Cyber Benchmark 2026

Maturité du marché et tendances de la cybersécurité

Dans un contexte de montée des menaces exponentielles, y compris d’origine géopolitique, de pression réglementaire renforcée (DORA, NIS 2, CRA…), les entreprises françaises et internationales doivent renforcer leur posture de cybersécurité. Les défis restent nombreux : explosion des usages de l’intelligence artificielle, résilience encore incomplète, dépendance aux fournisseurs tiers internationaux, et disparités importantes entre les secteurs…

Dans ce paysage en mutation rapide, où en sont réellement les grandes entreprises ? Quel niveau de sécurité ont-elles atteint ? Quels progrès ont été réalisés et où persistent les fragilités ? Pour répondre à ces questions, le cabinet de conseil Wavestone publie, pour la septième année consécutive, son Cyber Benchmark, une étude de référence fondée sur l’analyse terrain de plus de 200 organisations évaluées selon le référentiel international du NIST, le Cybersecurity Framework v2.0 et l’ISO 27001 par des entretiens in situ.

Ce benchmark dresse un panorama complet de l’état de préparation des grandes organisations face aux cybermenaces.

Téléchargez gratuitement le Cyber Benchmark 2026

Points clés

Le niveau de maturité moyen des grandes organisations a légèrement progressé pour atteindre 55,3 %. Le secteur financier reste en tête avec un score moyen de 67,6 %, porté par la pression réglementaire et des investissements soutenus.
Les budgets de cybersécurité représentent en moyenne 6,7 % du budget IT total. En moyenne, les organisations comptent un expert en cybersécurité pour 979 collaborateurs.
La protection contre les rançongiciels atteint 58 % en moyenne, avec des cas critiques parmi les entreprises de taille intermédiaire.
Cinq domaines clés enregistrent des progrès significatifs : gouvernance, gestion des risques, détection (SOC), réponse aux incidents et résilience — tous portés par les enjeux liés à l’IA.
La sécurité de l’IA accuse un retard : 76 % ont défini des règles, mais la maturité globale ne s’élève qu’à 38 %, et la détection des attaques visant les systèmes d’IA à seulement 10 %.
La réglementation NIS 2 stimule les investissements de mise en conformité, mais aucune entreprise n’est encore pleinement conforme. Les grandes organisations atteignent en moyenne 60 % de maturité.

Des améliorations limitées face à des écarts sectoriels durables

En 2026, la maturité moyenne des grandes entreprises en cybersécurité atteint 55,3 %, enregistrant une légère progression de +1,3 point par rapport à 2025. Cependant, cette évolution positive s’amenuise d’année en année, laissant entendre que plusieurs grandes entreprises ont atteint un palier difficile à dépasser sans réformes structurelles profondes ou sans une nouvelle phase d’investissements majeurs.

Le secteur financier confirme son leadership avec un score moyen de 67,6 %, soit une augmentation de +5,1 points. Cette performance est principalement portée par les effets combinés de la réglementation, notamment le règlement européen DORA, ainsi que des investissements humains et financiers accrus. À l’opposé, les secteurs moins régulés accusent un retard plus important, avec un écart de 8,8 points en moyenne entre les secteurs régulés et non régulés. Cet écart est d’autant plus souligné par rapport à l’année dernière car la maturité moyenne des secteurs régulés a augmenté de 2,1 points tandis que la maturité moyenne des entreprises non-régulées n’a pas connu d’augmentation significative.

Des budgets et des effectifs en hausse

Les entreprises interrogées consacrent en moyenne 6,7 % de leur budget à la cybersécurité, contre 6,4 % en 2025. La tendance est à la croissance des effectifs cyber : on compte désormais 1 expert cybersécurité pour 979 salariés, contre 1 pour 1 016 l’an dernier. Les leaders du secteur financier affichent des ratios beaucoup plus élevés, allant jusqu’à 1 pour 83. Cependant, cette croissance des effectifs met également en lumière un défi majeur : la guerre des talents. La demande d’experts en cybersécurité reste élevée, et certains secteurs risquent de se retrouver en concurrence directe pour attirer des profils qualifiés, ce qui pourrait compliquer la tâche des entreprises qui ne disposent pas de ressources suffisantes. Les grandes organisations les plus matures ont également recours de plus en plus fréquemment au nearshoring, en particulier en Europe du Sud, ou à del’offshoring dans des pays plus lointains.

Menace des ransomwares : les grandes entreprises renforcent les fondamentaux, tandis que les plus petites restent en retard

Sur les 29 vecteurs d’attaque utilisés par les groupes de ransomware identifiés par les équipes de réponse à incident de Wavestone, les grandes entreprises atteignent un niveau de maturité moyen de 58 % (+2 points par rapport à l’année 2025), ce qui contribue à réduire les compromissions majeures.

Parmi les petites et moyennes entreprises, 25 % du panel sont jugées en situation critique, soit une amélioration de 11 points par rapport à 2025. Si des progrès ont été réalisés, des efforts restent nécessaires pour consolider les fondamentaux sur une large part de l’écosystème. Les solutions sont connues et bien identifiées, il reste majoritairement à mobiliser des structures usuellement peu sensibilisées à la cybersécurité. Ces chiffres restent tout de même très encourageants car une augmentation de 18 points avait déjà été remarquée l’année dernière. L’arrivée de la directive NIS 2 semble provoquer un sursaut dont il faudra observer le maintien dans les prochaines années.

NIST CSF 2 : des progrès consolidés sur l’ensemble des piliers, reflet d’efforts soutenus dans le temps

La majorité des piliers du NIST CSF 2.0 affiche une homogénéité avec un niveau de maturité de 56-57 % pour les piliers Gouvernance, Protection, Détection, Réponse, témoignant d’une évolution uniforme des pratiques de cybersécurité. Le pilier Identifier (les risques) est légèrement derrière avec 54 % mais évolue de façon tout aussi constante. Cependant, avec seulement 44 %, le pilier Reconstruire révèle un retard, montrant que la résilience face aux crises reste un axe d’amélioration majeur pour de nombreuses organisations. Seul le secteur de la finance affiche une avance sur les autres secteurs avec 58 %.

Cinq des 17 domaines de cybersécurité étudiés affichent des progrès significatifs :

Gouvernance

La gouvernance (+2 points) est renforcée sous l’effet des pressions réglementaires et de l’implication accrue des instances dirigeantes. Les organisations ont structuré leurs dispositifs avec des rôles clarifiés (RSSI et leurs filières, intégrant les SI industriels ou les produits numériques), une meilleure intégration de la cybersécurité dans la stratégie globale et une sensibilisation croissante des COMEX alimentés par les nombreux relais médiatiques, contribuant à une prise de décision plus rapide et plus structurée.

Gestion des risques

La gestion des risques (+2 points) est en amélioration grâce à la généralisation des démarches formalisées et l’affinement des cartographies de risques, permettant une meilleure priorisation des actions. Le traitement des risques se concrétise par des plans d’actions plus structurés et suivis dans le temps, une ouverture accrue vers des approches proactives comme le bug bounty, ainsi qu’une meilleure intégration du risque cyber dans les cycles de développement agiles.

Détection

La détection (+5 points) est portée par le renforcement des capacités des centres opérationnels de cybersécurité et l’adoption de technologies avancées. Les dispositifs de surveillance progressent avec l’utilisation de SIEM, EDR/XDR et l’intégration de l’IA, permettant une meilleure identification des signaux faibles. Cette évolution est renforcée par l’enrichissement des scénarios de détection grâce aux logs internes (ex. CMDB) et aux sources externes de threat intelligence, améliorant la contextualisation des alertes. Les organisations structurent également des cas d’usage basés sur leurs principaux risques et renforcent l’analyse des logs applicatifs liés aux événements de sécurité.

Réponse à incident

La réponse à incident (+2 points) progresse nettement grâce à la plus grande disponibilité en 24/7 des équipes internes, au recours à des tiers spécialisés, ainsi qu’à la définition, la communication et l’application d’un processus structuré de gestion des incidents de sécurité, permettant des réponses plus rapides, mieux coordonnées et plus efficaces face aux incidents majeurs.

Cyber résilience

La cyber résilience (+3 points) progresse nettement ces dernières années avec le renforcement des dispositifs de préparation. Les organisations développent davantage leurs politiques d’assurance cyber, multiplient les exercices de gestion de crise et intensifient les tests de restauration, contribuant à améliorer leur capacité à assurer la continuité des activités face aux incidents majeurs. Ces sujets restent cependant un point de risque majeur dans le panorama cyber.

Modification du paysage cyber : Accélération de l’intégration de l’IA dans la gouvernance, la gestion des risques et les opérations cyber

En parallèle de ces progrès, l’intelligence artificielle s’impose désormais comme un levier structurant transformant en profondeur les pratiques de cybersécurité et les modèles organisationnels associés. Cette évolution se traduit d’abord par l’émergence de nouveaux rôles spécialisés, tels que l’AI Risk Management, chargé de concevoir et de maintenir des cadres de gestion des risques spécifiques à l’IA et de piloter les évaluations associées, ou encore l’AI Compliance Office, qui encadre la conformité aux référentiels et réglementations (AI Act, NIST AI RMF) et définit la classification des systèmes selon leur niveau de criticité. À ces fonctions s’ajoutent l’AI Governance, qui structure les politiques, standards et processus de décision liés à l’usage de l’IA, ainsi que l’AI Third-Party Risk Manager, en charge de l’évaluation des fournisseurs et de la maîtrise des risques liés aux solutions SaaS, API et grands modèles de langage (LLM).

Dans le même temps, l’essor de l’IA transforme le paysage des menaces : les attaques deviennent plus sophistiquées avec la montée en puissance du phishing automatisé, des deepfakes de plus en plus crédibles et l’apparition des premiers malwares exploitant l’IA (PromptFlux, PromptLeak…) dans leurs mécanismes de propagation ou d’évasion.

Face à ces risques accrus, les organisations amorcent une transformation de leurs capacités de défense : les premiers déploiements réussis d’IA dans les SOC permettent déjà d’automatiser le traitement des spams et des tentatives de phishing, d’améliorer la qualification des alertes et de renforcer l’efficacité opérationnelle. L’intégration progressive de l’IA dans les outils de détection favorise également une analyse comportementale plus fine ainsi qu’une meilleure modélisation de scénarios d’attaques complexes et personnalisées.

Enfin, bien que les équipes de réponse dédiées à l’IA restent encore limitées à ce stade, leur développement constitue une tendance émergente appelée à se généraliser, traduisant la nécessité pour les organisations de structurer des compétences spécifiques pour faire face à ces nouveaux usages et risques. Globalement, l’IA agit ainsi comme un accélérateur à la fois des capacités de défense et de la complexité des menaces, imposant une adaptation continue des dispositifs de gouvernance, de gestion des risques et des opérations de cybersécurité.

Intelligence artificielle : des bases posées, mais une maturité encore limitée

L’intelligence artificielle est aujourd’hui au cœur des investissements des grandes structures. Les équipes sécurité se sont souvent mobilisées en urgence pour accompagner la sécurisation de ces nouveaux systèmes. On observe que pour les activités historiquement les plus matures, telles que la gouvernance ou la validation sécurité des projets, les entreprises parviennent globalement à s’adapter et à suivre la tendance. En revanche, les domaines déjà en retard, comme la gestion des tiers, ainsi que les sujets plus récents et complexes — à l’image des tests de sécurité sur les systèmes d’IA ou de l’anticipation des nouvelles menaces liées à l’IA — affichent encore des niveaux de maturité très faibles. Nos équipes ont largement été mobilisées sur ces sujets et cela nous permet d’analyser le degré de maturité du marché à date sur plus de 20 grandes organisations :

76 % disposent désormais d’une politique de sécurité dédiée à l’IA
62 % appliquent un processus de validation cyber des cas d’usage (go/no-go)
57 % ont constitué une équipe chargée d’évaluer la conformité des projets IA
48 % ont adapté leur méthodologie d’évaluation des tiers pour intégrer les fournisseurs d’IA

Mais en matière de protection concrète, les résultats restent très en retrait. Seulement 10 % des entreprises ont mis en place des mécanismes de défense contre les attaques de type prompt injection ou autres menaces spécifiques à l’IA.

Directive NIS2 : une priorité stratégique mais une mise en œuvre incomplète

La directive européenne NIS 2, en cours de transposition ou déjà transposée dans plusieurs pays européens, pousse les entreprises à renforcer leur cybersécurité. Les grandes organisations atteignent environ 60 % de maturité vis-à-vis de NIS 2, sachant que la loi exigera 100 % à terme. Ce niveau, encore relativement faible, souligne l’ampleur des efforts restant à fournir pour atteindre une conformité et une résilience complètes. Cette analyse s’appuie sur un échantillon de plus de 15 organisations issues de divers secteurs, évaluées au regard de différents référentiels NIS2 locaux, avec des analyses menées soit à l’échelle de l’ensemble de l’organisation, soit sur des périmètres spécifiques. L’obstacle principal : l’obligation d’un niveau de sécurité homogène sur l’ensemble du système d’information, qui rompt avec les approches actuelles, souvent focalisées sur des périmètres critiques.

Le marché français n’a pas encore connu d’accélération majeure, contrairement à certains autres pays où les contrôles ont commencé et où plusieurs grands groupes internationaux sont déjà engagés dans la mise en conformité. En effet, ces derniers ont pris de l’avance via leur présence dans d’autres pays européens où la directive NIS 2 a déjà été adoptée. Les acteurs déjà soumis à des régulations ont également amorcé leurs démarches : habitués à ce type d’exigences, ils ont conscience du caractère long et coûteux de la mise en conformité. Ils se montrent donc plus proactifs et sensibilisés aux enjeux. Ils ont, par exemple, d’ores et déjà réalisé des premiers bilans de conformité, notamment en s’appuyant sur des référentiels comme le ReCyf, afin de mobiliser les équipes et d’alerter les instances dirigeantes, notamment les COMEX.

Le niveau de granularité des exigences varie toutefois d’un pays à l’autre, ce qui complique leur mise en œuvre à l’échelle européenne. Face à cette hétérogénéité réglementaire, les grands groupes sont contraints de trouver un compromis afin de répondre aux attentes locales tout en maintenant une certaine cohérence globale. Ils cherchent ainsi à harmoniser leurs dispositifs de cybersécurité et leurs systèmes d’information, en définissant des standards communs suffisamment robustes pour couvrir l’ensemble de leurs filiales, tout en restant adaptables aux spécificités nationales. Cette approche permet de limiter la complexité opérationnelle et d’assurer un niveau de protection homogène à travers leurs différentes implantations.

L’analyse des déclinaisons nationales de la directive NIS 2 met en évidence une forte hétérogénéité des exigences en Europe, tant en termes de granularité que de niveau de prescription. Certains pays introduisent des spécificités marquées : la France insiste sur la sécurisation des systèmes d’administration et la traçabilité des investigations, la Belgique impose des inventaires détaillés des fournisseurs critiques et des actifs, tandis que la Hongrie se distingue par des exigences avancées en matière de continuité, de supervision et d’automatisation de la gestion des incidents. L’Italie renforce quant à elle les attentes autour de la visibilité des environnements OT, IoT et cloud, avec des contraintes de mise en conformité parfois resserrées. D’autres pays adoptent des approches contrastées, allant de cadres très détaillés et techniques (Estonie, Croatie) à des dispositifs plus synthétiques et orientés recommandations (Pays-Bas, Finlande). Des exigences spécifiques émergent également, comme le partage obligatoire de vulnérabilités zero-day avec les CSIRT (Grèce, Danemark), des règles strictes de sauvegarde (Slovaquie) ou encore des niveaux élevés de disponibilité des systèmes critiques (Lituanie). Cette diversité, combinée à des contraintes variables en matière de délais, de documentation et d’interactions avec les autorités, renforce la complexité de mise en conformité pour les organisations et confirme la nécessité d’une approche à la fois harmonisée et adaptable à l’échelle européenne.

Les défis prioritaires pour la mise en conformité restent :

La cartographie exhaustive des actifs

La directive exige une vision claire et actualisée des actifs numériques (infrastructures, applications, postes de travail) permettant de réaliser le maintien en condition de sécurité de ces actifs. Or, cette cartographie reste lacunaire, notamment dans les environnements hybrides et cloud.

La gestion des risques tiers

NIS 2 impose une évaluation rigoureuse et continue de la cybersécurité des prestataires et partenaires. Les entreprises doivent professionnaliser ces contrôles, encore souvent partiels ou manuels.

La maîtrise de l’administration

L’administration nécessite une protection renforcée (comptes d’administration dédiés, postes de travail dédiées, réseau d’administration dédié), en particulier pour les services d’annuaire, dont la compromission par un cyberattaquant peut entraîner des conséquences majeures. Malgré des déploiements de solutions PAM, les usages restent fragmentés.

Un marché en évolution atteignant des niveaux élevés de conformité

Le top 10 des structures du benchmark atteint un niveau de maturité de 78 %. Ces organisations investissent désormais dans des technologies et des approches qui ne sont plus forcément mentionnées explicitement dans les standards internationaux, lesquels devront être mis à jour. Pour suivre ces innovations, Wavestone a décidé de créer un niveau de maturité dédié aux pionniers, afin de suivre l’évolution des pratiques de cybersécurité. Lancé en 2025, ce nouvel indicateur permettra d’identifier les organisations les plus en avance et de partager des retours d’expérience sur les technologies ou approches qu’elles sont en train de tester.

Il s’agit notamment des enjeux liés à la cryptographie post-quantique, à l’usage de l’IA pour la cybersécurité, à la plateformisation et à la rationalisation du nombre d’outils de sécurité, à la création de security data hubs pour accélérer et simplifier les processus de contrôle, ou encore à l’adoption d’approches just-in-time pour la gestion des accès.

Par ailleurs, deux nouveaux indices viennent compléter ce nouveau niveau de maturité : l’index de culture change, qui évalue la maturité des processus intégrés et diffusés au sein de la culture de l’entreprise, et l’index d’innovation, qui mesure la maturité des nouvelles solutions et des approches innovantes mises en place.

Méthodologie de l’étude

Les niveaux de maturité ont été mesurés par rapport aux référentiels internationaux (NIST CSF v2.0 & ISO 27001/2) lors de missions d’évaluation réalisées par des consultants de Wavestone, majoritairement sous forme d’entretiens avec les responsables sécurité des organisations concernées. L’échantillon, datant de mai 2026, regroupe plus de 200 organisations (dont 100 dépassent 1 milliard de chiffre d’affaires) ce qui représente près de 7 millions de collaborateurs. Les données issues de ces évaluations individuelles ont ensuite été consolidées et analysées par les équipes de spécialistes de Wavestone.

Cybersécurité