Baromètre Cesin, la cyber entre professionnalisation, gestion des tiers et transformation par l’IA

La vague 11 du baromètre Cesin, réalisée en partenariat avec OpinionWay auprès de 397 responsables cybersécurité, dresse un état des lieux contrasté de la maturité cyber en France à l’aube de 2026. Si la proportion d’organisations victimes d’attaques significatives poursuit sa décrue, la gravité des incidents augmente, imposant de nouveaux standards de résilience et d’accompagnement des métiers. Cette photographie illustre la consolidation des fondamentaux techniques, la transformation des modes de gouvernance et l’émergence de nouvelles priorités telles que la gestion des risques fournisseurs et l’intégration maîtrisée de l’intelligence artificielle.

Les DSI, les responsables sécurité et les dirigeants sont désormais confrontés à un référentiel élargi, combinant l’automatisation, la veille sur les risques émergents, la conformité réglementaire et la souveraineté des infrastructures. L’appropriation du cloud, l’externalisation de briques critiques et la généralisation de l’IA génèrent de nouveaux arbitrages, tandis que la demande de mutualisation et d’agilité pousse à la diversification des modèles de gestion.

Baisse du volume d’attaques, gravité accrue

Le baromètre Cesin 2026 fait état d’une baisse à 40 % du nombre d’entreprises victimes d’au moins une cyberattaque significative en 2025, contre 47 % un an plus tôt et 65 % en 2019. Cette décrue concerne en priorité les grandes organisations et les ETI, mais la gravité des incidents s’accentue : 81 % des entreprises attaquées rapportent un impact sur l’activité, qu’il s’agisse de perturbation de la production, de perte d’image ou de compromission de savoir-faire. Le vol de données reste la première conséquence (52 %), devant le déni de service (28 %) et l’effacement ou l’altération de données, deux fois plus fréquent qu’en 2024 (13 %).

Les modes d’attaque se concentrent sur le hameçonnage (55 %) et l’exploitation de failles (41 %). La judiciarisation progresse avec plus de la moitié des victimes qui portent plainte, mais seules 35 % le font systématiquement, illustrant le décalage persistant entre détection, remédiation et réponse juridique. Les rançongiciels continuent d’infliger des dégâts importants, notamment dans l’industrie et les secteurs critiques, tandis que l’ingénierie sociale reste un vecteur d’entrée majeur.

Risque tiers et vigilance contractuelle généralisée

La gestion du risque fournisseur s’impose comme une priorité pour 32 % des entreprises estimant que plus de la moitié de leurs incidents sont liés à des tiers. C’est un niveau record pour ce baromètre. Les attaques exploitant un défaut de sécurité chez un prestataire touchent 34 % du panel, les vulnérabilités sur des composants tiers concernent 32 %, et la propagation de rançongiciels via les partenaires affecte 30 % des organisations. La dépendance à la chaîne de sous-traitance et la complexité des relations d’écosystème créent de nouveaux angles d’attaque, souvent sous-évalués par les responsables métiers.

Pour limiter ces risques, 85 % des entreprises insèrent des clauses de sécurité dans leurs contrats, 74 % recourent à des questionnaires de sécurité et 64 % à des plans d’assurance ou de gouvernance. L’audit de fournisseurs et la surveillance de la surface d’attaque se généralisent, bien que leur profondeur varie selon la taille et la maturité des organisations. L’adoption des solutions de cyber-rating progresse, malgré une défiance persistante liée à l’opacité des scores et au risque de standardisation forcée des pratiques. La vigilance contractuelle devient aussi stratégique que la surveillance technique selon plusieurs RSSI du secteur financier.

Professionnalisation des solutions et arbitrage budgétaire

L’arsenal technique se diversifie et se spécialise : 98 % des organisations déploient des pare-feux et des plateformes EDR, 94 % l’authentification multi-facteur, 93 % des passerelles de sécurité pour le courriel. L’intégration de la surveillance Active Directory/Entra ID atteint 59 %, l’orchestration de la réponse (SOAR) 55 % et les contrôles d’accès réseau (NAC) 50 %. La gestion de la surface d’attaque (EASM, CAASM), la détection réseau (NDR) et la protection contre la fuite de données (DLP) dépassent 40 %. Les tests d’intrusion et la threat intelligence sont massivement externalisés, répondant à la demande de mutualisation et de flexibilité. Les référentiels privilégiés restent l’ISO 2700x, l’ANSSI et le NIST.

Les budgets cyber font l’objet d’un arbitrage : 42 % des entreprises consacrent plus de 5 % du budget IT à la sécurité, un repli de 6 points en un an. Cette évolution s’explique par la consolidation des offres, l’automatisation croissante et la recherche d’équilibre entre coûts, conformité et résilience. La vision complète et à jour des actifs numériques progresse à 81 %. Les offres issues de start-up peinent encore à s’imposer, en raison du manque de maturité ou de la satisfaction vis-à-vis des solutions éprouvées.

RSSI et gouvernance : de la transversalité à la stratégie

La fonction RSSI évolue fortement : 45 % des répondants jugent leur rôle plus stratégique, 36 % plus transversal, et seulement 10 % plus opérationnel. L’intégration du risque cyber dans la gouvernance progresse avec 90 % des organisations assurant un suivi régulier au CODIR ou au COMEX, et une reconnaissance dans le Top 3 des risques pour 64 % du panel. Cette institutionnalisation de la sécurité se traduit par une meilleure collaboration RSSI, mais aussi par une implication croissante dans la conformité réglementaire, la responsabilité sociétale et la sécurisation des chaînes d’approvisionnement.

Malgré une augmentation ou une stabilisation attendue des effectifs opérationnels et GRC, 69 % des organisations estiment ne pas disposer des ressources suffisantes pour répondre à tous les enjeux. Les priorités pour 2026 placent la gouvernance, l’accompagnement des métiers sur l’IA et l’adaptation à la transformation numérique en tête. La cyberassurance recule légèrement, traduisant un arbitrage en faveur des investissements humains et techniques directs.

Cloud, IA, souveraineté, nouveaux repères pour la résilience

L’adoption du cloud atteint un seuil critique, avec une répartition équilibrée entre IaaS/PaaS et SaaS. 54 % des organisations voient le cloud comme une opportunité de sécurité, mais 48 % identifient un risque lié aux lois extraterritoriales et 52 % dénoncent la rigidité contractuelle. Les outils natifs des fournisseurs cloud et l’intégration des logs dans le SIEM s’imposent dans les pratiques avancées, témoignant d’une hybridation croissante des environnements. La gestion du cloud s’accompagne d’une demande accrue d’auditabilité et d’un alignement sur les standards internationaux, poussée par la nouvelle vague réglementaire européenne.

La généralisation de l’IA générative crée de nouveaux risques, notamment le shadow IA, premier comportement à risque identifié en 2026. Les directions sécurité insistent sur la nécessité d’une politique d’accompagnement structurée, associant formation, surveillance des usages et intégration de l’IA dans les référentiels de sécurité. La souveraineté numérique, désormais enjeu pour 63 % des entreprises, s’impose comme un critère de choix pour les infrastructures critiques et la gestion des données stratégiques.

Le baromètre Cesin 2026 dessine le portrait d’un tissu économique en phase de consolidation, capable de conjuguer adaptation technique, gestion du risque tiers, conformité réglementaire et accompagnement de l’innovation. La résilience ne relève plus de la seule technique, mais devient une stratégie globale, institutionnalisée et portée par la gouvernance, la formation et la souveraineté. Les entreprises qui réussiront à combiner anticipation, mutualisation et agilité tireront pleinement profit des nouvelles dynamiques du marché de la cybersécurité.

publicité