Seules 38 % des organisations françaises reconnaissent que leur stratégie de cyberrésilience reste trop centrée sur l’interne, contre 61 % au niveau mondial. Ce résultat flatteur masque pourtant un paradoxe bien hexagonal : la France sous-investit par rapport à sa propre lecture du risque, et ses angles morts technologiques, shadow AI, cryptographie post-quantique, dépendances tierces, restent largement non adressés.
Les organisations françaises se distinguent dans l’étude Zscaler « The Ripple Effect : A Hallmark of Resilient Cybersecurity » par une prise de conscience du risque externe supérieure à la moyenne mondiale. L’étude couvre des organisations de plus de 500 collaborateurs dans tous secteurs confondus. Les enquêteurs de Sapio Research ont interrogé 1 750 décideurs IT dans 14 pays, en décembre 2025. L’étude aborde un phénomène que Zscaler nomme « l’effet de diffusion » : la capacité d’une organisation à étendre sa posture de résilience au-delà de son périmètre propre, vers sa chaîne d’approvisionnement, ses prestataires tiers et ses technologies émergentes. C’est précisément sur cette dimension externe que les organisations françaises, malgré leur lucidité relative, accusent un retard mesurable.
La France augmente ses investissements en cyberrésilience à un rythme de 13 % sur les douze derniers mois — en progression, mais inférieur au Royaume-Uni (+19 %) et à la Suède (+18 %). Ce différentiel est d’autant plus significatif que les organisations françaises affichent une perception du risque externe plus aiguë que leurs homologues mondiales. La quasi-totalité d’entre elles (85 %) ont renforcé leurs investissements en cyberrésilience sur la période, contre 90 % au niveau mondial. Mais l’efficacité perçue de ces mesures s’effondre dès qu’on interroge leur périmètre réel : seules 19 % des organisations françaises estiment leurs dispositifs actuels efficaces face à la volatilité de la chaîne d’approvisionnement, contre 34 % au niveau mondial et 30 % en EMEA.
Un hiatus entre conscience du risque et dépenses
Ce résultat révèle une tension, car les organisations françaises savent que le risque vient de l’extérieur, investissent moins que leurs pairs européens, et jugent leurs mesures moins efficaces que la moyenne mondiale sur précisément ce risque externe. Ivan Rogissart, directeur avant-ventes Europe du sud chez Zscaler, formule l’impératif en ces termes : « Le risque est désormais partout et les entreprises doivent élargir le Zero Trust à l’ensemble de l’écosystème : supply chain, IoT, OT, workloads, serveurs. La cyber résilience doit se diffuser afin d’absorber les ondes de choc externes avant même qu’elles ne déstabilisent les opérations et le business. »
La dépendance aux infrastructures obsolètes aggrave ce tableau. Près des trois quarts des organisations françaises (76 %) s’appuient encore sur des pare-feu, VPN et modèles de sécurité périmétrique traditionnels. La moitié d’entre elles indiquent que leur architecture IT actuelle limite leur capacité à répondre efficacement aux incidents, contre 64 % au niveau mondial. Et près d’une organisation française sur deux (47 %) a déjà subi une perturbation causée par un tiers au cours des douze derniers mois, dans un contexte où moins de la moitié des organisations mondiales ont actualisé leur stratégie de résilience pour intégrer les dépendances vis-à-vis de tiers.
Shadow AI et cryptographie post-quantique, angles morts
L’adoption rapide des outils d’IA agentique génère une surface d’exposition mal maîtrisée. En France, près de six organisations sur dix (59 ) manquent de visibilité sur l’usage du shadow AI en interne, et près d’une sur deux (49 %) redoutent une exposition de données sensibles liée à ces usages. Ces chiffres, inférieurs à la moyenne mondiale (respectivement 69 % et 56 %), indiquent une sensibilisation légèrement supérieure. Mais quatre organisations françaises sur dix qui déploient ou testent des outils d’IA agentique ne disposent pas de cadres de gouvernance robustes pour en encadrer l’usage — un angle mort qui s’élargit à mesure que la vitesse de déploiement des agents IA s’accélère dans les environnements de production.
La cryptographie post-quantique constitue le second angle mort documenté, et sur ce point la France présente un retard plus marqué que la moyenne mondiale. Près des trois quarts des organisations françaises (72 %) n’ont pas intégré la cryptographie post-quantique dans leur stratégie de sécurité, contre 57 % au niveau mondial, soit un écart de quinze points. Ce retard est d’autant plus préoccupant que six organisations françaises sur dix reconnaissent que des données exfiltrées aujourd’hui pourraient être déchiffrées dans un horizon de trois à cinq ans — à parité exacte avec la moyenne mondiale. La menace « harvest now, decrypt later » est donc identifiée comme réelle, mais les réponses tardent à se mettre en place.
La souveraineté comme accélérateur partiel
La pression réglementaire produit des effets mesurables mais partiels. Seules 39 % des organisations françaises ont mis à jour leur stratégie de cyber résilience en réponse à l’évolution des réglementations, contre 60 % au niveau mondial, soit un écart de vingt et un points. Cette différence suggère que les obligations issues de NIS 2 et DORA, pourtant directement applicables aux opérateurs d’importance vitale et aux entités financières françaises, n’ont pas encore produit la mise à jour systématique des stratégies de résilience que leur périmètre d’application impose.
Trois organisations françaises sur quatre évaluent néanmoins leur dépendance aux technologies étrangères, une proportion élevée qui reflète les préoccupations de souveraineté numérique croissantes dans le contexte géopolitique actuel. Pour les RSSI français, la prise de conscience est réelle, sans pour autant traduire cette lucidité en programmes d’investissement et en architectures capables d’absorber des chocs, dont la probabilité et la sévérité sont connues.
