Menée auprès de 3 163 professionnels de la sécurité et de l’IT dans 20 pays, l’étude de Thales confirme une tendance déjà bien ancrée : la sécurité du cloud reste en 2025 la discipline la plus stratégique en matière de cybersécurité. Près de deux tiers des répondants (64 %) la placent parmi leurs cinq premières priorités, et 17 % en font même leur tout premier sujet de préoccupation. En parallèle, 85 % des entreprises déclarent utiliser plusieurs fournisseurs cloud, avec une moyenne de 2,1 prestataires IaaS, tandis que le nombre moyen d’applications SaaS atteint 85 par organisation.
Mais derrière ce consensus stratégique, les indicateurs de performance restent préoccupants. Plus de la moitié des répondants (55 %) jugent que la sécurité cloud est plus complexe que celle des environnements sur site, en hausse par rapport à l’an passé. Ce sentiment de difficulté croissante révèle un déficit structurel de compétences, de gouvernance et d’outillage intégré, malgré des années d’investissements massifs.
Multicloud et “tool sprawl” : la fragmentation comme talon d’Achille
Le rapport met en évidence un phénomène de fragmentation accrue des outils de sécurité. Ainsi, 61 % des entreprises utilisent cinq outils ou plus pour la découverte, le suivi ou la classification des données, tandis que 57 % exploitent au moins cinq systèmes de gestion de clés. Cette prolifération entraîne des risques accrus de mauvaises configurations, de redondances, voire de failles opérationnelles entre silos de sécurité mal synchronisés.Dans les environnements multicloud, cette dispersion devient critique : les solutions de gestion des clés intégrées aux plateformes cloud (AWS KMS, Azure Key Vault…) sont rarement interopérables et compliquent la continuité de la protection. Le recours à des solutions unifiées de gestion de clés (BYOK, HYOK) progresse, mais reste minoritaire : seulement 28 % des répondants ont mis en œuvre une stratégie BYOK complète.
La sécurité de l’IA phagocyte les budgets cloud
Autre signal d’alerte : la montée en puissance de l’IA dans les priorités sécuritaires pourrait se faire au détriment de la protection cloud elle-même. L’étude révèle que 52 % des répondants voient les budgets dédiés à la sécurité de l’IA empiéter sur les enveloppes existantes. Or, l’essentiel des initiatives IA se déploie dans le cloud, sur des infrastructures qui manipulent de plus en plus de données sensibles. Cette concurrence budgétaire pose la question d’une cohérence stratégique : peut-on sécuriser l’IA sans renforcer en priorité les fondations infrastructurelles sur lesquelles elle repose ?Le cloud est désormais l’environnement de prédilection des cyberattaquants. Quatre des cinq cibles les plus fréquemment attaquées sont des actifs hébergés dans le cloud (stockage, applications SaaS, infrastructure de gestion). Le mode opératoire dominant est clair : 68 % des incidents signalés s’appuient sur des identifiants compromis ou des secrets dérobés. En parallèle, seuls 65 % des répondants déclarent avoir généralisé l’authentification multifactorielle pour leurs accès cloud, et 38 % ont mis en place une gestion des accès à privilèges (PAM).
Ce déséquilibre entre sophistication des attaques et faiblesse des mécanismes d’authentification souligne un décalage persistant entre la perception des menaces et les moyens réellement mis en œuvre. La gestion des secrets reste encore trop souvent considérée comme un problème technique et non comme un enjeu stratégique de protection des actifs critiques.
Une souveraineté numérique dictée par la portabilité
Loin de se limiter à un enjeu de conformité réglementaire, la souveraineté numérique apparaît dans l’étude comme un levier d’agilité et d’indépendance. Ils sont 42 % a estimer que la portabilité des charges de travail et des données est le premier moteur de leur stratégie de souveraineté cloud, devant les obligations réglementaires locales (16 %) ou globales (21 %). Cette approche plus opérationnelle que juridique révèle une maturité croissante des entreprises, qui perçoivent la souveraineté comme un moyen pour éviter de se retrouver enfermées dans un écosystème technique ou commercial donné.L’usage du chiffrement comme mécanisme de souveraineté est également plébiscité. Pas moins de 57 % des répondants estime que des politiques de gestion des clés efficaces permettent d’atteindre des objectifs de souveraineté indépendamment de l’emplacement physique des données. Mais cette vision suppose un pilotage fin, transverse et centralisé de la sécurité — un défi rarement atteint à ce jour.
Vers une consolidation des outils et des responsabilités
Le rapport souligne que la consolidation des outils de sécurité et l’intégration sur des plateformes unifiées est désormais perçue comme une priorité. L’idée d’un « système nerveux de la sécurité », capable de piloter à la fois les environnements cloud, sur site et hybrides, gagne du terrain. C’est notamment à ce prix que les entreprises pourront répondre à l’exigence de productivité, d’automatisation et de réduction des erreurs humaines — cause numéro un des brèches selon le rapport.En creux, se dessine une redéfinition des rôles et des compétences dans les équipes sécurité. La montée en puissance des approches DevSecOps, la nécessité de sécuriser les pipelines de développement, la gestion fine des API, l’orchestration des politiques de chiffrement ou d’accès : autant de chantiers qui imposent une hybridation des métiers et un pilotage plus transverse de la sécurité.
Un impératif d’unification à l’ère post-cloud
En définitive, l’étude Thales 2025 ne dresse pas le portrait d’une cybersécurité défaillante, mais celui d’une sécurité en transition. Le cloud n’est plus un territoire à sécuriser, mais l’infrastructure de base d’une informatique composite, pilotée par les données, les identités et les flux interconnectés. Pour les entreprises, l’enjeu n’est plus simplement de déployer des protections, mais de les unifier, de les piloter intelligemment et de les adapter à la nouvelle donne IA.Dans un environnement numérique où les charges de travail se déplacent, où les modèles s’autonomisent, et où les outils prolifèrent, le socle de confiance ne peut plus reposer sur une addition d’outils. Il doit être repensé comme une architecture cohérente, portée par une stratégie claire, des compétences solides et des choix d’infrastructure alignés avec les ambitions métier.
