Les entreprises françaises sont de plus en plus conscientes de l’importance de la cybersécurité, mais leurs priorités budgétaires et leurs investissements restent orientés vers la protection traditionnelle des infrastructures,
pas vers la résilience.


Bien que les nouvelles régulations comme DORA et NIS 2 exigent une posture de cybersécurité proactive, continue et permettant la résilience, les entreprises continuent de concentrer leurs investissements sur des mesures de prévention traditionnelles telles que les antivirus et les pare-feu. Ceci est la conclusion principale de l’étude menée par Ipsos pour le compte d’Okta, le spécialiste de la gestion des identités et des accès. Les résultats révèlent un décalage important entre les priorités actuelles des entreprises et les exigences croissantes de conformité, ce qui pourrait compromettre leur résilience face
aux menaces émergentes.

L’étude estime que « cette orientation reflète une priorité historique sur la sécurisation des points terminaux et la lutte contre les attaques directes (virus, hameçonnage), mais peut s'avérer insuffisante pour répondre aux nouveaux impératifs législatifs axés sur la résilience organisationnelle et la gestion des risques. Ces conclusions reposent sur les réponses de 500 décideurs IT, l’étude ayant pour objectif d’évaluer la maturité des entreprises françaises en matière de cybersécurité, en tenant compte des investissements, de la préparation face aux nouvelles réglementations, et des priorités stratégiques.

D’après les réponses recueillies, les petites et moyennes entreprises semblent plus hésitantes à intensifier leurs efforts de cybersécurité. Elles ont encore tendance à minimiser l’importance de la cybersécurité, la considérant davantage comme un coût plutôt qu’un investissement. Par exemple, 43 % des entreprises de 50 à 249 employés considèrent la cybersécurité comme une priorité accrue, contre 60 % dans les entreprises de taille intermédiaire (500 à 2999 employés). Les rédacteurs de l’étude estiment que « ce comportement est inquiétant dans un contexte où les PME deviennent de plus en plus les cibles privilégiées des cybercriminels, notamment à travers des vecteurs d’attaque tels que le phishing et les attaques par déni de service (DDoS) ».

25 % des répondants n’a jamais entendu parler de NIS 2 et DORA

L’un des constats majeurs de cette étude est le manque de préparation des entreprises face aux nouvelles régulations européennes telles que le Digital Operational Resilience Act (DORA) et NIS 2. Ces deux directives entreront en vigueur dans les prochains mois et imposent des standards plus élevés en matière de résilience opérationnelle et de gestion des risques. Or, l’étude révèle que près d’un quart des répondants n’ont jamais entendu parler de ces régulations, et seulement 24 % des entreprises se déclarent prêtes
pour NIS 2, contre 49 % pour le RGPD.

Ce faible niveau de préparation s’explique principalement par un manque de ressources humaines et de connaissances spécifiques. En effet, 29 % des répondants citent le manque de personnel qualifié comme le principal obstacle à la prise en compte de ces régulations, suivi par un manque de compréhension de la réglementation (également 29 %). Ce déficit

La protection plutôt que la conformité

Malgré l’émergence des nouvelles régulations, les entreprises continuent de concentrer leurs efforts budgétaires sur des solutions de sécurité traditionnelles telles que les antivirus et pare-feu (priorisés par 24 % des entreprises) et les solutions de sauvegarde de données (17 %). Cette orientation est typique d’une stratégie de protection axée sur les points terminaux et la sécurisation du périmètre réseau. Bien que ces technologies soient essentielles pour prévenir les attaques classiques, elles ne répondent pas aux nouvelles exigences de gestion de la continuité opérationnelle et de résilience imposées
par DORA et NIS 2.

Les tests de sécurité avancés (Pentest, Red Team) ne figurent pas parmi les priorités des entreprises, 9 % seulement. Et la cartographie des données n’est jugée prioritaire que par 7 % d’entre elles. Selon l’étude, cela montre que la majorité des entreprises sous-estime encore l’importance de tester et d’évaluer régulièrement leurs défenses. Face à la sophistication des attaques, cette posture est risquée. Elle pourrait être coûteuse à long terme, car les cybercriminels utilisent de plus en plus des techniques d’attaque évoluées, telles que les ransomwares multivecteurs et les compromissions par les chaînes d'approvisionnement, qui nécessitent une vigilance proactive et une gestion
centralisée des risques.

Une maturité perçue souvent déconnectée de la réalité

La maturité perçue des entreprises en matière de protection de l’identité est élevée : 86 % des décideurs IT estiment que leur entreprise est "plutôt mature" ou "très mature" sur ce sujet. Néanmoins, cette perception n’est pas nécessairement en phase avec leur capacité réelle à gérer les menaces complexes ou à se conformer aux régulations.

Le secteur technologique se distingue en se déclarant le plus mature (92 % des entreprises jugées matures) contre seulement 83 % dans le secteur public. Ce dernier, pourtant, est souvent la cible de cyberattaques sophistiquées, ce qui pourrait signaler une surestimation de leur niveau de sécurité. Cette confiance excessive pourrait engendrer un manque d’investissement dans des technologies plus avancées, telles que les systèmes de détection et de réponse aux incidents (EDR, MDR, XDR).

Une perception encore focalisée sur les risques traditionnels

Les menaces perçues par les entreprises demeurent largement axées sur les virus informatiques (43 %), les violations de données (40 %) et le phishing (39 %). Bien que ces menaces restent pertinentes, elles occultent des risques émergents tels que les rançongiciels (30 %) et les fraudes aux transferts (20 %), qui se sont multipliés ces dernières années.

Le secteur financier, en particulier, identifie les fraudes aux virements comme une menace majeure (30 %), ce qui reflète la réalité du terrain : ces entreprises sont souvent ciblées par des attaques de fraude sophistiquées qui utilisent des techniques d’ingénierie sociale pour détourner des fonds. Paradoxalement, les entreprises du secteur public et industriel continuent de sous-estimer ces risques, se concentrant davantage sur la protection contre les virus traditionnels.

Des inquiétudes face à l’émergence de l’intelligence artificielle

Les nouvelles technologies, telles que l’intelligence artificielle, suscitent une forte inquiétude parmi les décideurs IT. 61 % des répondants craignent que l’IA puisse compliquer leur capacité à protéger leur entreprise contre les cybermenaces, tandis que seulement 16 % ne partagent pas cette inquiétude. Ces craintes sont particulièrement marquées dans les petites entreprises (68 %) et dans le secteur public (69 %), qui manquent souvent de ressources pour mettre en œuvre des contre-mesures adaptées.

L’IA, bien qu’elle présente des opportunités significatives en matière de détection automatisée des menaces, peut également être exploitée par les attaquants pour automatiser les attaques à grande échelle ou générer des contenus trompeurs, tels que des deepfakes. Ce double tranchant impose aux entreprises de développer des capacités de détection avancées et de renforcer leur résilience face aux menaces générées par l’IA.

Une réorientation nécessaire vers la conformité et la résilience

L’étude montre que, bien que les entreprises françaises sont de plus en plus conscientes de l’importance de la cybersécurité, leurs priorités budgétaires et leur niveau de préparation ne sont pas en phase avec les nouvelles exigences réglementaires. Les investissements restent orientés vers la protection traditionnelle des infrastructures, alors que les régulations comme DORA et NIS 2 nécessitent une approche plus complète et proactive de gestion des risques.

Pour surmonter ce décalage, les entreprises doivent réorienter leurs stratégies vers la mise en conformité, en allouant plus de ressources aux tests de sécurité, à la gouvernance des données, et à la gestion des incidents. Cela leur permettra de se préparer non seulement aux menaces actuelles, mais aussi de répondre aux futures exigences légales tout en assurant la continuité de leurs opérations dans un environnement de plus en plus incertain.