IA dans les organisations belges : l’adoption s’accélère, la gouvernance peine à suivre
Selon le rapport sur la cybersécurité 2026 de Proximus NXT, huit organisations sur dix autorisent leur personnel à utiliser des outils d'IA. Moins de trois sur dix, pourtant, disposent d'une politique officielle en matière d'IA. Et seule une sur quatre a adapté sa stratégie de cybersécurité en conséquence.
L'IA progresse très rapidement au sein des organisations belges. Mais alors que les collaborateurs sont de plus en plus encouragés à utiliser des outils d'IA, les cadres de gouvernance, les initiatives de sensibilisation et les stratégies de cybersécurité sont souvent à la traîne. C'est l'une des principales conclusions de cette septième édition de l’enquête sur la cybersécurité de Proximus NXT, réalisée en collaboration avec Ipsos, une agence d'études de marché indépendante et internationalement reconnue, sur la base d'entretiens téléphoniques menés en février 2026 auprès de 403 organisations belges (de plus de 10 collaborateurs).
Utilisation de l'IA et maturité en cybersécurité : un écart à combler
Comme le montre l'enquête, l'IA est largement autorisée et utilisée dans le travail quotidien, mais les politiques, la sensibilisation et les stratégies de cybersécurité ont du mal à suivre.
- 81 % des organisations indiquent que leur personnel est autorisé à utiliser des outils d'IA dans ses tâches quotidiennes.
- 29 % seulement ont mis en place une politique formelle en matière d'IA (avec de fortes disparités selon la taille de l'entreprise).
- 37 % seulement organisent des campagnes de sensibilisation aux risques et responsabilités liés à l'utilisation de l’IA pour leur personnel.
- 26 % seulement ont adapté leur stratégie de cybersécurité face aux évolutions récentes de l'IA, principalement pour mieux se protéger contre les menaces liées à cette technologie.
Le rapport souligne également que les organisations ont tendance à considérer l’IA davantage comme un nouveau facteur de risque que comme une opportunité stratégique en matière de cybersécurité, même si l’IA est de plus en plus utilisée pour aider à détecter les menaces. La cybersécurité, quant à elle, contribue à protéger les données et les systèmes dont dépend l’IA.
L’IA s’impose dans les environnements de travail à un rythme que la plupart des organisations peinent à suivre en termes de règles, de sensibilisation et de mesures de sécurité. Il en résulte un écart croissant entre adoption et protection. La cyberrésilience n’est plus un enjeu purement IT : c’est une responsabilité stratégique. Les organisations ont besoin d’une approche intégrée, alignant les personnes, les processus et les technologies, avec une gouvernance claire et des choix structurés en matière de cybersécurité appliquée à l’IA. Chez Proximus NXT, notre rôle est d’aider les organisations à renforcer ces fondations en fonction de leur maturité, de leur profil de risque et de leur réalité opérationnelle.
Les cyberincidents restent une réalité, avec souvent un impact financier
Ce déficit de gouvernance en matière d’IA survient à un moment où la pression en matière de cybersécurité reste forte au sein des organisations belges. L’enquête a révélé que 57 % d’entre elles ont subi au moins une tentative de cyberattaque au cours de l’année écoulée, et 20 % ont signalé que cela avait conduit à un incident de cybersécurité avéré. Ce phénomène touche particulièrement les grandes organisations.
Ces attaques prennent le plus souvent la forme de l'ingénierie sociale ou du phishing. Près de la moitié des organisations (43 %) signalent des tentatives, mais 4 % seulement de ces dernières aboutissent à un incident réel.
Les conséquences sont tangibles : 59 % des incidents ont entraîné des coûts financiers et 17 % ont conduit à une incapacité temporaire de travail du personnel.
La cybermaturité progresse, mais les enjeux liés aux compétences et au personnel persistent
Les résultats montrent également des progrès dans la manière dont les organisations structurent leur cybersécurité : 74 % déclarent disposer d'une stratégie de cybersécurité. Pourtant, il ne suffit pas nécessairement qu’une stratégie soit en place pour que les organisations se sentent suffisamment protégées contre l'évolution des menaces.
À cela s’ajoute le facteur humain, qui reste critique : le personnel peut constituer un point d'entrée pour les cyberpirates, pour peu qu’il ne soit pas suffisamment sensibilisé ou formé. Malgré cela, 37 % des organisations ne mènent toujours aucune campagne de sensibilisation à la cybersécurité. Dans le même temps, 34 % font état d'un manque d'expertise interne, de plus en plus lié à la disponibilité de compétences spécialisées plutôt qu’aux effectifs.
La réglementation se renforce : la sensibilisation à NIS2 progresse, mais le degré de conformité reste limité
Alors que la réglementation en matière de cybersécurité prend de l'importance, de nombreuses organisations en sont encore à la phase préparatoire. 15 % des personnes interrogées indiquent être soumises aux obligations de la directive NIS2. Les deux tiers d'entre elles, pourtant, déclarent ne pas encore être pleinement conformes.
La cyberrésilience, un parcours continu
L'enquête sur la cybersécurité 2026 de Proximus NXT montre que les organisations belges opèrent dans un environnement où les cybermenaces persistent, où la réglementation se durcit et où des technologies telles que l'IA redéfinissent à la fois les risques et les opportunités. Dans ce contexte, la cyberrésilience devient de plus en plus une responsabilité stratégique qui dépasse le cadre de l'IT.
À mesure que l'IA s'intègre dans les opérations, il devient essentiel d'aligner gouvernance de l'IA et cybersécurité pour faire progresser ensemble innovation et protection.
