Aller au contenu
Démarrer
Open search

La complexité des exigences en matière de conformité dépasse-t-elle les capacités IT ?

Quel que soit le pays, le secteur d'activité ou la taille de l'entreprise, les équipes IT/Cybersécurité font état d'une lourde charge en matière de réglementation et s'inquiètent quant à leur capacité à rester en conformité avec les diverses exigences.

Sophos

Écrit par Sophos

Is compliance complexity outpacing IT capacity?
Products & ServicesCISOCompliance

Les organisations sont aujourd'hui soumises à un volume important d'obligations en matière de conformité au niveau IT/Cybersécurité. En définissant des exigences dans des domaines tels que le contrôle d'accès, la réponse aux incidents, le chiffrement, la gouvernance et la gestion des éditeurs, les normes de conformité contribuent à réduire la probabilité et l'impact des cyberattaques, à soutenir les obligations réglementaires et légales et à renforcer la confiance dans les écosystèmes numériques.

5 000 responsables IT/Cybersécurité partagent leurs expériences en matière de conformité

Pour mettre en lumière la réalité en matière de conformité IT/Cybersécurité à laquelle les organisations sont confrontées aujourd'hui, Sophos a commandé une enquête indépendante auprès de 5 000 responsables IT/Cybersécurité dans 17 pays au sein de nombreux secteurs d'activité publics et privés. Menée début 2026, cette étude a permis de dégager les principaux résultats suivants :

  • De multiples obligations réglementaires : les personnes interrogées indiquent respecter en moyenne 5 normes de conformité (médiane), soulignant ainsi l'étendue des obligations réglementaires dans toutes les régions et tous les secteurs.
  • Préoccupations généralisées concernant la non-conformité : 82% des dirigeants craignent que leur organisation ne soit pas entièrement conforme à toutes les réglementations et exigences nécessaires, et près d’un quart (24%) sont très inquiets. Seuls 18% déclarent ne pas s'inquiéter de leur posture de conformité.
  • Frais globaux importants liés aux ressources : 39% du temps de l’équipe IT/Cybersécurité est consacré à des activités liées à la conformité.
  • Difficultés à suivre le rythme : 79% des organisations ont du mal à suivre l’évolution des exigences de conformité, et 19% d’entre elles affirment que c’est « très difficile ».
  • Les petites entreprises sont touchées de manière disproportionnée : les petites entreprises sont confrontées à un volume similaire de frameworks de conformité que les grandes, mais disposent de moins de ressources et d'expertise pour les mettre en œuvre.

Le secteur et la géographie jouent un rôle

Dans 17 pays du continent américain, de la zone EMEA et de la région Asie-Pacifique, et dans 15 secteurs d'activité différents, les réglementations les plus citées sont les suivantes :

  • ISO 27001/2 : 51,2% des personnes interrogées.
  • RGPD : 40,4% des personnes interrogées.
  • CIS : 29,7% des personnes interrogées.
  • NIST CSF : 23,8% des personnes interrogées.
  • PCI DSS : 23,1% des personnes interrogées.
  • HIPAA : 21,7% des personnes interrogées.
  • DORA : 19,8% des personnes interrogées.
  • NIS2 : 16,1% des personnes interrogées.

Bien que ces normes soient les plus fréquemment citées dans l'ensemble, leur adoption varie considérablement selon les secteurs et les régions.

Par exemple, 66% des organisations du secteur de la distribution et du transport ont cité la norme ISO 27001/2, contre 38% dans l’administration publique. De même, 60% des entreprises espagnoles visent à se conformer à la norme ISO 27001/2, contre 35% au Mexique, et 30% des organisations aux États-Unis se conforment à la norme NIST CSF, contre 13% en Australie.

La conformité aujourd'hui : trois points clés à retenir

Les résultats de l'enquête montrent que la charge en matière de conformité qui pèse sur les organisations est élevée et que le maintien de cette conformité constitue un défi permanent. Voici les principaux points à retenir pour les responsables IT/Cybersécurité :

La complexité de la conformité dépasse les capacités IT

Maintenir la conformité à une sele norme réglementaire est difficile, gérer la conformité à cinq normes représente une tâche colossale pour toute organisation. De nombreux frameworks requièrent des informations similaires, entraînant ainsi un niveau élevé de travail redondant pour les personnes impliquées. Et comme huit organisations sur dix (79%) ont du mal à rester informées des changements au niveau des exigences en matière de conformité, il est clair que les équipes IT/Cybersécurité peinent à suivre le rythme.

La conformité a un impact majeur sur les ressources

Les activités liées à la conformité peuvent aller de la compréhension des exigences réglementaires et de la mise en œuvre des contrôles requis, jusqu'au reporting du statut en matière de conformité. Les deux cinquièmes du temps d'une équipe IT/Cybersécurité classique étant consacrés aux efforts de conformité, il est essentiel que les organisations mettent en place les ressources adéquates pour répondre à leurs obligations de conformité et aux besoins plus larges de l'entreprise en matière IT/Cybersécurité.

Le manque de visibilité crée des angles morts en matière de conformité et de sécurité

Il ne suffit pas de penser que vous êtes en conformité ; vous devez savoir que vous l’êtes vraiment. Cependant, 82% des responsables IT/Cybersécurité craignent de ne pas être pleinement conformes à toutes les réglementations et exigences nécessaires, montrant ainsi clairement que les équipes manquent de visibilité pour être sûres de leur statut en matière de conformité. Sans une visibilité complète, les organisations risquent également de ne pas voir les failles de sécurité et opérationnelles qui augmentent leur risque de subir des cyber-incidents et des pertes de données. 

Le maintien d'une conformité continue avec de multiples normes réglementaires et de conformité représente une tâche majeure pour toutes les organisations, et particulièrement pour les petites entreprises qui sont touchées de manière disproportionnée par les frais financiers liés à l'embauche de personnel supplémentaire pour gérer de multiples réglementations en constante évolution. Face à l'augmentation probable du volume et de la complexité des exigences de conformité, les organisations devraient réfléchir à la meilleure façon de soutenir leurs obligations de conformité continues, notamment la possibilité de collaborer avec des spécialistes externes capables de fournir une expertise et un soutien en ressources.

Billet inspiré de Is compliance complexity outpacing IT capacity?, sur le Blog Sophos. 

À propos de l'auteur

Sophos

Sophos

Sophos is a cybersecurity leader defending 600,000 organizations globally with an AI-driven platform and expert-led services. Sophos meets organizations wherever they are in their security maturity and grows with them to defeat cyberattacks. Its solutions combine machine learning, automation, and real-time threat intelligence with frontline human expertise from Sophos X-Ops to deliver advanced, 24/7 threat monitoring, detection, and response.

Sophos offers industry-leading managed detection and response (MDR) alongside a comprehensive portfolio of cybersecurity technologies — including endpoint, network, email, and cloud security, extended detection and response (XDR), identity threat detection and response (ITDR), and next-gen SIEM. Together with expert advisory services, these capabilities help organizations proactively reduce risk and respond faster, with the visibility and scalability needed to stay ahead of evolving threats.

Sophos goes to market with a global partner ecosystem, including Managed Service Providers (MSPs), Managed Security Service Providers (MSSPs), resellers and distributors, marketplace integrations, and cyber risk partners, giving organizations the flexibility to choose trusted relationships when securing their business. Sophos is headquartered in Oxford, U.K. More information is available at www.sophos.com.