%3Aquality(100)&w=640&q=75){kind=logo}
Étude « L'état des communications sécurisées en 2026 » : le fossé entre confiance et capacités
Une confiance mal placée dans les applications de messagerie grand public expose les gouvernements et les infrastructures critiques à des risques.
21 avril 2026
·Blog
·Christine Gadsby
%3Aquality(100)&w=3840&q=75)
Au sein des administrations publiques et des organismes chargés des infrastructures critiques, les responsables de la sécurité se disent très confiants quant à la sécurité de leurs systèmes de messagerie et de communication. Le problème est que cette confiance repose souvent sur des hypothèses ou sur les promesses des fournisseurs, plutôt que sur les capacités et l'architecture requises dans le contexte actuel des menaces.
BlackBerry a publié aujourd’hui le rapport « The State of Secure Communications 2026 », une enquête menée auprès de 700 responsables de la sécurité au sein des administrations publiques et des infrastructures critiques aux États-Unis, au Royaume-Uni, au Canada et à Singapour. Les résultats mettent en évidence une tension manifeste : les organisations dont les activités sont essentielles s’appuient sur des outils de messagerie conçus pour la commodité, et non pour répondre aux exigences opérationnelles, de souveraineté et de protection contre les menaces propres aux environnements sécurisés.
L'« appli » qui fait parler d'elle : WhatsApp, Signal et l'illusion de la sécurité
Commençons par un chiffre qui devrait donner à réfléchir à tous les responsables de la sécurité : 83 % des personnes interrogées indiquent que WhatsApp est utilisé pour des discussions sensibles au sein de leur entreprise.
Il ne s'agit pas d'un phénomène marginal. C'est une pratique courante. Et cela se produit alors que les services de renseignement des États-Unis, du Royaume-Uni et d'Europe publient de nouvelles alertes concernant des campagnes d'espionnage soutenues par des États qui visent spécifiquement les comptes WhatsApp et Signal de responsables publics et de journalistes.
Le spectre des menaces s'est élargi : les attaques visent de plus en plus non seulement les réseaux, mais aussi les comptes, les appareils et les applications utilisés au quotidien
« Chiffré » ne signifie pas « sécurisé » : une confiance fondée sur des angles morts
88 % des responsables de la sécurité se disent confiants quant à la sécurité de leurs applications de messagerie actuelles — mais cette confiance repose souvent sur des idées dépassées quant à ce que le chiffrement est censé protéger.
Le rapport met en évidence des lacunes importantes dans la manière dont les responsables de la sécurité appréhendent et mettent en œuvre les capacités de chiffrement.
52 % des personnes interrogées pensent à tort que le chiffrement protège les métadonnées, notamment les données de localisation, les adresses IP et les habitudes de communication
47 % pensent à tort que cela empêche les attaques par usurpation d'identité, les deepfakes ou l'usurpation d'adresse IP
41 % pensent que les communications restent sécurisées même après qu'un appareil a été piraté
Le chiffrement de bout en bout (E2EE) protège le contenu des messages pendant leur transmission. Il ne protège pas les métadonnées. Il ne vérifie pas l'identité de l'interlocuteur. Et il ne peut pas protéger les communications une fois qu'un appareil a été piraté — un scénario de plus en plus exploité tant par des acteurs criminels que par des acteurs liés à des États.
Au fil du temps, le terme « crypté » est devenu synonyme de « sécurisé », occultant ainsi d'importantes limites architecturales et opérationnelles.
Le paradoxe de la souveraineté : vouloir le contrôle, choisir la dépendance
Ces résultats mettent en évidence une contradiction structurelle plus profonde. 55 % des personnes interrogées affirment que le contrôle souverain est une priorité pour leurs systèmes de communication, notamment la localisation des données sur le territoire national, l'infrastructure nationale et la réduction de l'exposition à la juridiction étrangère.
Pourtant, 98 % de ces mêmes organisations utilisent des plateformes de messagerie grand public qui s'appuient sur des infrastructures détenues par des entités étrangères. Leurs serveurs et leurs centres de données sont situés à l'étranger et soumis à des législations étrangères. Il ne s'agit pas d'une lacune en matière de conformité qu'une simple mise à jour des politiques pourrait combler. C'est une impossibilité d'ordre architectural.
Le risque ne se limite pas à l'accès aux données. Les plateformes hébergées à l'étranger peuvent être ralenties, suspendues ou fermées en fonction des décisions de politique étrangère du pays hôte, sans qu'il soit possible d'intenter de recours juridique au niveau national. En cas de crise géopolitique, au moment même où la sécurité des communications est la plus cruciale, la disponibilité et la continuité de ces services peuvent être compromises.
Par ailleurs, 52 % des personnes interrogées craignent que les réseaux de télécommunications puissent être surveillés ou perturbés, un risque déjà mis en évidence par des campagnes telles que Salt Typhoon , plus récemment, « UNC3886 » à Singapour. Maisla surface d'attaque s'étend rapidement. Les pirates ne se contentent plus d'accéder au réseau, mais ciblent de plus en plus les couches qui l'entourent : les comptes, les appareils et les applications que les utilisateurs consultent quotidiennement.
Le fossé entre la confiance et les capacités
Ces vulnérabilités deviennent particulièrement dangereuses lorsque les organisations sont sous pression. 90 % d'entre elles se disent confiantes dans leur capacité à gérer un incident majeur, mais seules 49 % déclarent disposer d'une plateforme unifiée pour coordonner la gestion de crise.
En cas de crise, la plupart se rabattent sur les discussions de groupe, les chaînes d'e-mails et les chaînes téléphoniques : des outils familiers qui n'ont jamais été conçus pour assurer le commandement et le contrôle en temps réel ni pour permettre une coordination interinstitutionnelle sécurisée.
Le piège du « ça suffit »
Dans l'ensemble, ces résultats indiquent que de nombreuses organisations fondent leur fonctionnement sur des hypothèses plutôt que sur des capacités validées en permanence. 96 % des responsables de la sécurité sont favorables à l'obligation d'utiliser des appareils sécurisés et certifiés pour les communications sensibles, mais 41 % d'entre eux estiment parallèlement que leur système de chiffrement actuel offre déjà cette protection
Ils veulent des infrastructures souveraines, mais utilisent des plateformes qui ne permettent pas de les mettre en place. Ils se disent prêts à faire face aux crises, mais ne disposent pas des systèmes nécessaires pour étayer cette affirmation.
Le problème ne réside pas uniquement dans le chiffrement, mais aussi dans l'architecture. Les plateformes grand public génèrent et conservent des métadonnées, sont soumises à des législations étrangères en matière d'accès aux données et ne disposent pas des mécanismes de contrôle, des pistes d'audit et des procédures de vérification d'identité requis par les environnements hautement sécurisés
Le problème ne réside pas dans les technologies de sécurité elles-mêmes. Il réside dans le décalage entre ce que font réellement les outils de sécurité et ce que les responsables de la sécurité pensent qu'ils font.
Trois questions que tout responsable de la sécurité devrait se poser aujourd'hui
À quelles menaces spécifiques nos outils de communication actuels permettent-ils de faire face, et lesquelles nécessitent des mesures de contrôle distinctes ? Ne partez pas du principe que « crypté » signifie « sécurisé ».
Notre infrastructure répond-elle à nos exigences en matière de souveraineté ? Si votre politique exige un contrôle national, mais que vos plateformes fonctionnent sur des serveurs étrangers, ce décalage est d'ordre architectural, et non procédural.
Si une crise venait à se produire demain, disposerions-nous d'un système unifié permettant une réponse coordonnée ?Ou comptons-nous uniquement sur les groupes de discussion et les fils de discussion par e-mail ?
Ces défis mettent en évidence un besoin plus général : des systèmes de communication conçus pour des environnements à haut risque, garantissant l'authenticité des identités, le contrôle des métadonnées, la traçabilité et une clarté juridique.
Conçu spécialement pour relever les défis
BlackBerry® Secure Communications est conçu pour répondre à ces exigences, en offrant des communications sécurisées de niveau gouvernemental et des solutions de gestion de crise grâce à une identification vérifiée, un chiffrement robuste et une infrastructure souveraine configurable.
Le rapport « L'état des communications sécurisées en 2026 » est désormais disponible. Lisez le rapport complet pour évaluer le niveau de risque de votre organisation en matière de communications et comprendre ce qu'apportent les communications sécurisées dès la conception.
Étude « L'état des communications sécurisées en 2026 » : le fossé entre confiance et capacités
Une confiance mal placée dans les applications de messagerie grand public expose les gouvernements et les infrastructures critiques à des risques.
21 avril 2026
·Blog
·Christine Gadsby
Au sein des administrations publiques et des organismes chargés des infrastructures critiques, les responsables de la sécurité se disent très confiants quant à la sécurité de leurs systèmes de messagerie et de communication. Le problème est que cette confiance repose souvent sur des hypothèses ou sur les promesses des fournisseurs, plutôt que sur les capacités et l'architecture requises dans le contexte actuel des menaces.
BlackBerry a publié aujourd’hui le rapport « The State of Secure Communications 2026 », une enquête menée auprès de 700 responsables de la sécurité au sein des administrations publiques et des infrastructures critiques aux États-Unis, au Royaume-Uni, au Canada et à Singapour. Les résultats mettent en évidence une tension manifeste : les organisations dont les activités sont essentielles s’appuient sur des outils de messagerie conçus pour la commodité, et non pour répondre aux exigences opérationnelles, de souveraineté et de protection contre les menaces propres aux environnements sécurisés.
L'« appli » qui fait parler d'elle : WhatsApp, Signal et l'illusion de la sécurité
Commençons par un chiffre qui devrait donner à réfléchir à tous les responsables de la sécurité : 83 % des personnes interrogées indiquent que WhatsApp est utilisé pour des discussions sensibles au sein de leur entreprise.
Il ne s'agit pas d'un phénomène marginal. C'est une pratique courante. Et cela se produit alors que les services de renseignement des États-Unis, du Royaume-Uni et d'Europe publient de nouvelles alertes concernant des campagnes d'espionnage soutenues par des États qui visent spécifiquement les comptes WhatsApp et Signal de responsables publics et de journalistes.
Le spectre des menaces s'est élargi : les attaques visent de plus en plus non seulement les réseaux, mais aussi les comptes, les appareils et les applications utilisés au quotidien
« Chiffré » ne signifie pas « sécurisé » : une confiance fondée sur des angles morts
88 % des responsables de la sécurité se disent confiants quant à la sécurité de leurs applications de messagerie actuelles — mais cette confiance repose souvent sur des idées dépassées quant à ce que le chiffrement est censé protéger.
Le rapport met en évidence des lacunes importantes dans la manière dont les responsables de la sécurité appréhendent et mettent en œuvre les capacités de chiffrement.
52 % des personnes interrogées pensent à tort que le chiffrement protège les métadonnées, notamment les données de localisation, les adresses IP et les habitudes de communication
47 % pensent à tort que cela empêche les attaques par usurpation d'identité, les deepfakes ou l'usurpation d'adresse IP
41 % pensent que les communications restent sécurisées même après qu'un appareil a été piraté
Le chiffrement de bout en bout (E2EE) protège le contenu des messages pendant leur transmission. Il ne protège pas les métadonnées. Il ne vérifie pas l'identité de l'interlocuteur. Et il ne peut pas protéger les communications une fois qu'un appareil a été piraté — un scénario de plus en plus exploité tant par des acteurs criminels que par des acteurs liés à des États.
Au fil du temps, le terme « crypté » est devenu synonyme de « sécurisé », occultant ainsi d'importantes limites architecturales et opérationnelles.
Le paradoxe de la souveraineté : vouloir le contrôle, choisir la dépendance
Ces résultats mettent en évidence une contradiction structurelle plus profonde. 55 % des personnes interrogées affirment que le contrôle souverain est une priorité pour leurs systèmes de communication, notamment la localisation des données sur le territoire national, l'infrastructure nationale et la réduction de l'exposition à la juridiction étrangère.
Pourtant, 98 % de ces mêmes organisations utilisent des plateformes de messagerie grand public qui s'appuient sur des infrastructures détenues par des entités étrangères. Leurs serveurs et leurs centres de données sont situés à l'étranger et soumis à des législations étrangères. Il ne s'agit pas d'une lacune en matière de conformité qu'une simple mise à jour des politiques pourrait combler. C'est une impossibilité d'ordre architectural.
Le risque ne se limite pas à l'accès aux données. Les plateformes hébergées à l'étranger peuvent être ralenties, suspendues ou fermées en fonction des décisions de politique étrangère du pays hôte, sans qu'il soit possible d'intenter de recours juridique au niveau national. En cas de crise géopolitique, au moment même où la sécurité des communications est la plus cruciale, la disponibilité et la continuité de ces services peuvent être compromises.
Par ailleurs, 52 % des personnes interrogées craignent que les réseaux de télécommunications puissent être surveillés ou perturbés, un risque déjà mis en évidence par des campagnes telles que Salt Typhoon , plus récemment, « UNC3886 » à Singapour. Maisla surface d'attaque s'étend rapidement. Les pirates ne se contentent plus d'accéder au réseau, mais ciblent de plus en plus les couches qui l'entourent : les comptes, les appareils et les applications que les utilisateurs consultent quotidiennement.
Le fossé entre la confiance et les capacités
Ces vulnérabilités deviennent particulièrement dangereuses lorsque les organisations sont sous pression. 90 % d'entre elles se disent confiantes dans leur capacité à gérer un incident majeur, mais seules 49 % déclarent disposer d'une plateforme unifiée pour coordonner la gestion de crise.
En cas de crise, la plupart se rabattent sur les discussions de groupe, les chaînes d'e-mails et les chaînes téléphoniques : des outils familiers qui n'ont jamais été conçus pour assurer le commandement et le contrôle en temps réel ni pour permettre une coordination interinstitutionnelle sécurisée.
Le piège du « ça suffit »
Dans l'ensemble, ces résultats indiquent que de nombreuses organisations fondent leur fonctionnement sur des hypothèses plutôt que sur des capacités validées en permanence. 96 % des responsables de la sécurité sont favorables à l'obligation d'utiliser des appareils sécurisés et certifiés pour les communications sensibles, mais 41 % d'entre eux estiment parallèlement que leur système de chiffrement actuel offre déjà cette protection
Ils veulent des infrastructures souveraines, mais utilisent des plateformes qui ne permettent pas de les mettre en place. Ils se disent prêts à faire face aux crises, mais ne disposent pas des systèmes nécessaires pour étayer cette affirmation.
Le problème ne réside pas uniquement dans le chiffrement, mais aussi dans l'architecture. Les plateformes grand public génèrent et conservent des métadonnées, sont soumises à des législations étrangères en matière d'accès aux données et ne disposent pas des mécanismes de contrôle, des pistes d'audit et des procédures de vérification d'identité requis par les environnements hautement sécurisés
Le problème ne réside pas dans les technologies de sécurité elles-mêmes. Il réside dans le décalage entre ce que font réellement les outils de sécurité et ce que les responsables de la sécurité pensent qu'ils font.
Trois questions que tout responsable de la sécurité devrait se poser aujourd'hui
À quelles menaces spécifiques nos outils de communication actuels permettent-ils de faire face, et lesquelles nécessitent des mesures de contrôle distinctes ? Ne partez pas du principe que « crypté » signifie « sécurisé ».
Notre infrastructure répond-elle à nos exigences en matière de souveraineté ? Si votre politique exige un contrôle national, mais que vos plateformes fonctionnent sur des serveurs étrangers, ce décalage est d'ordre architectural, et non procédural.
Si une crise venait à se produire demain, disposerions-nous d'un système unifié permettant une réponse coordonnée ?Ou comptons-nous uniquement sur les groupes de discussion et les fils de discussion par e-mail ?
Ces défis mettent en évidence un besoin plus général : des systèmes de communication conçus pour des environnements à haut risque, garantissant l'authenticité des identités, le contrôle des métadonnées, la traçabilité et une clarté juridique.
Conçu spécialement pour relever les défis
BlackBerry® Secure Communications est conçu pour répondre à ces exigences, en offrant des communications sécurisées de niveau gouvernemental et des solutions de gestion de crise grâce à une identification vérifiée, un chiffrement robuste et une infrastructure souveraine configurable.
Le rapport « L'état des communications sécurisées en 2026 » est désormais disponible. Lisez le rapport complet pour évaluer le niveau de risque de votre organisation en matière de communications et comprendre ce qu'apportent les communications sécurisées dès la conception.
%3Aquality(100)&w=3840&q=75)