CESIN : un baromètre qui mesure le risque cyber réel

Cette enquête offre une vision de terrain des grandes tendances de la cybersécurité en entreprise. Particularité : seules les cyberattaques « significatives » sont comptabilisées, c’est‑à‑dire celles ayant eu un impact concret sur l’activité, les données, la conformité ou l’image. Les tentatives bloquées ou sans conséquence majeure sont exclues.

Moins d’attaques réussies, mais des effets lourds

En 2025, 40% des entreprises déclarent au moins une cyberattaque significative, un chiffre en baisse continue depuis plusieurs années. Cette diminution reflète une amélioration des capacités de prévention, de détection et de réaction, plutôt qu’un recul de la menace. Mais, lorsque l’attaque aboutit, l’impact est majeur : 81% des organisations victimes rapportent des conséquences business, telles que perturbations de production, perte d’image ou compromission de données. Le vol de données demeure la première conséquence.

Menaces géopolitiques, souveraineté et risque tiers

La menace d’origine étatique progresse : plus d’une entreprise sur deux la juge en hausse, et 40% considèrent le cyberespionnage comme un risque élevé. La cybersécurité devient un enjeu stratégique et géopolitique, où la souveraineté numérique prend une importance croissante. Plus d’une entreprise sur deux se dit concernée par la souveraineté et le cloud de confiance, mais la souveraineté ne se limite pas à la nationalité des outils : elle se joue dans la maîtrise des dépendances, la négociation contractuelle, l’audit des fournisseurs et la capacité à reprendre la main en cas d’incident. Les principaux risques liés au cloud sont d’ailleurs juridiques et contractuels, notamment les clauses peu négociables, les lois extraterritoriales et le manque de visibilité sur la sous‑traitance.

Le risque tiers apparaît comme une vulnérabilité structurelle : selon un tiers des entreprises, plus de la moitié de ses incidents sont dus à des tiers. Les organisations réagissent en intégrant des clauses de sécurité dans 85% des contrats, en utilisant des questionnaires de sécurité (74%) et le cyber‑rating pour évaluer leurs partenaires.​

Vecteurs d’attaque et montée de l’IA

Les vecteurs d’attaque classiques restent dominants, mais se professionnalisent. Le phishing sous toutes ses forme est cité dans 55% des incidents significatifs, devant l’exploitation de failles (41%) et les attaques indirectes via des tiers (35%). Les attaques par DDoS touchent 21% des victimes et s’inscrivent de plus en plus dans des stratégies hybrides mêlant diversion, pression économique et arrière‑plan géopolitique. Les attaques s’appuyant sur des deepfakes restent minoritaires, mais illustrent l’évolution des fraudes d’ingénierie sociale rendues plus crédibles par l’IA.

L’IA devient un facteur de risque à part entière. Le recours par les salariés à des services d’IA non approuvés  (Shadow IA) est identifié comme le comportement le plus risqué, jugé à risque élevé ou très élevé par une large majorité des entreprises. L’exploitation directe de l’IA comme vecteur d’attaque reste encore marginale, mais apparaît déjà dans des incidents significatifs, avec la perspective de malwares plus automatisés, adaptatifs et difficiles à détecter.​

Défenses plus robustes, gouvernance et pression réglementaire

Les entreprises progressent dans la maîtrise de leurs actifs numériques : 81% estiment avoir une vision complète de leurs actifs, et 92% ont identifié ou sont en cours d’identification de leurs actifs critiques. Dans le cloud, la mauvaise visibilité sur l’inventaire recule, portée par l’adoption d’outils de cartographie et de pilotage des surfaces d’attaque (EASM, CAASM). Les solutions EDR sont plébiscitées, avec 95% d’efficacité perçue, tandis que l’authentification multi‑facteurs s’impose comme standard.

Les approches Zero Trust (31% d’adoption) et les Vulnerability Operation Centers (26%) progressent, signe d’une cybersécurité pilotée dans la durée et intégrée à la gouvernance. 85% des entreprises se déclarent désormais impactées par au moins une réglementation cyber, NIS2 arrivant en tête, devant DORA et le Cyber Resilience Act, ce qui ancre la conformité au cœur des stratégies de sécurité.

Enfin, 92% des organisations posent le risque cyber dans leur Top 5 des risques, et 64% dans le Top 3, preuve que la cybersécurité est installée au cœur des décisions stratégiques, dans une logique de consolidation et d’optimisation plutôt que d’urgence permanente.