La filiale numérique du groupe La Poste et le cabinet d’audit Cyblex Consulting publient la troisième édition de leur baromètre annuel sur la maturité cyber des entreprises françaises. L’étude révèle un décalage entre la perception des entreprises et la réalité des risques informatiques, ainsi qu’une maturité inégale au sein des 500 organisations interrogées.
Le sentiment d’exposition des entreprises aux risques cyber reste stable par rapport à 2024 : 4 entreprises sur 10 estiment être une cible potentielle. Toutefois, les acteurs publics se sentent plus exposés (50%) que les entreprises privées (37%). La perception du risque décline avec la taille des organisations : 45% des ETI s’estiment vulnérables, contre 29% des PME et seulement 15% des TPE. Davantage en première ligne, les DSI sont plus conscientes du risque (54%, + 6 pts par rapport à 2024) que les dirigeant·e·s d’entreprise (30%).
Une organisation interrogée sur 3 déclare avoir subi une attaque en 2025. Cette proportion reste stable par rapport à l’année précédente. Les trois types d’attaques les plus courantes sont le hameçonnage (38%) – en augmentation de 15% sur un an, en particulier dans les TPE – le ransomware (28%) et le vol de données (17%). S’ensuivent le blocage des systèmes d’informations (24%), la perte de données (21%) et l’arrêt de la production (13%).
En dépit de cette réalité du terrain et d’un niveau d’exposition qui ne faiblit pas, 2 répondants sur 3 pensent encore que le risque de cyberattaques reste faible ou modéré au sein de leur organisation. Certes, 31% connaissent le guide de l’Anssi et appliquent ses recommandations (+15 points en un an) – avec une évolution marquée chez les acteurs publics – mais les TPE décrochent.
Si les budgets alloués à la cybersécurité augmentent pour 55% des organisations interrogées, les moyens humains dédiés diminuent. La faute à l’automatisation et à l’IA ? Seule une organisation sur trois dispose d’un référent sécurité, contre une sur deux en 2024. Les recours à des ressources internes (34%) comme externes (44%) reculent, tandis que la part d’organisations sans ressource dédiée progresse fortement (12%), surtout parmi les TPE.
« La diminution des référents et d’experts dédiés doit alerter : la cybersécurité ne peut reposer uniquement sur la technologie. Elle doit aussi devenir un sujet de gouvernance à part entière », prévient Olivier Vallet, le PDG de Docaposte, dans un communiqué.
Fait marquant de cette édition : la souveraineté numérique s’impose comme un fort enjeu de sécurité. 68% la jugent importante, voire très importante. Les acteurs publics sont les plus nombreux (55%) à y accorder une grande importance.
L’intégralité de l’étude disponible ici.
Méthodologie
Ce baromètre est issu d’entretiens téléphoniques réalisés par la société Iteractii auprès de 517 dirigeant·e·s d’entreprise (45% du panel) et RSSI/DSI/responsables informatique (38% du panel) évoluant dans tous types d’organisations en France. Cette année, les responsables de PME représentent 48% de l’échantillon et 26% des répondant·e·s oeuvrent dans le secteur public.