Le panorama de la maturité en cybersécurité des entreprises françaises de CyberVadis et du Cesin révèle une progression globale de la maturité cyber en France, mais aussi des écarts préoccupants selon la taille des entreprises et leur exposition réglementaire. Le maillon faible : la sécurité des tiers, toujours peu évaluée hors périmètre NIS 2.
Sur la base de plus de 1000 évaluations réalisées depuis 2023, CyberVadis et le Cesin livrent un panorama inédit de la maturité cyber des entreprises françaises. Chaque organisation est notée entre 300 et 1000 points, à partir de preuves documentées et analysées par des experts. Ce score ne repose pas sur des déclarations d’intention, mais sur la capacité à démontrer concrètement la mise en œuvre des pratiques. Il permet ainsi de comparer les niveaux de maturité entre typologies d’acteurs, tailles d’entreprise et périmètres réglementaires.
Sans surprise, les grandes entreprises, déjà soumises à des exigences sectorielles ou réglementaires, tirent leur épingle du jeu avec un score moyen de 865. Les ETI suivent avec 762 points, tandis que les PME (694) et les TPE (647) ferment la marche. Pourtant, ces dernières affichent une dynamique plus encourageante : 25 % en moyenne d’augmentation entre deux évaluations pour les TPE, contre 3 % seulement pour les grandes entreprises. Un signe que l’engagement, même tardif, peut générer des progrès rapides, à condition d’être soutenu par un accompagnement ciblé.
des politiques de sécurité affichées, mais encore peu incarnées
Une des failles les plus récurrentes identifiées par l’étude réside dans l’écart entre les politiques formalisées et leur application opérationnelle. De nombreuses entreprises disposent de chartes, de procédures ou de cadres documentés, mais ne peuvent pas démontrer leur effectivité sur le terrain. La gestion des appareils mobiles illustre parfaitement ce biais : 78 % des entreprises « essentielles » déclarent avoir une politique dédiée, mais seulement 21 % démontrent l’usage effectif d’une authentification forte sur ces terminaux.
Le cas de l’authentification forte pour les accès distants est tout aussi symptomatique. Si 73 % des organisations soumises à NIS 2 l’ont mise en œuvre, cette proportion tombe à 51 % pour les entreprises dites « importantes », et à moins de 30 % hors NIS 2. Ce différentiel révèle une gouvernance inaboutie et souvent déconnectée des usages réels, notamment lorsque les équipements personnels (BYOD) sont utilisés sans contrôle suffisant. La maturité ne peut donc être réduite à un empilement de documents : elle repose sur la vérifiabilité des pratiques.
détection et continuité d’activité : des lacunes persistantes
La journalisation des événements de sécurité est devenue une norme, y compris en dehors des obligations réglementaires. Pourtant, peu d’organisations parviennent à franchir le pas d’un monitoring en temps réel ou d’une corrélation automatisée des alertes. Ces fonctions, indispensables pour détecter les comportements anormaux ou les signaux faibles d’une attaque, nécessitent des compétences et des outils souvent hors de portée des PME et des ETI.
Les plans de continuité d’activité sont eux aussi souvent formalisés mais rarement testés, ce qui en réduit la valeur opérationnelle en cas d’incident. Les audits et tests d’intrusion réguliers restent peu répandus en dehors du périmètre NIS 2. Et dans les entreprises de taille intermédiaire, la sécurisation des configurations ou l’approche par les risques ne sont pas encore des réflexes. Ces carences affaiblissent la posture globale, d’autant plus que les cyberattaques évoluent vers des modes d’action plus furtifs, moins détectables par des mécanismes statiques.
la cybersécurité des tiers, angle mort de la résilience organisationnelle
La gestion des risques liés aux fournisseurs reste le point noir majeur de cette étude. Si 85 % des grandes entreprises insèrent désormais des clauses de sécurité dans leurs contrats, moins d’un quart des entreprises hors NIS 2 procèdent à une évaluation effective de leurs tiers. Ce manque de suivi opérationnel crée une zone aveugle dans l’écosystème, où les vulnérabilités peuvent se propager sans contrôle, en cascade. Frank Van Caenegem (Cesin, Schneider Electric) plaide pour une approche plus collaborative et moins punitive : « Il ne s’agit pas de noyer les partenaires sous des grilles d’évaluation, mais d’améliorer collectivement l’écosystème. »
Estelle Tchigique-Boyer (CNP Assurances) ajoute un point fondamental : l’évaluation ne doit pas se limiter aux fournisseurs de rang 1, mais couvrir l’ensemble de la chaîne de sous-traitance. Ce défi devient d’autant plus critique que le périmètre des obligations réglementaires s’élargit. L’étude rappelle qu’avec l’entrée en vigueur de NIS 2, ce sont désormais des dizaines de milliers d’acteurs dits « importants » qui doivent initier une montée en conformité exigeante, en particulier sur ce maillon faible qu’est la supply chain numérique.
un socle plus robuste, mais encore trop fragmenté
L’étude n’élude pas les avancées. La gouvernance de la cybersécurité se structure, y compris hors du périmètre NIS 2. L’intégration de la sécurité dans les processus RH devient plus fréquente, et la gestion des incidents s’installe comme une pratique commune : 96 % des entreprises essentielles, 85 % des importantes et 67 % des organisations hors scope disposent de processus établis pour identifier et traiter les menaces. Ces indicateurs confirment une certaine acculturation, qui reste cependant hétérogène et incomplète.
Pour Thibault Lapédagne, VP Research de CyberVadis, « le véritable défi est désormais d’élever les PME et ETI au même niveau de rigueur que les grands groupes. » Cette ambition suppose un changement d’échelle dans les dispositifs d’accompagnement, les outils de contrôle et la sensibilisation des dirigeants. Comme le résume Alain Bouillé, délégué général du Cesin : « Cette étude propose une vision factuelle, utile pour éclairer les choix stratégiques et structurer les priorités d’action à l’échelle nationale. »
