Avec 170 entreprises, 8.000 emplois et 3.500 étudiant·e·s dans la sécurité informatique, la Bretagne serait l’une des régions françaises en tête de pont de la cybersécurité en France, selon la seconde édition du baromètre de mesure de la maturité cyber mené par le campus Bretagne Cyber Alliance.
67% des entreprises interrogées considèrent leur système d’information comme critique pour leur continuité de service, contre 36% pour les collectivités. L’écart entre la Bretagne et la moyenne nationale est comparable pour les collectivités mais il est significatif côté entreprises. En effet, seules 44% des TPE/PME françaises considèrent leur SI comme critique selon le baromètre France 2025.
Une entreprise bretonne sur deux et une collectivité sur cinq disent avoir subi au moins une cyberattaque ces deux dernières années. Les entreprises bretonnes déclarent un coût moyen de 40.000 à 60.000 euros par incident. Ce chiffre est en deçà de la moyenne nationale de 150.000 euros pour les PME françaises, selon le baromètre CESIN 2025. Les natures d’incident sont identiques entre entreprises et collectivités : vol de données, attaques par déni de service des sites en ligne et tentatives d’extorsions sont les premiers types d’incidents observés sur le territoire.
Malgré les contraintes budgétaires, les centres de sécurité opérationnels (SOC) sont en nette augmentation en Bretagne par rapport à 2023 : une entreprise sur deux et une collectivité sur cinq en disposent. Ce taux de déploiement est supérieur aux moyennes nationales. Pour les entreprises de plus de 100 salarié·e·s, le taux de déploiement monte à 86%.
92% des entreprises bretonnes du panel disposent désormais d’une personne référente pour la sécurité informatique, en interne ou via un prestataire. Cette tendance est moins marquée dans les collectivités (65 %) mais à nuancer par la forte proportion de petites entités parmi les répondants. Parmi les entreprises bretonnes de plus de 100 salarié·e·s, ce taux passe 80%.
Près d’une entreprise bretonne sur deux déclare être couverte par une cyberassurance (+ 14% par rapport à 2023). Cette proportion atteint 59% pour les ETI et grandes entreprises, comme au niveau national. Toutefois, seules 7% des collectivités disent disposer d’une couverture spécifique.
Au sein des répondant·e·s de l’étude, 40% des entreprises et 11% des collectivités sont concernées par NIS2. Tout type de structure confondu, 55% des répondant·e·s déclarent ne pas savoir s’ils sont concernés par cette directive. Parmi les organisations concernées par la réglementation, 16% déclarent avoir mis en place un plan d’action de mise en conformité. « Cette directive qui renforce les exigences en matière de gouvernance, de gestion des risques et de notification des incidents, incite les organisations à structurer durablement leur démarche de cybersécurité »,commente Bretagne Cyber Alliance dans un communiqué.
La sensibilisation des collaborateur·rice·s aux risque cyber reste un pilier stratégique : 93% des entreprises bretonnes et 75 % des collectivités la pratiquent. Les audits et diagnostics se généralisent aussi : près d’une entreprise sur deux et une collectivité sur cinq déclarent avoir déjà réalisé un audit organisationnel ou de maturité.
Les besoins prioritaires des organisations bretonnes en cybersécurité se concentrent sur l’accompagnement, les services opérationnels et les audits de sécurité, bien avant la formation et la sensibilisation qui passent au second plan. Les principaux obstacles demeurent inchangés par rapport à 2023 : insuffisance de ressources humaines, contraintes budgétaires et manque de compétences spécialisées.
Méthodologie
L’étude, réalisée entre juin et août 2025 auprès de 372 répondant·e·s, vise à mesurer les progrès, identifier les freins et faire émerger les besoins des entreprises et collectivités de Bretagne face à la montée des risques numériques. Bretagne Cyber Alliance note que l’édition 2025 recense plus d’entreprises de plus grande taille et, a contrario, plus de collectivités de petite taille par rapport à celle de 2023. L’édition 2025 est mise en perspective avec les résultats obtenus à l’occasion du baromètre 2023, mais également avec ceux de plusieurs enquêtes nationales et européennes publiées par Cybermalveillance.gouv.fr, CESIN, ENISA, Wavestone et les CSIRT territoriaux.