La Bretagne se dote d’une vision de plus en plus précise des dynamiques de cybersécurité à l’échelle territoriale. Selon la 2ᵉ édition du Baromètre Cybersécurité breton 2025, les organisations renforcent progressivement leur posture, même si les collectivités accusent un retard par rapport aux entreprises. L’étude révèle une structuration lente mais tangible, marquée par des disparités en matière de gouvernance, de perception du risque et de moyens consacrés à la sécurité numérique.
La force du baromètre 2025 réside dans sa dimension territoriale assumée. Portée par Bretagne Cyber Alliance avec le soutien de partenaires locaux et nationaux, l’enquête repose sur les réponses de 2522 organisations implantées dans les quatre départements de la région. Selon l’étude, les collectivités représentent 77 % de l’échantillon, traduisant une forte implication du secteur public dans la dynamique de sécurisation des systèmes d’information. La répartition géographique est équilibrée, et les tailles d’entité varient de moins de 10 à plus de 1000 agents ou salariés, avec une surreprésentation des petites structures, notamment dans les collectivités locales.
Cette dimension régionale confère à l’étude une valeur stratégique particulière, en mettant en lumière des spécificités locales souvent invisibles dans les enquêtes nationales. Les résultats sont d’ailleurs mis en perspective avec les données du CESIN, de l’ENISA, des CSIRT territoriaux et des sondages OpinionWay pour Cybermalveillance.gouv.fr, ce qui permet de situer la maturité bretonne dans un cadre plus large.
Entreprises et collectivités, un écart de vision
Selon le baromètre, 65 % des entreprises bretonnes considèrent la menace cyber comme très importante, un niveau supérieur à la moyenne nationale. Cette vigilance contraste avec le recul observé chez les collectivités, dont seulement 41 % partagent cette perception. Cette divergence pourrait s’expliquer par une moindre sensibilisation, une sous-estimation des risques ou une absence d’incidents marquants récents.
La dépendance aux systèmes d’information est également mieux assumée dans le secteur privé. L’étude révèle que 67 % des entreprises jugent leurs systèmes critiques pour le maintien de leurs activités, contre seulement 36 % des collectivités. Plus inquiétant, 25 % des entités publiques ne savent pas répondre à cette question, signe d’une acculturation encore incomplète aux enjeux numériques.
Des progrès notables dans la structuration et les pratiques
L’étude met en évidence une amélioration significative des pratiques en matière de cybersécurité, en particulier chez les entreprises. 50 % disposent désormais d’un centre de sécurité opérationnel, contre 27 % en 2023, et 92 % ont désigné un responsable ou un référent cybersécurité. Chez les collectivités, ces taux plafonnent à 20 % pour les centres de sécurité opérationnels et 65 % pour les référents, malgré une hausse notable par rapport à 2023.
En matière de dispositifs techniques, les fondamentaux comme l’antivirus, le pare-feu et les sauvegardes sont massivement déployés. Toutefois, l’étude souligne que les solutions avancées comme la détection comportementale ou les serveurs de mise à jour peinent encore à s’imposer, en raison de contraintes budgétaires et organisationnelles. Du côté des actions de sensibilisation, 93 % des entreprises déclarent avoir engagé au moins une initiative en 2025, contre 75 % des collectivités.
Les freins à la cybersécurité restent structurels
Malgré les efforts, l’étude révèle que les principaux obstacles restent inchangés depuis 2023. Les organisations bretonnes citent en priorité le manque de ressources humaines, le coût des solutions et la pénurie de compétences spécialisées. Ces facteurs freinent la structuration des équipes internes, en particulier pour les plus petites structures. Le baromètre souligne également qu’une organisation sur deux ignore la part de son budget dédiée à la cybersécurité, ce qui limite sa capacité de pilotage stratégique.
Concernant la directive européenne NIS2, seuls 16 % des répondants concernés affirment avoir mis en place un plan d’action. L’étude note que 40 % des organisations ne savent pas si elles sont visées par cette réglementation. Ce déficit d’identification des obligations constitue un point d’alerte majeur pour les acteurs publics et les accompagnants du tissu économique régional.
Des attentes fortes en accompagnement et en services opérationnels
Les besoins exprimés par les répondants montrent une évolution significative par rapport à 2023. Selon le baromètre, la demande se porte désormais prioritairement sur l’accompagnement à la mise en conformité, les services de réponse à incident et les audits de sécurité. La sensibilisation, pourtant essentielle pour prévenir les risques, quitte le trio de tête des priorités déclarées. Cela traduit une progression de la maturité, mais aussi un glissement vers des besoins plus opérationnels et structurants.
Le baromètre 2025 esquisse ainsi un paysage en transformation. Il révèle une meilleure prise en main de la sécurité numérique par les entreprises, une mobilisation croissante mais encore inégale des collectivités, et une reconnaissance affirmée des enjeux régionaux. Pour les acteurs publics bretons, ce diagnostic constitue un socle précieux pour renforcer l’écosystème cyber et structurer les politiques territoriales de résilience numérique.
