Stratégie de cyber résilience : la France en avance sur la prise de conscience mais en retard sur les moyens

Un décalage qui pourrait coûter cher à l’heure où les menaces liées aux chaînes d’approvisionnement, à l’IA et au quantique se multiplient. Décryptage avec Ivan Rogissart, Directeur avant-ventes Europe du sud chez Zscaler.

La France voit mieux le risque externe, mais investit moins vite

Premier enseignement frappant : seules 38% des organisations françaises estiment que leur stratégie de cyber résilience reste trop centrée sur leur périmètre interne, contre 61% au niveau mondial. Autrement dit, près des deux tiers des acteurs français ont compris que le risque ne se limite plus à leurs propres systèmes, mais s’étend à l’ensemble de leur écosystème : fournisseurs, prestataires, sous-traitants, partenaires technologiques.

Mais cette lucidité ne se traduit pas pleinement dans les budgets. Les investissements en cyber résilience ont bien augmenté en France, mais seulement de 13%, quand le Royaume‑Uni progresse de 19% et la Suède de 18%. Ce différentiel est d’autant plus étonnant que la France se trouve en première ligne sur le plan réglementaire (NIS2, DORA, RGPD) et affiche des ambitions fortes en matière de souveraineté numérique. Il illustre un phénomène récurrent : une perception fine du risque, mais une mobilisation financière qui reste prudente, voire insuffisante au regard des menaces, « en effet, la différence entre les Européens et les Français est un peu surprenante tant sur le niveau de l’awareness que sur la mobilisation des moyens financiers associés, qui est inversée » souligne Ivan Rogissart.

Nécessité d’agir mais efficacité jugée limitée

L’étude montre une dynamique globale de renforcement des moyens : 90% des organisations dans le monde, et 85% en France, ont augmenté leurs investissements en cyber résilience au cours des douze derniers mois. Dans le même temps, 96% au global, et 91% en France, ont mis à jour leur stratégie pour tenir compte de facteurs externes : chocs géopolitiques, disruption de la supply chain, évolution des technologies.

Là encore, les chiffres deviennent plus préoccupants dès qu’on parle d’efficacité réelle. Seules 34% (seulement 19% en France) considèrent que les mesures mises en place sont réellement efficaces face à la volatilité de la chaîne d’approvisionnement. La confiance s’érode tout autant face aux menaces avancées : 52% au niveau mondial, et 41% en France, jugent que leurs systèmes de sécurité actuels ne sont pas capables de se défendre contre ces attaques sophistiquées.

En clair, la quasi‑totalité des entreprises investissent, mais une minorité seulement estime être réellement prête. Portant, « le risque est désormais partout et les entreprises doivent élargir le Zero Trust à l’ensemble de l’écosystème : supply chain, IoT, OT, workloads, serveurs… » déclare Ivan Rogissart.

Ivan Rogissart, Directeur avant-ventes Europe du sud chez Zscaler.

Architecture, IA, shadow AI : des angles morts persistants

Derrière cet écart entre discours et réalité, l’architecture technique joue un rôle majeur. Selon l’étude, 81% dans le monde (76% en France) s’appuient encore sur des approches traditionnelles : pare‑feu périmétriques, VPN, modèles de sécurité centrés sur le réseau interne. 64% (50% en France) reconnaissent que leur architecture IT limite directement leur capacité à répondre efficacement aux incidents, qu’il s’agisse de violations de données, d’interruptions de service ou de défaillances d’infrastructures.

Les technologies émergentes accentuent ce fossé. L’essor de l’IA générative et des IA agentiques fait exploser la surface d’attaque, mais les cadres de gouvernance ne suivent pas : 50% qui testent ou déploient ces outils (41% en France) n’ont pas de gouvernance robuste, « le sujet de l’irruption de l’AI et de l’impact de celle-ci par rapport à la sécurité notamment la sécurité des données et de la propriété intellectuelle n’est pas encore au bon niveau de sensibilisation et d’importance » précise Ivan Rogissart.

S’y ajoute un phénomène inquiétant de « shadow AI » : 69% (59% en France) manquent de visibilité sur l’usage d’outils d’IA non contrôlés, et 56% (49% en France) redoutent une exposition de données sensibles via des applications publiques. Si la France affiche une vigilance réelle, la maîtrise opérationnelle reste incomplète.

Le défi quantique et souveraineté : urgence d’anticiper

Autre surprise : la cryptographie post‑quantique (PQC) demeure largement absente des stratégies. 57% dans le monde (72% en France) n’ont pas encore intégré la PQC dans leurs plans de sécurité, alors que 60% en France comme au global, reconnaissent que des données volées aujourd’hui pourraient être déchiffrées d’ici trois à cinq ans. Le décalage entre conscience du risque et mise en œuvre de contre‑mesures est ici particulièrement marqué dans l’Hexagone, « il y a sans aucun doute un manque d’awareness sur les risques de vol de données chiffrées pouvant être déchiffrées demain » alerte Ivan Rogissart.

Dans le même temps, la dépendance vis‑à‑vis de technologies étrangères pousse les organisations à revoir leurs politiques de souveraineté numérique. 79% des responsables IT, dont 75% en France, évaluent activement leur dépendance, et environ 6 sur 10 ont mis à jour leur stratégie de cyber résilience pour se conformer à des exigences renforcées de souveraineté. L’an dernier, 60% au global, mais seulement 39% en France, ont ajusté leur stratégie en réponse à l’évolution des réglementations comme NIS2, DORA ou le RGPD, signe que la France reste en retrait sur la traduction opérationnelle des contraintes réglementaires.

Vers une cyber résilience “Resilient by Design”

Les enseignements de l’étude convergent vers un message clair : le temps des stratégies centrées uniquement sur le périmètre interne est révolu. Les propos d’Ivan Rogissart vont dans ce sens, « le Zero Trust doit irriguer l’ensemble de l’écosystème », chaîne d’approvisionnement, IoT, OT, workloads, serveurs pour absorber les « ondes de choc » externes avant qu’elles ne paralysent l’activité. L’objectif n’est plus seulement de bloquer les attaques, mais de concevoir des architectures capables de continuer à fonctionner malgré des défaillances inévitables chez les fournisseurs ou partenaires. Zscaler l’a bien compris et poursuit une stratégie en ce sens « en continuant d’étendre son modele Zero Trust de façon beaucoup plus large incluant des cas d’usage de plus en plus variés tels que via des fusions et acquisitions, l’IoT, le B2B, la sécurisation des réseaux et systèmes industriels, la réduction des coûts d’infrastructure (notamment les coûts d’infrastructure et les coûts réseaux et SDwan). On se positionne également comme la plateforme qui sécurise l’IA de la même façon qu’elle sécurise le trafic Internet et SaaS ».

Enfin, le tableau pour la France est contrasté dans l’étude. D’un côté, une prise de conscience plus précoce du risque externe, une attention soutenue aux enjeux de souveraineté et une volonté affichée d’adopter des modèles alignés sur les contraintes locales. De l’autre, des investissements qui progressent moins vite que chez certains voisins, une modernisation architecturale encore incomplète, une adoption tardive de la cryptographie post‑quantique et une gouvernance de l’IA à consolider.

Alors, comment se projeter côté cyber résilience ? La véritable cyber résilience française se jouera sans doute précisément dans cette capacité à combler le fossé entre lucidité stratégique et engagement concret de moyens.

Source : Décembre 2025 – Enquête Zscaler & Sapio Research – The Ripple Effect: A Hallmark of Resilient Cybersecurity – 1 750 décideurs IT dans 14 marchés (Australie, France, Allemagne, Inde, Italie, Japon, Pays-Bas, Singapour, Japon, Arabie saoudite, Espagne, Suède, Royaume-Uni & Irlande, États-Unis). Ces responsables IT travaillent dans des entreprises de plus de 500 employés, tous secteurs confondus.