Le nouveau baromètre du Cesin montre que si la proportion d’entreprises touchées par une cyberattaque “significative” recule, l’impact de ces incidents reste massif. Face à cette situation, les entités s’organisent bien au-delà des outils, enfin conscientes que la sécurité informatique est aussi une question de dépendance et de gouvernance.
Le 11e baromètre du Club des Experts de la Sécurité de l’Information et du Numérique (Cesin), réalisé par OpinionWay, dresse un constat qui peut sembler paradoxal.
Moins d’attaques réussies, des impacts toujours massifs
En 2025, la proportion d’entreprises françaises déclarant avoir subi au moins une attaque informatique “significative” recule à 40%, contre 47% en 2024 et 65% en 2019. Pour autant, lorsque l’attaque aboutit, ses conséquences restent massives : 81% des entreprises déclarent un impact réel sur leur activité.
La cybersécurité semble ainsi rentrer dans une nouvelle phase : elle ne relève plus d’une simple montée en puissance technique mais également d’un pilotage stratégique des dépendances.
Une amélioration de la détection et de la réaction
Ce baromètre – mené en ligne auprès de 397 RSSI et directeurs cybersécurité – ne dresse pas un constat de baisse des menaces mais de transformation du risque. Il est d’ailleurs clair sur ce sujet : la baisse de la proportion des entreprises attaquées reflète avant tout une amélioration progressive des capacités de détection, de prévention et de réaction rapide des organisations.
D’ailleurs, pour 74% des répondants, le nombre d’attaques est resté stable sur un an. Seules 9% déclarent une baisse, contre 17% une hausse. Autrement, les entreprises parviennent davantage à contenir les attaques avant qu’elles ne deviennent “significatives”.
La compromission des données, conséquence majeure
Le baromètre s’est également intéressé aux conséquences de ces attaques. En 2025, 81% des entreprises victimes indiquent que les cyberattaques ont un impact sur leur business. Les effets les plus fréquents sont la compromission des données la perturbation de la production, la perte d’image/l’exposition médiatique ainsi que les pertes de chiffre d’affaires.
Sur le plan technique, le vol de données reste la première conséquence, cité par 52% des répondants. Viennent ensuite l’exposition des données, les transactions frauduleuses et les demandes de rançon. Le baromètre note aussi une progression nette de l’effacement ou de l’altération des données, signe d’attaques plus destructrices.
Une géopolitisation du risque cyber
L’étude montre, par ailleurs, une géopolitisation du risque cyber. 53% des entreprises estiment qu’elle est en augmentation dans le contexte géopolitique actuel. Seules 24% la jugent stable, et moins de 1% en baisse. De plus, le cyberespionnage est désormais considéré comme un risque élevé par 40% des organisations, quelle que soit leur taille.
Le baromètre a également interrogé le panel sur le risque tiers, sujet devenu central. Un tiers des entreprises estiment que plus de la moitié de leurs incidents de cybersécurité sont dus à des tiers. En moyenne, les répondants déclarent 2,5 incidents liés aux tiers, un chiffre en nette progression.
Comment se protéger du risque tiers ?
Les principaux incidents sont les cyberattaques exploitant une faille chez un fournisseur, les vulnérabilités critiques sur des composants et les mauvaises pratiques de sécurité dans les prestataires externalisés.
Face à ce risque, les entités s’organisent. Elles sont 85% à intégrer des clauses de sécurité dans leur contrat, 74% à utiliser des questionnaires de sécurité, 64% à mettre en place des plans d’assurance sécurité et 50% à recourir à des solutions de cyber-rating.
L’intelligence artificielle a relancé les craintes autour du shadow IT. Le comportement numérique jugé le plus risqué en 2025 est désormais le recours par les salariés à des services d’IA non approuvés : 66% des entreprises le considèrent comme un risque élevé ou très élevé.
Plus largement, 60% estiment que l’usage massif de services cloud ou logiciels non validés constitue un facteur de risque critique.
La souveraineté, une question de contrôle plus que de nationalité
Cette transformation du risque cyber rejaillit directement sur la manière dont les entreprises appréhendent la souveraineté numérique. Plus d’une entreprise sur deux se déclare désormais concernée par les enjeux de souveraineté et de “cloud de confiance”, un chiffre en nette progression.
Pour autant, le Cesin insiste sur un point : la souveraineté ne se réduit pas à la nationalité des technologies utilisées. Elle se définit avant tout comme une capacité de contrôle.
Les principaux risques associés au cloud sont d’ailleurs identifiés comme juridiques et contractuels : clauses difficilement négociables, exposition aux lois extraterritoriales, manque de visibilité sur les sous-traitants, difficultés d’audit. La souveraineté ne relève donc plus d’un discours idéologique sur l’origine des infrastructures mais de la capacité à maîtriser les risques liés à la dépendance aux grandes entreprises technologiques étrangères.
