Moins d’attaques réussies mais des impacts toujours plus lourds, à l’heure où les entreprises du commerce, du retail et du e-commerce accélèrent leur transformation numérique, le baromètre annuel du CESIN dresse un état des lieux sans complaisance de la cybersécurité en France.
Derrière l’amélioration réelle des capacités de défense, l’étude du CESIN, Club des Experts de la Sécurité de l’Information et du Numérique, met en lumière des vulnérabilités structurelles, des risques tiers devenus systémiques et l’irruption de l’IA comme nouveau facteur de déséquilibre. Réalisée pour la onzième année consécutive par OpinionWay, l’enquête repose sur un panel de 397 répondants, tous responsables de la cybersécurité ou RSSI, membres du club. L’échantillon couvre de grandes entreprises, des ETI et des PME, majoritairement implantées en France, avec une représentation importante des secteurs du commerce, des services et de l’industrie. L’étude s’appuie sur une méthodologie constante, centrée exclusivement sur les cyberattaques significatives, c’est-à-dire celles ayant entraîné un impact réel sur l’activité, les données, la conformité ou l’image des organisations.
Des attaques moins nombreuses, mais un risque business renforcé
Premier enseignement marquant, 40 % des entreprises interrogées déclarent avoir subi au moins une cyberattaque significative en 2025, un chiffre en baisse continue depuis plusieurs années. Cette diminution ne traduit pas un affaiblissement de la menace, mais une amélioration progressive des dispositifs de prévention, de détection et de réponse. Fabrice Bru, directeur cybersécurité et architecture de la STIME, DSI du Groupement Les Mousquetaires et président du CESIN, souligne que cette tendance est le reflet d’investissements soutenus et d’une professionnalisation croissante des équipes cyber, sans pour autant témoigner d’une accalmie durable. Car lorsque l’attaque aboutit, ses conséquences restent majeures. Plus de huit entreprises victimes sur dix indiquent un impact direct sur leur business, principalement sous forme de perturbations de production, d’indisponibilité de services numériques ou de pertes d’image. Le vol de données demeure la première répercussion observée, confirmant la centralité de la donnée comme cible prioritaire des attaquants, notamment dans les environnements e-commerce et omnicanaux.
Le risque tiers, talon d’Achille des écosystèmes numériques
L’un des faits saillants de cette édition réside dans l’ampleur du risque lié aux tiers. Près d’un tiers des entreprises estiment que plus de la moitié de leurs incidents de cybersécurité sont imputables à des fournisseurs, prestataires ou partenaires. Cette dynamique illustre la fragilité croissante des chaînes de valeur numériques, où une faille chez un acteur périphérique peut entraîner des effets en cascade sur l’ensemble d’un écosystème. Alain Bouillé, délégué général du CESIN, insiste sur le caractère structurel de cette vulnérabilité, liée à l’externalisation massive des services IT, cloud et logiciels. Dans ce contexte, 85 % des entreprises ont renforcé leurs clauses de sécurité contractuelles et près de trois quarts recourent désormais à des questionnaires de sécurité. Le « cyberrating » progresse également, utilisé par près d’une organisation sur deux pour évaluer le niveau de maturité cyber de leurs partenaires, signe d’une approche plus industrialisée de la gestion du risque fournisseur.
Des vecteurs d’attaque classiques, mais de plus en plus combinés
Sans surprise, l’hameçonnage, sous toutes ses formes, demeure le principal point d’entrée des cyberattaques significatives, cité dans plus de la moitié des incidents. Il est suivi par l’exploitation de failles de sécurité et par les attaques indirectes via des tiers, confirmant le rôle central des écosystèmes numériques dans l’élargissement de la surface d’attaque. Les offensives par déni de service distribué concernent désormais plus d’une entreprise victime sur cinq, avec des charges de plus en plus volumétriques et des objectifs qui dépassent la simple perturbation technique. Cette édition met également en évidence l’émergence de signaux faibles liés à l’usage de technologies de deepfake et d’IA dans des scénarios d’ingénierie sociale. Si ces attaques restent minoritaires, elles traduisent une professionnalisation accrue des modes opératoires et une capacité croissante à exploiter les failles humaines autant que techniques.
Géopolitique, souveraineté et cloud : la cybersécurité change d’échelle
Plus d’une entreprise sur deux estime que la menace d’origine étatique est en augmentation, dans un contexte géopolitique international instable. Le cyberespionnage est désormais considéré comme un risque élevé par 40 % des répondants, quelle que soit la taille de l’organisation. Cette perception marque un basculement : la cybersécurité n’est plus seulement un sujet IT, mais un enjeu stratégique et de gouvernance.
La question de la souveraineté numérique s’inscrit dans cette dynamique. Pour Fabrice Bru, elle ne se résume pas à la nationalité des technologies utilisées, mais à la capacité des entreprises à maîtriser leurs dépendances, à négocier leurs contrats cloud et à reprendre la main en cas d’incident majeur. Les risques juridiques et contractuels liés aux environnements cloud figurent désormais parmi les principales préoccupations des responsables cyber, notamment dans les secteurs fortement régulés et exposés médiatiquement comme le commerce en ligne.
Des défenses plus matures, mais des fragilités persistantes
Le baromètre souligne néanmoins une progression nette de la maturité cyber des entreprises françaises. Plus de 80 % d’entre elles estiment disposer d’une vision complète de leurs actifs numériques, et plus de 90 % ont identifié leurs actifs critiques. Cette amélioration est portée par l’adoption croissante de solutions de cartographie des surfaces d’attaque et par la généralisation de fondamentaux devenus standards, tels que l’authentification multifacteur (MFA) ou les solutions EDR (Endpoint detection and response), jugées efficaces par une très large majorité des répondants.
Pour autant, des fragilités subsistent, notamment dans la gouvernance des identités et des accès à privilèges, en particulier pour les sous-traitants et environnements hybrides. Ces zones grises constituent des points d’entrée privilégiés pour des attaques de plus en plus ciblées et persistantes, dans un contexte où la complexité des systèmes ne cesse d’augmenter.
L’IA, nouveau facteur de déséquilibre cyber
Enfin, l’intelligence artificielle s’impose comme un nouveau facteur de risque. Deux tiers des entreprises jugent l’usage de services d’IA non approuvés par les salariés comme un comportement numérique à risque élevé. Ce «shadow IA» révèle une perte de contrôle sur les usages, accentuée par la facilité d’accès à des outils cloud externes. Si l’exploitation directe de l’IA comme vecteur d’attaque reste marginale à ce stade, elle apparaît déjà dans certains incidents significatifs, un signal faible que les responsables cyber surveillent de près.
Je souhaite lire les prochains articles des Clés du Digital, JE M’INSCRIS A LA NEWSLETTER
Laisser un commentaire