Le Baromètre de la cybersécurité 2025, coréalisé par Docaposte et Cyblex Consulting met en évidence un décalage entre perception du risque et niveau réel de protection. Alors que 74 % des organisations estiment fournir des efforts suffisants, 74 % d’entre elles demeurent en dessous du niveau « Essentiel » recommandé par l’ANSSI. La maturité progresse à la marge, mais la trajectoire reste insuffisante face à des menaces stabilisées et à un cadre réglementaire plus exigeant.
L’enquête repose sur une vingtaine de questions téléphoniques articulées autour de la perception du risque, des mesures déployées et de la gouvernance interne. L’échantillon est composé à 35 % de TPE, à 48 % de PME et à 17 % d’ETI ou de grands groupes. Vingt-six pour cent des répondants relèvent du secteur public. Les fonctions dirigeantes représentent 45 % des profils interrogés, devant les responsables IT et RSSI. Cet ordonnancement permet une lecture comparative fine entre tailles d’organisation, secteurs et fonctions décisionnelles.
Les données relatives aux attaques montrent une stabilité préoccupante. Trente pour cent des organisations déclarent avoir déjà subi une cyberattaque, un taux identique à l’édition précédente. Le hameçonnage demeure le vecteur principal avec 38 % des incidents, suivi du rançongiciel à 28 % et du vol ou de la perte de données à 17 %. La hiérarchie des menaces n’a pas évolué depuis 2023. Cette constance traduit moins une amélioration de la résilience qu’une normalisation du risque dans le quotidien des organisations.
90 % des TPE au niveau Critique de l’Anssi
La grille de maturité élaborée à partir des guides de l’ANSSI distingue quatre niveaux structurants. Le niveau Critique regroupe les organisations n’ayant pas déployé l’ensemble des mesures essentielles permettant d’assurer une continuité minimale d’activité en cas d’attaque. Le niveau Essentiel correspond à la mise en œuvre des mesures prioritaires d’hygiène informatique recommandées par l’ANSSI, destinées à réduire la probabilité d’une attaque à court terme et à en limiter les effets.
Le niveau Standard intègre ces fondamentaux et y ajoute une logique d’amélioration continue, avec une formalisation des processus et des mécanismes de maintien en condition de sécurité. Enfin, le niveau Renforcé suppose une approche globale de maîtrise des risques, intégrant une gouvernance structurée et adaptée aux entités les plus exposées ou relevant de secteurs critiques. Dans cette édition, près des trois quarts des répondants se situent encore au niveau Critique, tandis qu’une minorité seulement atteint les niveaux supérieurs, ce qui montre que la progression reste marginale et ne modifie pas la structure globale de répartition.
L’effet de la taille est déterminant aussi. Quatre-vingt-dix pour cent des TPE demeurent au niveau Critique, contre 69 % des PME et 57 % des ETI. Cette distribution traduit un déficit de formalisation des pratiques dans les petites structures, notamment en matière de gestion de crise et de cartographie des actifs sensibles. Le rapport identifie trois leviers prioritaires. La mise en place d’un dispositif de gestion de crise cyber, d’un inventaire priorisé des services numériques sensibles et d’un plan de sauvegardes externalisées régulières permettrait à 30 % des organisations du niveau Critique de basculer au niveau Essentiel. La marge de progression existe, mais elle suppose une décision de gouvernance explicite.
Hausse des investissements en 2025
Quarante et un pour cent des répondants estiment être une cible potentielle. La note moyenne d’exposition s’établit à 5,5 sur 10. Vingt-six pour cent déclarent une exposition forte, tandis que 28 % la jugent faible. Cette perception modérée influence directement les arbitrages financiers. Soixante-quatorze pour cent des organisations considèrent faire suffisamment d’efforts, et 47 % estiment que le risque d’une attaque réussie est peu élevé.
Les budgets traduisent cette prudence. Cinquante-cinq pour cent des répondants déclarent une hausse de leurs investissements en 2025, mais 41 % indiquent une stabilisation, en progression de 10 points sur un an. Les dépenses restent majoritairement concentrées sous le seuil de 10 euros par salarié et par mois. Seuls 34 % connaissent précisément leur budget cybersécurité. La stabilisation budgétaire, combinée à une perception de risque modérée, explique en partie la persistance du niveau Critique.
La formalisation des responsabilités constitue l’un des points faibles majeurs. La part des référents sécurité des systèmes d’information nommés en interne recule de 11 points par rapport à l’année précédente. Douze pour cent des organisations déclarent ne disposer d’aucune ressource dédiée à la cybersécurité, en hausse de 8 points. La ressource externalisée diminue également de 22 points. Cette contraction simultanée affaiblit la continuité organisationnelle.
Conformité minimale plutôt que’amélioration continue
Les actions déclarées restent concentrées sur les fondamentaux techniques. Quatre-vingt-neuf pour cent mentionnent une gestion renforcée des mots de passe, 85 % une mise à jour régulière des logiciels et 81 % des sauvegardes externalisées régulières. Toutefois, six actions sur treize reculent par rapport à l’édition précédente, notamment la double authentification et la sécurisation du réseau. Cette érosion traduit un plafonnement des démarches, davantage axées sur la conformité minimale que sur une stratégie d’amélioration continue.
Le secteur public présente un profil différencié. Cinquante pour cent des acteurs publics se considèrent comme des cibles potentielles, contre 37 % des entreprises privées. Cette perception plus élevée se traduit par des budgets plus importants, avec un écart de 15 points en faveur du public pour les organisations déclarant un investissement supérieur à 10 000 euros par an. L’application des recommandations de l’ANSSI y est supérieure de 14 points.
L’importance accordée aux systèmes souverains progresse également. Cinquante-cinq pour cent des acteurs publics attribuent la note maximale à l’importance de solutions françaises ou européennes, contre 37 % des entreprises privées. La proportion de notes maximales a doublé depuis 2023. Cette orientation reflète l’impact des obligations réglementaires et la pression accrue sur la continuité d’activité des services publics.
Aamélioration du plan de continuité et de reprise d’activité
Trente-et-un pour cent des répondants déclarent connaître et appliquer les recommandations de l’ANSSI, contre 16 % l’année précédente, soit une progression de 15 points. Un responsable IT sur deux applique ces recommandations. Soixante pour cent des ETI les appliquent, contre 35 % des PME et 11 % des TPE. Cette diffusion reste fortement corrélée à la taille et à la professionnalisation des équipes IT.
Le radar comparatif 2024-2025 montre une légère amélioration du plan de continuité et de reprise d’activité, mais une régression sur plusieurs axes du niveau Critique, notamment la désignation d’un référent SSI. La dynamique actuelle améliore certains indicateurs, sans modifier l’architecture globale de maturité.La photographie 2025 confirme que le risque cyber est intégré dans le discours et dans les pratiques minimales des organisations françaises. Elle montre également que la transformation structurelle tarde. La progression de la notoriété des guides, l’augmentation mesurée des budgets et la diffusion des dispositifs techniques ne suffisent pas à faire basculer massivement les organisations vers le niveau Essentiel. La prochaine étape relève d’une décision de gouvernance explicite, alignant perception du risque, formalisation des responsabilités et priorisation budgétaire dans une logique de continuité d’activité mesurable.
