nécessaires.
Autres points marquants de l’enquête :
Le risque politique est désormais une menace du top 3, contre la cinquième place l’année dernière.
Pas moins de 97 % des entreprises déclarent que les risques politiques ont un impact sur leur activité d’une manière ou d’une autre, 40 % qualifiant cet impact de « significatif » ou « sévère ». Pourtant, seules 17 % des entreprises se disent préparées à évaluer, gérer et se remettre de ces risques.
En réponse, les entreprises déclarent avoir ralenti ou gelé les embauches (37 %), retardé les investissements technologiques majeurs ou les dépenses d’investissement (28 %), retardé les plans d’expansion (23 %), et diversifié les chaînes d’approvisionnement ou relocalisé les opérations (27 %) en raison de l’instabilité politique nationale.
La plupart des entreprises ne sont pas prêtes à repousser un afflux de cyberattaques déclenchées par les guerres commerciales.
Si les États-Unis adoptent des politiques commerciales plus restrictives à long terme, 62 % des responsables des risques affirment que le plus grand risque pour leur organisation est l’augmentation de l’exposition aux cyberattaques parrainées par des États et la réduction des investissements fédéraux en cybersécurité. Les autres risques d’un environnement commercial restrictif prolongé comprennent des coûts de production et indirects plus élevés (48 %), des perturbations graves de la chaîne d’approvisionnement et des pénuries (47 %), et des coûts de main-d’œuvre nationaux plus élevés (31 %).
Les entreprises restent dangereusement vulnérables aux risques liés aux fournisseurs et aux fournisseurs de leurs fournisseurs.
La grande majorité des organisations – 85 % – affirment avoir un plan de continuité d’activité pour maintenir l’entreprise en fonctionnement en cas de panne informatique majeure ou d’incident cyber chez l’un de leurs fournisseurs de services critiques. Mais cette visibilité s’arrête aux fournisseurs de niveau 1, laissant la plupart des entreprises exposées à des vulnérabilités cachées plus profondément dans la chaîne d’approvisionnement. À peine 8 % des répondants affirment pouvoir évaluer et surveiller les fournisseurs de leurs fournisseurs, les fournisseurs de ces fournisseurs, et ainsi de suite.
Les entreprises naviguent à l’aveugle concernant l’IA agentique.
Près de 60 % des responsables des risques affirment que leurs entreprises envisagent d’intégrer des solutions d’IA agentique dans leurs opérations ou leurs produits. Pourtant, plus de la moitié de ces dirigeants (55 %) n’ont pas évalué les risques. Et une part notable (15 %) disent ne pas savoir si leur organisation envisage d’intégrer l’IA agentique dans ses opérations ou produits – ce qui constitue un risque en soi.
Malgré l’augmentation de l’utilisation, peu d’entreprises sont préparées à gérer les risques liés à l’IA.
Seules 12 % des entreprises se disent préparées à évaluer, gérer et se remettre des risques liés à l’IA et à sa gouvernance. Bien que ce chiffre soit en hausse par rapport aux niveaux de préparation des années précédentes (9 % en 2023 et 8 % en 2024), il reste faible. Alors que les entreprises se précipitent pour déployer l’IA et l’utiliser comme moteur de valeur, c’est une situation dangereuse.
Les entreprises continuent de négliger des angles morts critiques en matière de gouvernance et de surveillance de l’IA.
Environ 42 % des entreprises n’ont pas de politique en place pour régir l’utilisation de l’IA par les employés – et 72 % n’en ont pas pour l’utilisation de l’IA générative par les partenaires et fournisseurs. Les trois quarts des répondants disent ne pas avoir de plan dédié pour traiter spécifiquement les risques liés à l’IA générative comme les deepfakes et les attaques frauduleuses basées sur l’IA. Et seulement 15 % disent avoir un budget spécifiquement destiné à l’atténuation des risques liés à l’IA.
Plus d’entreprises utilisent l’IA pour gérer les risques.
Sept entreprises sur dix utilisent actuellement l’IA pour aider à gérer les risques, contre 62 % l’année dernière. L’évaluation des risques est devenue le principal cas d’utilisation de l’IA dans la gestion des risques.
Beaucoup plus d’entreprises prennent des mesures délibérées pour planifier le pire.
Environ 61 % des responsables des risques disent avoir simulé leur scénario catastrophe, contre 44 % en 2024 et 37 % en 2023. L’adoption croissante de l’IA, qui rend la planification des scénarios plus facile et plus rapide à exécuter, pourrait être un facteur contribuant à cette augmentation.
Les tableurs, c’est fini. Les logiciels sont désormais privilégiés pour la gestion des risques.
Seules 40 % des entreprises utilisent principalement ou uniquement des tableurs pour gérer les risques. C’est une baisse significative par rapport aux 53 % d’entreprises qui déclaraient une forte dépendance aux tableurs l’année dernière. L’utilisation croissante des logiciels semble coïncider avec une plus grande confiance dans les données de risque. Pas moins de 90 % des entreprises font désormais confiance à leurs données, contre 84 % l’année dernière.
Les enseignements à tirer
Les données dressent un tableau clair : la gestion des risques est de plus en plus considérée comme une fonction stratégique de l’entreprise. Mais elle est dans un état de transition crucial, et les entreprises doivent investir de manière décisive pour réaliser son plein potentiel et renforcer son impact.
Il ne suffit pas de simplement suivre le rythme de cette nouvelle génération de risques. L’avantage ira à ceux qui prennent de l’avance sur ces risques. Quelques mesures à prendre dès maintenant :
- Adopter l’IA avec une gouvernance claire. L’IA n’est pas un projet secondaire. Traitez-la comme un risque d’entreprise central et gérez-la avec la même surveillance et la même diligence que les autres risques critiques.
- Planifier des scénarios. N’attendez pas que les risques se matérialisent. Testez votre plan d’action avec des simulations alimentées par l’IA qui prennent en compte les chocs et les facteurs de risque que vous pourriez autrement négliger.
- Regarder au-delà du niveau 1. Affinez votre capacité à évaluer et surveiller les risques dans l’ensemble de votre chaîne d’approvisionnement numérique, d’autant plus que les tiers sont souvent la porte d’entrée pour les acteurs malveillants. Même si vous ne pouvez pas être précis sur chaque niveau, soyez prêt à gérer les conséquences.
- Augmenter votre impact avec l’IA. Utilisez stratégiquement la technologie dans les domaines clés qui vous font gagner du temps et vous permettent d’être plus proactif et de vous concentrer sur l’essentiel.
- Investir dans la technologie. C’est essentiel pour garder une longueur d’avance et gérer tout le spectre des risques.
Cette nouvelle génération de risques n’est pas seulement définie par l’ampleur et la rapidité des menaces émergentes, mais aussi par la façon dont les entreprises se préparent à y faire face. Les mesures que vous prenez sont-elles suffisamment audacieuses, rapides et stratégiques pour garder une longueur d’avance ?
Pour un examen approfondi des résultats de l’enquête, téléchargez le Rapport 2025 sur la nouvelle génération de risques.
