Le rapport NIS Investments 2025 de l’ENISA confirme une hausse des investissements cyber en Europe, portée avant tout par la conformité réglementaire. Mais ces efforts restent freinés par un manque de maturité, des difficultés organisationnelles et une pénurie persistante de talents, des enjeux particulièrement visibles en France.
La conformité devient le premier moteur d’investissement
Selon l’ENISA, les organisations européennes réorientent leurs budgets cyber sous l’effet direct de la directive NIS2. La conformité occupe désormais une place centrale dans les choix budgétaires et pousse de nombreuses entreprises à investir rapidement dans des solutions techniques ou dans des services externalisés. La priorité est mise sur des domaines comme la sécurité du cloud, la gestion des identités et la protection des terminaux. Cette dynamique traduit une évolution positive, mais elle s’accompagne d’un risque : celui d’investissements réactifs, guidés par l’urgence réglementaire davantage que par une stratégie globale de résilience.
Une maturité encore insuffisante et difficile à mesurer
L’ENISA souligne que beaucoup d’organisations peinent à évaluer l’efficacité concrète de leurs dépenses. Les outils, les indicateurs et la gouvernance sont encore trop hétérogènes pour offrir une visibilité claire sur le niveau réel de préparation. Cette difficulté à mesurer la performance est préoccupante dans un contexte où les menaces progressent plus vite que les capacités de défense. Le rapport observe également que les organisations ont tendance à renforcer leur arsenal technologique sans toujours adapter leur structure interne ou leur capacité d’anticipation.
La France face aux mêmes tensions que le reste de l’Europe
En France, les conclusions du rapport trouvent un écho direct. Les grandes entreprises avancent globalement dans la mise en conformité, mais les PME et les structures publiques rencontrent davantage de difficultés à absorber les exigences de NIS2. La pénurie de compétences y est particulièrement sensible. Beaucoup d’organisations doivent se tourner vers des prestataires faute de ressources internes capables de piloter la cybersécurité à un niveau stratégique. Cette dépendance à l’externalisation reflète une tendance européenne, tout en accentuant les inégalités de maturité entre structures.
Une Europe qui investit, mais encore loin de la résilience espérée
La principale limite identifiée par l’ENISA concerne le manque d’anticipation. Les investissements répondent à des obligations immédiates plutôt qu’à une vision globale de gestion du risque. L’Europe, et la France en particulier, doivent encore progresser pour transformer la contrainte réglementaire en avantage stratégique. Il s’agit d’intégrer la cybersécurité dans la gouvernance, de renforcer la formation et de développer des approches cohérentes au niveau européen. Sans cela, l’augmentation des budgets ne suffira pas à combler le décalage entre le niveau des menaces et la maturité réelle des organisations.
