La gestion des risques en 2026 ne peut plus se limiter à identifier des menaces isolées ou à se conformer à des cadres formels. Le contexte actuel exige une gestion intégrée, dynamique et orientée vers la prise de décision.

Voici les cinq défis qui marqueront l’agenda des organisations cette année.

1. L’accélération technologique dépasse les cadres de contrôle

L’adoption de l’IA, de l’automatisation et des services numériques progresse plus rapidement que la capacité des organisations à les évaluer, les documenter et les gouverner correctement.

Le meilleur exemple est l’utilisation d’IA non autorisée (appelée « shadow AI »), lorsque des employés utilisent des outils d’IA dans leur travail quotidien sans supervision ni contrôle… et parfois sans être conscients qu’ils peuvent enfreindre la réglementation.

Pour faire face à cette situation, il est nécessaire de :

• Définir une politique d’utilisation de l’IA pour les employés et la diffuser en interne.

• Réaliser un inventaire des outils d’IA les plus utilisés (par exemple dans les domaines RH et marketing).

• Vérifier, à partir de cet inventaire, dans quels cas il peut y avoir des transferts d’informations vers des pays ne garantissant pas la protection des données confidentielles ou personnelles.

• Mettre en place des mécanismes de contrôle périodiques — voire automatisés — pour vérifier le respect de la politique d’IA de l’entreprise.

2. Une pression réglementaire croissante

Dans la continuité des dernières années, 2026 s’annonce comme une année riche en nouvelles réglementations, notamment :

• Réglementation sur l’intelligence artificielle

• Durabilité (nouveau paquet « omnibus »)

• NIS2 et cadres équivalents en cybersécurité

• DAC8 dans le domaine fiscal

Le défi n’est pas seulement l’augmentation du nombre de règles, mais le fait que ces réglementations reposent de plus en plus sur la gestion des risques et la capacité à démontrer des preuves de conformité.

La bonne nouvelle est que si vous recevez cette newsletter, vous faites déjà partie de la communauté Ulises GRC — et nous pouvons certainement vous accompagner dans ce processus.

3. Un risque tiers élargi

Nous sommes habitués à homologuer nos fournisseurs et à leur demander de répondre à un questionnaire de temps à autre.

En 2026, il sera nécessaire d’automatiser et d’étendre ces exigences.

Il est donc recommandé de segmenter les fournisseurs selon leur criticité et, en fonction de cette classification, de définir les exigences minimales pour les différentes réglementations (IA, durabilité, responsabilité pénale, packaging, etc.).

Il est également conseillé de consacrer du temps à la révision des clauses contractuelles afin de s’assurer qu’elles permettent :

• d’auditer les fournisseurs

• ou de leur envoyer les questionnaires nécessaires.

4. La cybersécurité comme risque stratégique

Autrefois, les attaques de phishing ou d’usurpation d’identité étaient relativement simples. Tout le monde connaît les fameuses histoires du « prince africain » promettant un héritage.

En 2026, nous verrons se consolider des attaques beaucoup plus ciblées et sophistiquées, où il sera possible de reproduire la voix d’un dirigeant — voire une vidéo — pour demander un virement ou déclencher une action urgente.

Les entreprises, mais aussi les individus, ne sont pas encore pleinement préparés à ce type d’attaques hautement personnalisées.

5. L’automatisation du compliance

En 2026, nous commencerons à observer une évolution — notamment dans les grandes entreprises — vers un passage du compliance formel à une surveillance automatisée des risques.

Concrètement, les organisations analyseront en temps réel leurs transactions et opérations internes afin d’identifier des schémas de fraude, de non-conformité ou de mauvaises pratiques.

Les avantages sont évidents. Jusqu’à présent, l’automatisation de ces processus nécessitait toutefois beaucoup de conseil et des solutions sur mesure.

En 2026, nous assisterons à une transformation importante, tirant parti de l’interconnexion des données numériques pour réduire considérablement le temps de mise en œuvre de ces indicateurs.

Nous resterons attentifs à ces évolutions.