Si les entreprises françaises semblent mieux armées face aux menaces cyber, les attaques qui parviennent à franchir les défenses ont des conséquences de plus en plus lourdes. C’est l’un des principaux enseignements de la 11ème édition du baromètre annuel du CESIN, réalisée par OpinionWay auprès de près de 400 RSSI et responsables cybersécurité.
En 2025, 40 % des entreprises déclarent avoir subi au moins une cyberattaque significative, un chiffre en baisse continue depuis plusieurs années, même si les grandes entreprises restent les plus exposées (50%).
Près de 8 entreprises sur 10 touchées constatent des effets directs sur leur activité, principalement des perturbations de la production, des atteintes à l’image ou des compromissions d’informations sensibles. Le vol de données s’impose comme la première conséquence technique, devant les dénis de service et les transactions frauduleuses.
Sans surprise, le phishing et ses variantes restent les principaux vecteurs d’attaque, suivis de l’exploitation de failles de sécurité. Le baromètre met également en lumière le rôle croissant des tiers dans le risque cyber : près d’un tiers des entreprises estiment que plus de la moitié de leurs incidents sont dus à des partenaires ou prestataires, renforçant l’enjeu de la gestion du risque fournisseur.
Nouveauté marquante, le recours à des IA non approuvées par les salariés (Shadow IA) est désormais perçu comme le comportement numérique le plus risqué, alors même que près de 8 entreprises sur 10 utilisent déjà l’IA sous une forme ou une autre.
Le baromètre confirme une forte maturité des socles de sécurité : pare-feu, EDR et authentification multifacteur sont quasi généralisés, tandis que les services critiques (SOC, threat intelligence, tests d’intrusion) sont majoritairement opérés en externe ou en mode hybride. En revanche, la capacité de reconstruction après attaque et la définition de palliatifs métiers restent encore insuffisamment développées.
Enfin, la cybersécurité s’impose durablement dans la gouvernance des entreprises. Le risque cyber est désormais suivi en COMEX ou en CODIR dans 9 cas sur 10, et le rôle des RSSI évolue vers des fonctions plus stratégiques et transversales. Malgré des budgets orientés à la hausse, près de 70 % des entreprises estiment toutefois ne pas disposer encore des ressources suffisantes pour faire face à l’ensemble des enjeux, en particulier autour de l’IA, du cloud et de la souveraineté numérique.
« Dans l’ensemble, les résultats traduisent une évolution de la maturité des organisations. La cybersécurité n’est plus abordée sous l’angle de l’urgence ou de la montée en puissance des moyens, mais comme une fonction stratégique à piloter dans la durée, arbitrée au plus haut niveau et intégrée aux choix de gouvernance globale », concluent les auteurs de l’étude.