Cyber Benchmark 2025 : Des progrès mesurés, des défis persistants
Publié le 4 juin 2025
- Cybersécurité
Dans un contexte de montée des menaces, y compris géopolitique, de pression réglementaire renforcée (DORA, NIS 2, CRA…), les entreprises françaises doivent renforcer leur posture de cybersécurité. Les défis restent nombreux : explosion des usages de l’intelligence artificielle, résilience encore incomplète, dépendance aux fournisseurs tiers internationaux, et disparités importantes entre les secteurs…
Dans ce paysage en mutation rapide, où en sont réellement les grandes entreprises françaises ? Quel niveau de sécurité ont-elles atteint ? Quels progrès ont été réalisés et où persistent les fragilités ? Pour répondre à ces questions, le cabinet de conseil Wavestone publie, pour la sixième année consécutive, son cyber benchmark, une étude de référence fondée sur l’analyse terrain de plus de 170 organisations évaluées selon le référentiel international du NIST, le Cybersecurity Framework v2.0.
Ce benchmark dresse un panorama complet de l’état de préparation des grandes organisations face aux cybermenaces.
Chiffres clés
- Le niveau moyen de maturité des grands groupes (> 1 Md € de CA) progresse légèrement à 54 %, soit +1 point par rapport à 2024, selon les standards internationaux (NIST CSF v2.0 et ISO 27001).
- Le secteur financier reste en tête avec un score moyen de 62,5 % (+2,5% par rapport à 2024), tirée par la pression réglementaire (DORA) et des investissements soutenus. Certains acteurs atteignent plus de 80% de maturité.
- Les budgets cybersécurité représentent en moyenne 6,4 % des budgets IT, en légère baisse par rapport à 2024 (6,6 %), et toujours dans le bas de la fourchette recommandée (5 à 10 %).
- 1 expert cyber est dédié à la cybersécurité pour 1 016 employés en moyenne, contre 1 pour 1 086 l’an dernier. Les meilleurs élèves du secteur financier atteignent un ratio de 1 pour 80.
- Sur les 29 vecteurs d’attaque utilisés par les groupes de ransomware identifiés, la majeure partie des grandes organisations maîtrise largement les fondamentaux avec un niveau de protection moyen de 56 %, ce qui contribue à réduire les compromissions majeures.
- 4 thématiques affichent une progression marquante : la capacité de réaction aux incidents, les moyens de détection (SOC, Security Operation Center), la sécurité du cloud, et la protection des données portées par les enjeux autour de l’IA.
- La réglementation NIS2 pousse les organisations à investir pour se conformer, mais aucune n’est encore totalement prête. Malgré 80 % de maturité en moyenne, aucune entreprise n’est pleinement conforme. Des efforts restent à faire, notamment sur les risques tiers, la cartographie des actifs et l’administration.
Une progression modeste, des écarts sectoriels qui persistent
En 2025, la maturité moyenne des grandes entreprises françaises en cybersécurité atteint 54 %, enregistrant une légère progression de +1 point par rapport à 2024. Cependant, cette évolution marque un ralentissement notable par rapport aux années précédentes, suggérant que plusieurs grandes entreprises ont atteint un seuil difficile à franchir sans réformes structurelles significatives ou nouvelle vague d’investissements.
Le secteur financier confirme son leadership avec un score moyen de 62,5 %, soit une augmentation de +2,5 points. Cette performance est principalement portée par les effets combinés de la réglementation, notamment le règlement européen DORA, ainsi que des investissements humains et financiers accrus. À l’opposé, les secteurs moins régulés, tels que certaines industries et les services publics, accusent un retard plus important, avec un écart de 6 points en moyenne entre les secteurs régulés et non régulés.
Des budgets en recul, des effectifs en hausse
Les entreprises interrogées consacrent en moyenne 6,4 % de leur budget IT à la cybersécurité, contre 6,6 % en 2024. Malgré ce léger recul budgétaire, la tendance est à la croissance des effectifs cyber : on compte désormais 1 expert cybersécurité pour 1 016 salariés, contre 1 pour 1 086 l’an dernier.
Les leaders du secteur financier affichent des ratios beaucoup plus élevés, allant jusqu’à 1 pour 80. Cependant, cette croissance des effectifs met également en lumière un défi majeur : la guerre des talents. La demande d’experts en cybersécurité reste élevée, et certains secteurs risquent de se retrouver en concurrence directe pour attirer des profils qualifiés, ce qui pourrait compliquer la tâche des entreprises qui ne disposent pas de ressources suffisantes.
Les grandes organisations les plus matures ont également recours de plus en plus fréquemment au near shoring, en particulier en Europe du Sud, ou à de l’off shoring dans des pays plus lointains.
Sous la menace ransomware, les grands groupes assurent les bases, les petites structures rattrapent leur retard
Sur les 29 vecteurs d’attaque utilisés par les groupes de ransomware identifiés par les équipes de réponse à incident de Wavestone, les grandes entreprises atteignent un niveau de protection moyen de 56 %, ce qui contribue à réduire les compromissions majeures.
Parmi les petites et moyennes entreprises, 36 % du panel sont jugées en situation critique, soit une amélioration de 18 % par rapport à 2024. Si des progrès ont été réalisés, des efforts restent nécessaires pour consolider les fondamentaux sur une large part de l’écosystème.
Les solutions sont connues et bien identifiées, il reste majoritairement à mobiliser des structures usuellement peu sensibiliser à la cybersécurité.
NIST CSF 2 : des progrès consolidés sur l’ensemble des piliers, reflet d’efforts soutenus dans le temps
La majorité des piliers du NIST CSF 2 affiche une homogénéité avec un niveau maturité autour de 50 % (allant de 48 % pour le pilier Identify à 52 % pour les piliers Govern et Protect) témoignant d’un renforcement global des pratiques de cybersécurité. Avec seulement 41 %, le pilier Recover révèle un retard, montrant que la résilience face aux crises reste un axe d’amélioration majeur pour de nombreuses organisations.
Ces constats mettent en évidence des marges de progression claires, notamment en matière de résilience et de gestion de crise. Dans ce contexte, l’entrée en vigueur de la directive NIS 2 vient renforcer les exigences réglementaires et pourrait agir comme un véritable accélérateur de maturité, en imposant des standards plus élevés à un nombre croissant d’organisations.
Des thématiques en net progrès : Détection, réaction, cloud, data
Parmi les 16 thématiques de cybersécurité suivis par Wavestone, quatre affichent des progrès notables :
- Les organisations ont amélioré leur capacité de réaction aux incidents (+3%) notamment en professionnalisation leur réponse aux crises cyber, avec la mise en place de cellules cyber dédiées dans les dispositifs de crise, des scénarios de simulation réguliers et une meilleure articulation avec les métiers.
- La détection (+4%), portée par les SOC commencent à être augmentés à l’IA : Les SOC (Security Operations Centers) montent en puissance et leur capacité à identifier les signaux faibles s’améliore, même si le maintien en conditions opérationnelles reste un défi.
- La sécurité du cloud (+3%) progresse grâce à une gouvernance mieux intégrée et centralisée, des politiques de sécurité uniformisées et une meilleure intégration des exigences cybersécurité dès la conception des environnements cloud.
- La protection des données (+4%), renforcée par les nouveaux cas d’usage IA : Le déploiement de nouvelles politiques de classification, de chiffrement, et l’apparition de cas d’usage IA axés sur la prévention des fuites de données (DLP, surveillance comportementale) renforcent ce pilier.
Intelligence artificielle : des fondations posées mais une maturité encore faible
L’Intelligence artificielle est au cœur des investissements des grandes structures actuellement. Les équipes sécurité se sont mobilisées souvent en urgence pour s’assurer de la sécurisation de ces nouveaux systèmes. Nos équipes ont largement été mobilisées sur ces sujets et cela nous permet d’analyse le degré de maturité du marché à date sur 20 grandes organisations :
- 64 % disposent désormais d’une politique de sécurité dédiée à l’IA.
- 67 % appliquent un processus de validation cyber des cas d’usage (go/no-go).
- 60 % ont constitué une équipe chargée d’évaluer la conformité des projets IA.
- 40 % ont adapté leur méthodologie d’évaluation des tiers pour intégrer les fournisseurs d’IA.
Mais en matière de protection concrète, les résultats restent très en retrait :
- Seulement 7 % des entreprises ont mis en place des mécanismes de défense contre les attaques de type prompt injection ou autres menaces spécifiques à l’IA.
Directive NIS 2 : une priorité stratégique mais une conformité partielle
La directive européenne NIS 2, en cours de transposition ou déjà transposée dans plusieurs pays européens, pousse les entreprises à renforcer leur cybersécurité. Si le niveau de maturité moyen atteint 80 % pour les grandes entreprises, aucune entreprise n’est encore pleinement conforme. L’obstacle principal : l’obligation d’un niveau de sécurité homogène sur l’ensemble du système d’information, qui rompt avec les approches actuelles, souvent focalisées sur des périmètres critiques.
Les défis prioritaires pour la mise en conformité restent :
La directive exige une vision claire et actualisée des actifs numériques (infrastructures, applications, postes de travail) permettant de réaliser le maintien en condition de sécurité de ces actifs. Or, cette cartographie reste lacunaire, notamment dans les environnements hybrides et cloud. À ce jour, 45 % des entreprises maintiennent une CMDB centralisée.
NIS 2 impose une évaluation rigoureuse et continue de la cybersécurité des prestataires et partenaires. Les entreprises doivent professionnaliser ces contrôles, encore souvent partiels ou manuels. Aujourd’hui, seulement 37 % des organisations auditent régulièrement leurs fournisseurs critiques.
L’administration nécessitent une protection renforcée (comptes d’administration dédiées, postes de travail dédiées, réseau d’administration dédié), en particulier pour les services d’annuaire, dont la compromission par un cyberattaquant peut entraîner des conséquences majeures. Malgré des déploiements de solutions PAM, les usages restent fragmentés. Seules 37 % des organisations ont mis en place des postes dédiés pour les administrateurs.
Un marché qui mûrit et atteint des niveaux de conformité élevés
Le top 10 des structures du benchmark atteint un niveau de maturité de 71 %. Ces organisations investissent désormais dans des technologies et des approches qui ne sont plus forcément mentionnées explicitement dans les standards internationaux, lesquels devront être mis à jour. Pour suivre ces innovations, Wavestone a décidé de créer un niveau de maturité dédié aux pionniers, afin de suivre l’évolution des pratiques de cybersécurité. Lancé en 2025, ce nouvel indicateur permettra d’identifier les organisations les plus en avance et de partager des retours d’expérience sur les technologies ou approches qu’elles sont en train de tester.
Il s’agit notamment des enjeux liés à la cryptographie post-quantique, à l’usage de l’IA pour la cybersécurité, à la plateformisation et à la rationalisation du nombre d’outils de sécurité, à la création de security data hubs pour accélérer et simplifier les processus de contrôle, ou encore à l’adoption d’approches just-in-time pour la gestion des accès
Méthodologie de l’étude
Les niveaux de maturité ont été mesurés par rapport aux référentiels internationaux (NIST CSF & ISO 27001/2) lors de missions d’évaluation réalisées par des consultants de Wavestone, majoritairement sous forme d’entretiens avec les responsables sécurité des organisations concernées. L’échantillon, datant du 1 mai 2025, regroupe plus de 170 organisations (dont 100 dépasse 1 milliard de chiffres d’affaires) ce qui représente près de 7 millions de collaborateurs. Les données issues de ces évaluations individuelles ont ensuite été consolidées et analysées par les équipes de spécialistes de Wavestone.