AXA XL et Thales publient un rapport conjoint sur la résilience cyber qui dit, en creux, quelque chose de plus structurant que son contenu : l'assureur de grands risques intègre désormais les services de conseil de l'intégrateur de défense directement dans son cycle de souscription. L'évaluation de la maturité cyber d'un client nourrit les décisions sur les termes, le prix et la sélection des risques. La couverture assurantielle mue d’une garantie financière délivrée après incident, à un moyen de pilotage de la posture de sécurité.
« Les investissements en cybersécurité des organisations n'ont jamais été aussi élevés, mais la confiance dans leur résilience cyber n'a jamais été aussi faible ». C'est par cette formule que s'ouvre le rapport AXA XL / Thales, et elle mérite d'être prise au sérieux : elle vient d'un assureur qui observe, depuis la position de celui qui indemnise, l'écart entre ce que les organisations déclarent de leur préparation et ce qu'elles démontrent quand un incident survient.
Le rapport aborde le contexte qui rend ce diagnostic inévitable, où plus de 12 000 violations de données confirmées ont été recensées dans le monde en 2025, un record absolu, selon le rapport annuel Verizon sur les violations de données. Le coût moyen d'une fuite de données pour une organisation atteint 4,44 millions de dollars, selon IBM. Le temps de déplacement latéral moyen d'un attaquant à l'intérieur d'un réseau compromis est tombé à 29 minutes en moyenne, le record observé étant de 29 secondes, selon le rapport mondial sur les menaces de CrowdStrike. Ces chiffres signifient qu'entre la détection d'une compromission et la propagation dans les systèmes critiques, la fenêtre d'intervention se mesure désormais en minutes.
Quand l'assureur devient co-pilote de la posture de sécurité
La nouveauté du modèle AXA XL / Thales ne tient à ce qu'il préfigure dans la relation entre assureur et assuré. AXA XL explicite que son activité de conseil en risque cyber sert d'interface entre les clients et la souscription : les évaluations de maturité, les simulations de crise et les diagnostics de résilience conduits avec Thales alimentent directement les décisions de politique d'assurance. En clair, la qualité de la posture cyber d'une organisation influence les conditions auxquelles elle peut être couverte.
Ce glissement a des implications concrètes pour les DSI et les DAF, pour lesquels la maturité cyber cesse d'être une dépense de conformité réglementaire pour devenir un actif financier mesurable. Une organisation dont le dispositif de détection, de réponse et de continuité est solide obtient une couverture à des conditions plus favorables. Une organisation qui ne peut pas démontrer ses capacités de gestion de crise, sa visibilité sur ses actifs numériques ou sa maîtrise de ses dépendances tierces s'expose à des primes élevées, des exclusions élargies ou un refus de couverture. L'assurance cyber rejoint ainsi le modèle de l'assurance industrielle, où la prime reflète l'état réel de l'installation et non une déclaration.
Cinq priorités stratégiques du comité exécutif
Le rapport adresse ses recommandations explicitement aux conseils d'administration et aux comités exécutifs, non aux équipes techniques. Cinq priorités soutiennent cette interpellation. La visibilité complète des actifs numériques, OT, environnements cloud, dépendances tierces, est posée comme condition préalable à toute politique de résilience : sans cartographie fiable de ce qui est connecté et de ce qui est critique, le risque ne peut être ni priorisé ni atténué. La maîtrise des risques liés aux tiers étend le périmètre de gouvernance aux fournisseurs, aux prestataires de services managés et aux plateformes partagées, avec des attentes de résilience intégrées dès la contractualisation.
La gouvernance de l'IA est formulée avec une exigence de synchronisation que peu d'organisations respectent aujourd'hui : les dispositifs de supervision doivent évoluer au même rythme que les déploiements, en définissant des usages acceptables, des responsabilités sur les sorties des modèles et des mécanismes d'auditabilité. La préparation à la gestion de crise au niveau du conseil d'administration pose une question directe aux dirigeants : ont-ils répété leurs décisions, leurs circuits d'escalade et leurs obligations réglementaires sous pression, avant qu'un incident se produise ? La réponse, dans la majorité des organisations, est non.
Le post-quantique, un problème actuel, pas un risque futur
La cinquième priorité est celle qui suscite le plus de résistance dans les organisations, parce qu'elle porte sur une menace dont les effets ne sont pas encore tangibles. Le rapport, par la voix d'Ivan Fontarensky, directeur technique de Thales, nomme le scénario avec précision : le « harvest now, decrypt later », des acteurs collectent dès aujourd'hui des données chiffrées avec l'intention de les déchiffrer lorsque les capacités de calcul quantique seront matures. Les systèmes à longue durée de vie, infrastructures industrielles, systèmes embarqués, archives sensibles sur plusieurs décennies, sont les premiers exposés. La transition vers la cryptographie post-quantique est complexe, coûteuse et longue : les organisations qui ne commencent pas maintenant l'inventaire de leurs dépendances cryptographiques seront en retard réglementaire avant même que la menace soit pleinement perceptible, car les régulateurs américains, européens et britanniques commencent à fixer des attentes sur la préparation post-quantique.
Le message du rapport sur ce point est calibré pour contourner l'objection habituelle : le quantum n'est pas dans le budget de cette année. Il répond que le délai de transition lui-même est le problème, et qu'attendre que la menace soit immédiate pour initier une migration, c'est précisément ce que les acteurs offensifs anticipent.
La souveraineté numérique comme contrainte opérationnelle
Le rapport introduit une donnée qui devrait retenir l'attention des DSI européens : 70 % des déploiements cloud au sein de l'Union européenne sont contrôlés par des prestataires dont le siège est aux États-Unis. Cette concentration crée une tension structurelle entre les exigences de localisation imposées par le cadre réglementaire européen et les modèles de services transfrontaliers des hyperscalers américains, tension que la législation américaine dite CLOUD Act intensifie en matière d'accès aux données et de contrôle juridictionnel. Pour les organisations soumises à NIS2, DORA ou à l'AI Act, ce n'est pas une abstraction géopolitique : c'est une contrainte de conception des architectures et un critère de sélection des fournisseurs qui doit remonter au niveau de la gouvernance.
AXA XL et Thales positionnent leur partenariat précisément à cette intersection : la capacité de Thales à combiner protection des données, sécurité des identités et infrastructure souveraine avec la modélisation financière du risque d'AXA XL constitue, selon eux, la réponse au fait que la résilience cyber ne peut plus être atteinte par la technologie seule. Elle exige une quantification précise du risque et une couverture du coût de l'impact sur l'activité.
