Le Radar des startups de la cybersécurité française, publié par Wavestone le cabinet de conseil en transformation des organisations, et Bpifrance, cartographie un écosystème qui ne ressemble plus à ce qu’il était il y a douze mois.
Jamais autant de startups n’avaient émergé en un an. Jamais non plus les scale-ups n’avaient reculé. Comptez 279 structures actives, dont 234 startups, 43 scale-ups et 2 licornes.
Le vibe coding a ouvert les vannes ?
105 nouvelles startups sont entrées dans le radar cette année, contre 44 l’an dernier. Un bond de 138 % que Gérôme Billois, partner cybersécurité chez Wavestone, dit ne pas avoir vu venir : “On regardait le compteur en se disant : mais ce n’est pas possible, pourquoi il y en a autant d’un seul coup ?”
L’explication tient en partie au vibe coding, cette pratique qui consiste à générer du code via l’IA pour produire un premier démonstrateur fonctionnel en quelques semaines. Le délai entre l’idée et le MVP, qui atteignait six mois minimum, s’est effondré. Des fondateurs qui n’auraient pas franchi le pas il y a deux ans se lancent aujourd’hui.
L’explication tient également à la réalité du terrain : la France est le 5e pays européen le plus touché par les cyberattaques en 2025 selon CheckPoint. La cybersécurité est un marché en expansion, et les entrepreneurs l’ont compris.
Le goulot d’étranglement : le plafond de verre des scale-ups
Pour la première fois depuis 2020, le nombre de scale-ups recule : 43 structures, soit trois de moins qu’en 2025, rompant avec une dynamique historique qui en ajoutait six par an. Trois structures ont décroché faute de levées suffisantes ou d’une croissance inférieure à 25 % sur trois ans. L’une d’elles, Tetris, est en redressement judiciaire. Et 24 autres startups quittent simplement le périmètre du radar parce qu’elles ont dépassé sept ans d’existence sans avoir jamais atteint les critères scale-up.
Ces 24 structures ne coulent pas, elles deviennent des PME cyber de 20 à 30 personnes, rentables à leur échelle, mais qui renoncent à l’ambition de la conquête internationale.
“En France, la première ambition est de faire un bon produit et de le vendre en France. Ensuite, on réfléchit à aller à l’échelon supérieur, mais ce n’est pas facile l’échelon supérieur.”
Gérôme Billois, partner cybersécurité chez Wavestone.
Celles qui visent à se maintenir dans la catégorie scale-up ont compris qu’un bon produit ne suffit plus. 67 % d’entre elles affichent désormais au moins une certification (ISO 27001, SOC2, CSPN, France Cybersecurity), soit 18 points de plus en un an. La certification est devenue un terrain de différenciation à part entière. Gérôme Billois explique que face à Microsoft ou Palo Alto qui absorbent en continu l’innovation dans leurs plateformes, un label ANSSI ou une conformité européenne permet aux scale-ups de jouer la carte de la souveraineté là où elles ne peuvent pas jouer celle de la taille.
L’IA défensive court derrière l’IA offensive
70 % des structures du radar intègrent désormais de l’IA dans leurs produits, contre 53 % l’an dernier. Mais Gérôme Billois introduit une distinction : l’IA de surface, un chatbot qui aide à configurer le produit, et l’IA de cœur, des agents autonomes capables d’accélérer la réponse en temps réel. Sur les 196 structures qui utilisent l’IA, une trentaine seulement a franchi le pas des agents. C’est précisément cette bascule qui manque pour que la défense tienne le rythme.
Car du côté des attaquants, l’IA n’est pas de surface. Les groupes cybercriminels ont structuré des modèles : ils créent, revendent et monétisent. La vitesse d’exécution des attaques s’est accélérée et l’asymétrie fondamentale de la cyber se creuse :
“L’attaquant ne doit réussir qu’une fois, le défenseur doit réussir à chaque fois”
Gérôme Billois, partner cybersécurité chez Wavestone.
Le radar conclut que la course à l’armement IA reste, à ce stade, plus favorable aux attaquants.
22 structures se positionnent spécifiquement sur la sécurisation de l’IA elle-même : contrôle du Shadow AI, encadrement des agents autonomes, détection de deepfakes, sécurité du code généré par IA. C’est une progression réelle, elles étaient 15 l’an dernier.
304 millions d’euros et beaucoup de petits tickets
Sur le plan du financement, 304 millions d’euros ont été levés sur la période, en légère hausse par rapport aux 289 millions de l’exercice précédent. La structure des levées a cependant radicalement changé : 27 tickets inférieurs à 10 millions d’euros contre 9 l’an dernier, pour un cumul de 54 millions. Les investisseurs saupoudrent là où ils concentraient.
Gérôme Billois formule le diagnostic en une image : “On a des drones de startup cyber, il faudrait des avions un peu plus gros pour aller lutter contre les gros bombardiers américains”.
En parallèle, l’État signale qu’il ne compte pas rester spectateur : Anne Le Henanff, ministre déléguée chargée de l’intelligence artificielle et au numérique, a annoncé la sélection de 13 nouveaux projets innovants financés à hauteur de 30 millions d’euros dans le cadre de France 2030 : “Nous parlons chaque jour de souveraineté numérique, mais soyons clairs : nous ne serons pas souverains si nous ne sommes pas sécurisés”.
