La 11ᵉ édition du baromètre annuel du CESIN, réalisé avec OpinionWay, dessine un paysage cyber paradoxal. Les attaques significatives reculent en volume, mais leurs effets s’alourdissent, tandis que la menace se diffuse bien au-delà du périmètre technique. Gouvernance, dépendances cloud, tiers, IA et géopolitique structurent désormais le risque.
Une baisse relative des attaques, mais des conséquences toujours critiques
Quatre entreprises sur dix déclarent avoir subi au moins une cyberattaque significative en 2025. Le chiffre est en recul, mais il serait trompeur d’y voir un relâchement de la pression. La méthodologie du baromètre, volontairement restrictive, ne retient que les incidents ayant eu un impact réel sur l’activité, les données ou l’image. En creux, ce recul traduit surtout une montée en maturité des capacités de détection et de réaction.
Pour autant, lorsque l’attaque passe, les dégâts restent massifs. Plus de huit organisations sur dix touchées évoquent un impact business direct, qu’il s’agisse de perturbations opérationnelles, de pertes d’image ou de compromissions de données. Le vol d’informations demeure la première conséquence observée, confirmant que la donnée reste la cible centrale.
Une menace désormais indissociable du contexte géopolitique
Le baromètre acté une évolution nette : la cybermenace est de plus en plus perçue comme un prolongement des tensions internationales. Plus d’une entreprise sur deux estime que les attaques d’origine étatique progressent, et le cyberespionnage est désormais considéré comme un risque élevé par 40 % des répondants, toutes tailles confondues.
La souveraineté numérique s’impose moins comme un slogan que comme un outil de gestion du risque. Les organisations se disent de plus en plus concernées par les enjeux de cloud de confiance, mais le baromètre souligne un point clé : la souveraineté ne se limite pas à l’origine géographique des technologies. Elle repose avant tout sur la capacité à maîtriser ses dépendances, à auditer ses fournisseurs et à reprendre la main contractuellement et opérationnellement en cas de crise..
Cloud et tiers : le talon d’Achille structurel
Les risques associés au cloud sont avant tout juridiques et contractuels. Clauses peu négociables, lois extraterritoriales et opacité de certaines chaînes de sous-traitance alimentent une inquiétude persistante. Cette dépendance se retrouve dans la gestion des tiers, devenue un vecteur majeur de compromission.
Un tiers des entreprises estime que plus de la moitié de ses incidents provient de partenaires ou de prestataires. Face à cette réalité, les dispositifs se renforcent, mais la vulnérabilité demeure structurelle, liée à l’interconnexion croissante des écosystèmes numériques.
Des modes opératoires connus, mais toujours plus sophistiqués
Les vecteurs d’attaque dominants restent remarquablement stables. Le phishing, sous toutes ses déclinaisons, demeure le principal point d’entrée des attaques significatives, devant l’exploitation de failles techniques et les attaques indirectes via des tiers. Les attaques par déni de service, souvent hyper-volumétriques, s’inscrivent de plus en plus dans des stratégies hybrides mêlant pression économique et diversion.
Les deepfakes restent encore marginaux, mais leur apparition dans les incidents signalés illustre une mutation plus profonde de l’ingénierie sociale, dopée par l’IA. La menace ne repose plus sur un vecteur unique, mais sur la combinaison de techniques éprouvées et d’innovations offensives, exploitant simultanément failles techniques, organisationnelles et humaines.
Une maturité défensive en progression, mais incomplète
Les résultats traduisent une amélioration nette de la maîtrise des actifs numériques. La majorité des organisations estime disposer d’une vision globale de leur patrimoine, y compris dans des environnements cloud de plus en plus complexes. L’adoption d’outils de cartographie et de pilotage de la surface d’attaque contribue à cette visibilité accrue.
Les fondamentaux restent solidement installés, de l’EDR à l’authentification multifacteur, tandis que des démarches plus structurantes, comme le Zero Trust ou les centres opérationnels dédiés aux vulnérabilités, progressent. La cybersécurité s’inscrit désormais dans le temps long, avec une logique de pilotage et de priorisation.
Pour autant, des fragilités persistent, notamment autour de la gouvernance des identités et des accès à privilèges, dans des environnements toujours plus hybrides et distribués.
L’IA, nouveau facteur de déséquilibre
L’intelligence artificielle ouvre une surface d’attaque inédite. Le recours aux services d’IA non approuvés apparaît comme le comportement numérique jugé le plus risqué, révélant une perte de contrôle sur les usages. Si les attaques directement fondées sur l’IA restent encore marginales, les premiers signaux sont là, qu’il s’agisse d’automatisation accrue ou de codes malveillants adaptatifs.
L’IA s’impose ainsi comme un sujet de cybersécurité à part entière, appelant des réponses en matière de gouvernance, de contrôle des usages et de protection des données, bien au-delà des seuls enjeux techniques.
Réglementation et gouvernance : un risque désormais piloté
La pression réglementaire continue de s’intensifier, avec un impact désormais massif sur les organisations. NIS2 s’impose comme le cadre structurant, devant DORA et le Cyber Resilience Act, renforçant l’intégration durable de la conformité dans les stratégies cyber.
Le baromètre confirme enfin un basculement de fond. Le risque cyber figure désormais durablement parmi les priorités stratégiques, suivi au plus haut niveau. Après plusieurs années d’investissements soutenus, une phase de consolidation s’ouvre, marquée par l’optimisation des dispositifs existants plutôt que par une fuite en avant budgétaire.
