La troisième édition du Baromètre de la cybersécurité de Docaposte révèle une progression de la prise de conscience, mais aussi un retard persistant en matière de gouvernance et de structuration. Malgré des budgets en hausse, 74 % des organisations françaises restent classées au niveau critique de maturité cyber. Entretien avec Smara Lungu, directrice stratégie, marketing, communication et relations institutionnelles chez Docaposte.
Une perception du risque plus aiguë, mais encore incomplète
Trois ans après son lancement, le Baromètre de la cybersécurité permet désormais d’identifier des tendances structurelles. Sur la compréhension de la menace, les indicateurs restent globalement stables : environ quatre organisations sur dix se considèrent comme des cibles potentielles de cyberattaques, un chiffre comparable à celui de l’an dernier.
En revanche, la part des entités qui se disent « très exposées » progresse nettement, avec près de dix points supplémentaires. Pour Smara Lungu, cette évolution marque un tournant : « On a fait du chemin dans la prise de conscience. »
Ce changement de perception entraîne également une évolution organisationnelle. La cybersécurité n’est plus exclusivement portée par la DSI ou, dans les petites structures, par le dirigeant. La coopération entre équipes IT et métiers progresse fortement, avec un gain de 17 points en un an. « Ce n’est plus uniquement un sujet porté par la DSI ou par le dirigeant seul », observe-t-elle. Le sujet commence ainsi à irriguer davantage l’ensemble de l’organisation, même si l’implication des directions générales demeure encore hétérogène.
Des impacts toujours lourds en cas d’attaque
Pour les organisations ayant déjà subi une cyberattaque, les conséquences restent significatives et progressent. Le blocage des systèmes d’information et le vol ou la perte de données enregistrent chacun une hausse de six points. L’arrêt d’activité progresse également, confirmant la gravité des effets opérationnels. « Il n’y a pas de surprise, mais une confirmation de la gravité des impacts », souligne Smara Lungu.
Du côté des entités n’ayant pas encore été attaquées, la perte de données demeure la principale crainte, citée par 73 % des répondants. Les TPE expriment cependant une inquiétude plus directement liée à leur survie économique. Au-delà de l’incident technique, elles redoutent la perte financière, l’atteinte à l’image et la difficulté à regagner la confiance de leurs clients. « Pour elles, l’enjeu est la viabilité même de l’entreprise », précise-t-elle.
Budgets en hausse, gouvernance en retard
La dynamique budgétaire apparaît plutôt favorable. Les budgets cybersécurité sont soit stabilisés, soit en hausse, avec respectivement dix et six points de progression par rapport à l’année précédente. La prise de conscience se traduit donc par un effort financier.
Toutefois, les dispositifs structurants avancent plus lentement que les mesures techniques de base. Si la majorité des organisations ont mis en place une politique de sécurité informatique, une gestion des droits et des habilitations ou encore des actions de sensibilisation, la gouvernance reste fragile. Seules 59 % disposent d’un plan de continuité d’activité et une organisation sur deux a mis en place un dispositif de gestion de crise cyber. Surtout, 30 % seulement ont identifié un référent sécurité. « 70 % des entités n’ont pas identifié de référent sécurité. Pour moi, c’est un vrai sujet de préoccupation », insiste Smara Lungu.
74 % des organisations au niveau critique de maturité
À partir des recommandations de l’ANSSI, Docaposte a établi une grille de maturité en quatre niveaux. Les résultats mettent en évidence un retard structurel important. Moins de 10 % des organisations atteignent les niveaux standard ou renforcé, 17 % se situent au niveau essentiel et 74 % restent au niveau critique. Concrètement, cela signifie qu’en cas d’attaque majeure, une large majorité des entités ne serait pas en mesure d’assurer correctement sa continuité d’activité. « Ce n’est pas normal qu’une entité sur deux n’ait pas de dispositif de gestion de crise alors que nous sommes exposés tous les jours », alerte-t-elle.
Souveraineté numérique : un mouvement de fond
Autre évolution marquante de cette édition, la souveraineté numérique s’impose davantage dans les stratégies. 68 % des répondants la jugent importante ou très importante, et la part de ceux qui la considèrent « très importante » a doublé en un an. Chez les acteurs publics, 55 % attribuent la note maximale.
Pour Smara Lungu, cette progression s’explique par un double facteur. D’une part, un travail de sensibilisation accru autour de la protection des données sensibles et des enjeux stratégiques associés. D’autre part, un contexte international qui agit comme accélérateur. « C’est majeur », estime-t-elle, voyant dans cette évolution un signal positif.
Un attentisme réglementaire encore perceptible
Malgré ces avancées, un certain attentisme demeure. Selon Smara Lungu, certaines organisations attendent la clarification et la mise en application complète des cadres réglementaires européens avant d’engager des investissements plus structurants. Elles hésitent à mobiliser des ressources importantes sans visibilité sur les exigences précises qui leur seront imposées.
Dans un contexte économique globalement tendu, cette prudence s’ajoute à une rationalisation plus large des ressources humaines. La baisse des référents sécurité identifiés ne s’inscrit pas uniquement dans une dynamique cyber, mais dans un mouvement plus global de maîtrise des coûts. Pour autant, le message demeure clair : « On a fait du chemin dans la prise de conscience. Mais le chemin n’est pas réellement engagé. » La prochaine étape ne relève plus uniquement de la sensibilisation, mais de la structuration.
