En 2026, la gestion des risques ne peut plus se limiter à identifier des menaces isolées ou à se conformer à des cadres formels. L’environnement actuel exige une gestion intégrée, dynamique et axée sur la prise de décision.

Voici les dix défis qui marqueront l’agenda des organisations cette année.

1. L’accélération technologique dépasse les cadres de contrôle

L’adoption de l’IA, de l’automatisation et des services numériques progresse plus vite que la capacité à les évaluer, les documenter et les gouverner correctement.  Le meilleur exemple en est l’utilisation non autorisée de l’IA (ce que l’on appelle le « shadow IA ») où les employés utilisent l’IA au quotidien sans supervision ni contrôle… et sans être conscients qu’ils enfreignent la loi.  Pour se mettre à jour sur ce sujet, il est nécessaire de :

• Disposer d’une politique d’utilisation de l’IA pour les employés et la diffuser.
• Réaliser un inventaire des outils d’IA les plus utilisés (en priorisant peut-être les domaines de la gestion du personnel et du marketing).
• À partir de l’inventaire précédent, valider dans quels cas il peut y avoir une « fuite d’informations » vers des pays qui ne garantissent pas la protection des données confidentielles ou personnelles.
• Établir des mécanismes de révision périodique (ou mieux encore, automatique) pour s’assurer que la politique d’IA de l’entreprise est respectée.

2. Pression réglementaire croissante

Suivant la tendance des dernières années, 2026 se présente comme une année de nouvelles réglementations, comme par exemple sur l’intelligence artificielle, la durabilité avec le nouvel omnibus, NIS2 (ou équivalents) pour la sécurité, DAC8 (fiscalité).  Le problème n’est pas qu’il y ait plus de réglementation, mais que la tendance est clairement de se baser sur la gestion des risques et de nécessiter des preuves pour démontrer la conformité.

La bonne nouvelle est que si vous recevez cette newsletter, c’est que vous faites déjà partie de la famille Ulises GRC et nous sommes sûrs de pouvoir vous aider.

3. Risque tiers élargi

Nous sommes habitués à homologuer les fournisseurs et à ce qu’ils nous répondent à un questionnaire de temps en temps.  En 2026, il nous sera demandé d’automatiser et d’élargir ces exigences… C’est pourquoi il est intéressant de « segmenter » les fournisseurs en fonction de leur criticité, et en fonction de cette classification, d’établir les exigences minimales à respecter pour les différentes réglementations (IA, durabilité, pénal, emballage, etc.).

Nous recommandons également de réserver du temps pour revoir les clauses que nous avons avec eux, afin qu’elles nous permettent de les auditer ou de leur envoyer les questionnaires dont nous avons besoin.

4. Cybersécurité comme risque commercial

Autrefois, le « phishing » ou les usurpations d’identité pour voler des données étaient très basiques. Nous connaissons tous les cas du prince africain qui vous donne son héritage, etc… En 2026, les attaques bien ciblées vont se consolider, où l’on pourra même usurper la voix du PDG (ou une vidéo) de l’entreprise pour demander un virement, par exemple. Non seulement au niveau de l’entreprise, mais aussi au niveau personnel, nous ne sommes pas encore préparés à ce type d’attaques aussi personnalisées.

5. Automatisation de la conformité

En 2026, nous commencerons à voir un changement, surtout dans les grandes entreprises, où nous passerons de la conformité formelle à un suivi automatisé des risques. Qu’est-ce que cela signifie ? Les grandes entreprises commenceront à analyser, en temps réel, leurs transactions et opérations internes, à la recherche de schémas de fraude, de non-conformité ou de mauvaises pratiques… Les avantages sont évidents, bien que jusqu’à présent, l’automatisation de ces processus nécessitait beaucoup de « conseil » et de processus « ad-hoc ».

En 2026, nous vivrons une transformation où les avantages de l’interconnexion des données numériques seront exploités pour raccourcir considérablement la période de mise en œuvre de ce type d’indicateurs.

Nous resterons attentifs…