Les entreprises françaises ne manquent ni d’outils de sécurité ni de dispositifs de détection. Ce qui fait défaut, selon le rapport Cyber-résilience 2025 de Cohesity, ce sont des capacités éprouvées pour restaurer rapidement, coordonner les équipes et reprendre l’activité après une attaque réussie. L’étude met en évidence un fossé croissant entre prévention et résilience, avec des impacts financiers, organisationnels et réglementaires.
La plupart des études en cybersécurité évaluent l’exposition au risque. Elles évaluent la surface d’attaque, la couverture des outils, la conformité aux référentiels ou la capacité de détection. Cette approche répond à une logique préventive, centrée sur la probabilité de l’incident. Le rapport Cohesity adopte un point de vue radicalement différent. Il part du principe que l’attaque finit par survenir et observe ce qui se passe ensuite. Isolation des systèmes compromis, disponibilité de sauvegardes saines, coordination entre équipes IT, sécurité et direction, existence de playbooks opérationnels, capacité à restaurer sans réintroduire les menaces, pression managériale pendant la crise.
Autrement dit, il ne mesure pas l’état défensif du système, mais la performance réelle de l’organisation sous contrainte. Cette bascule conceptuelle est essentielle. L’exposition cyber décrit une posture. La résilience décrit une capacité industrielle. Là où les indicateurs traditionnels s’arrêtent à la détection, la cyber-résilience s’intéresse au temps de reprise, à la qualité de restauration et à la continuité opérationnelle. Ce déplacement du regard met en lumière un angle mort majeur. Les entreprises investissent massivement dans l’amont de l’attaque, beaucoup moins dans l’aval. Or, c’est précisément dans cette phase que se jouent les pertes financières, la confiance des clients et la survie opérationnelle.
Une étude centrée sur l’après-attaque
Réalisée par Vanson Bourne pour Cohesity auprès de 400 responsables IT et sécurité en France, l’enquête fait partie d’une étude internationale couvrant 3 200 décideurs. Toutes les organisations interrogées comptent plus de 1 000 salariés et représentent des secteurs critiques comme la finance, le secteur public ou la santé. Le parti pris méthodologique est d’évaluer ce qui se passe une fois l’incident confirmé, depuis la détection jusqu’à la restauration complète des systèmes.
Premier constat. Les cyberattaques majeures ne relèvent plus de l’exception. Pas moins de 76 % des entreprises françaises déclarent avoir subi au moins un incident grave, 56 % au cours des douze derniers mois, et 28 % plusieurs attaques sur cette même période. Une entreprise sur trois a payé une rançon, pour un montant moyen de 1,2 million d’euros par incident.
Une confiance déclarée en décalage avec la réalité
Près de la moitié des répondants se disent totalement confiants dans leur stratégie de cyber-résilience. Pourtant, cette assurance contraste avec les pratiques observées. Moins de la moitié sauvegardent l’ensemble de leurs charges de travail. Seules 42 % utilisent une plateforme unique de sauvegarde. Environ un tiers ne protège qu’une partie de leurs environnements. Cette fragmentation limite la visibilité globale, complique la restauration et augmente mécaniquement l’exposition aux risques.
Le rapport montre également que si l’authentification multifacteur, la règle de sauvegarde 3-2-1 ou les contrôles administrateurs progressent, moins de la moitié des entreprises appliquent le principe du moindre privilège ou généralisent l’immuabilité des sauvegardes. Or, sans copies isolées et infalsifiables, aucune restauration fiable n’est possible. La résilience ne repose pas sur l’empilement d’outils, mais sur la cohérence de la chaîne protection, détection, réponse, restauration, affirment les rédacteurs de l’étude.
Détection outillée, réponse incomplète, restauration déficiente
Les dispositifs EDR, XDR et les flux de renseignement sur les menaces sont largement déployés, mais rarement exploités à leur plein potentiel. Environ deux tiers des entreprises disposent de ces outils, mais seules 30 % à 41 % déclarent les utiliser de manière optimale. La majorité détecte les attaques via ses propres systèmes, souvent avec une validation humaine. Après confirmation, un peu plus de la moitié segmentent les réseaux infectés ou informent les directions concernées. En revanche, seules 37 % activent un playbook formalisé et 35 % mettent en place une « salle blanche » isolée pour enquêter et restaurer.
Avant la remise en production, seules 40 % corrigent toutes les vulnérabilités exploitées. Près d’un tiers restaurent sans validation complète de l’intégrité des systèmes, ouvrant la voie à des réinfections. Les équipes évoquent des pressions managériales pour redémarrer vite, des difficultés de coordination lorsque les outils collaboratifs sont hors service, ainsi que des sauvegardes elles-mêmes compromises. La résilience se joue précisément dans ces moments, lorsque l’organisation est sous tension.
Un modèle de résilience encore immature
Cohesity a construit un baromètre de maturité basé sur cinq dimensions protection des données, restauration, détection et investigation, résilience applicative, optimisation du risque lié aux données. Résultat, 59 % des entreprises françaises se situent au stade « en développement », 17 % au niveau « émergent » et 10 % parmi les moins matures. À l’autre extrémité, seules 6 % disposent de capacités intégrées et systématiques, combinant une sauvegardes globales, des contrôles d’accès stricts, la restauration isolée et la conformité automatisée.
Ce déséquilibre se reflète dans les budgets. La majorité des investissements reste concentrée sur l’identification, la protection et la détection, conformément aux cadres NIST ou ISO 27001. La réponse et la restauration vérifiée demeurent sous-financées. Autrement dit, les entreprises continuent d’optimiser l’amont, alors que la valeur opérationnelle se joue après l’attaque, l’aval.
L’IA comme accélérateur de résilience
Le rapport souligne enfin le rôle croissant de l’intelligence artificielle dans la cyber-résilience. Près de 58 % des organisations ayant subi une attaque estiment prioritaire d’automatiser davantage la détection, la réponse et la restauration. Les usages vont de l’analyse comportementale à l’orchestration des réponses, en passant par des assistants capables de contextualiser les incidents. À la fin de 2026, 45 % anticipent une IA assistant la décision humaine, tandis que 39 % envisagent une IA centrale dans les processus de détection et de réponse.
Mais là encore, la technologie ne compense pas l’absence de processus unifiés. Sans gouvernance claire, sans référentiels à jour, sans scénarios de restauration testés, l’IA ne fait qu’accélérer des chaînes incomplètes. La cyber-résilience relève d’abord d’une discipline organisationnelle, ensuite d’un empilement logiciel.
L’amont et l’aval, deux faces de la même médaille
Dans les architectures hybrides et multi-cloud actuelles, l’amont et l’aval de la chaîne cyber ne devraient plus fonctionner comme deux blocs indépendants. Détection, protection, réponse et restauration s’appuient désormais sur les mêmes inventaires d’actifs, les mêmes métadonnées de charges de travail, les mêmes politiques d’identité et les mêmes mécanismes d’orchestration. La classification des données utilisée pour la conformité sert aussi à prioriser les restaurations. Les journaux EDR et XDR alimentent l’analyse des preuves avant la remise en production. Les contrôles d’accès conditionnent l’usage des sauvegardes. L’immuabilité protège à la fois contre l’attaque et contre la corruption des points de reprise.
Contrairement à une idée répandue, le lien entre les outils de détection-prévention et de remédiation est une nécessité de conception de tout système de cybersécurité. Selon le rapport, c’est ce qui explique pourquoi les entreprises disposant d’outils de détection avancés peuvent néanmoins restaurer sur des environnements compromis. Quand la sauvegarde est fragmentée, la détection perd du contexte. Quand la détection est isolée, la restauration devient aveugle. Ce n’est pas un problème de briques, mais d’architecture. La cyber-résilience moderne repose sur une boucle continue détecter, comprendre, corriger, restaurer, vérifier, durcir, et non sur une succession linéaire d’étapes indépendantes.
