Les entreprises françaises doivent muscler leur cybersécurité face aux défis : accélération de l’IA, pression réglementaire, attaques sophistiquées, dépendance aux tiers, fortes disparités sectorielles…
Top 6 du Cyber Benchmark Wavestone 2025

Le 6ème Cyber Benchmark de Wavestone, basé sur l’analyse de plus de 170 organisations tire des enseignements sur la maturité des entreprises.
Ecarts sectoriels marqués
En 2025, la maturité cybersécurité moyenne progresse légèrement (+1 point) et atteint 54 %.
Le secteur financier atteint 62 % de maturité (DORA et investissements renforcés). Les secteurs moins régulés (certaines industries ou services publics) sont à la traîne, avec une moyenne de 6 points de retard par rapport aux secteurs régulés.
Budgets & Experts cybersécurité
6,4 % des budgets IT des entreprises sont alloués à la cybersécurité (légère baisse par rapport à 2024 : 6,6 %).
Côté effectifs, on observe 1 expert cybersécurité en moyenne pour 1 000 salariés ( en 2024 : 1 pour 1070), mais la guerre des talents s’intensifie.
Compromissions & Alertes
Sur les 29 vecteurs d’attaque de type ransomware, les grandes entreprises atteignent un niveau de protection moyen de 56 %.
Mais les filiales et les PME affiliées, sont moins matures (36 %).
Progrès & Fragilités des piliers cybersécurité
Parmi les 18 piliers de cybersécurité suivis par Wavestone, 4 piliers progressent : la réaction aux incidents (meilleure coordination et gestion de crise), la détection (portée par les SOC augmentés à l’IA), la sécurité du cloud (gouvernance renforcée), la protection des données (usages IA et les exigences réglementaires).
Plusieurs piliers demeurent fragiles :
- Gestion des tiers : peu d’entreprises évaluent efficacement les prestataires et fournisseurs
- Sécurité applicative : l’approche DevSecOps reste minoritaire, les tests de sécurité sont lacunaires
- Résilience : rares sont les organisations réellement prêtes à maintenir leur activité en cas d’attaque majeure
Intelligence artificielle
Sur les 20 premières évaluations IA :
- 64 % disposent d’une politique de sécurité dédiée
- 67 % appliquent un processus de validation des cas d’usage (go/no-go)
- 60 % ont une équipe conformité IA
- 40 % ont adapté leur évaluation des fournisseurs à l’IA
Mais les failles sont nombreuses : seulement 7 % ont mis en place des mécanismes de défense contre des attaques comme la prompte injection.
Conformité partielle de NIS 2
La maturité moyenne des entreprises vis-à-vis de NIS 2 est de 80%.
Aucune n’est encore pleinement conforme, les principaux freins étant l’exigence d’un niveau homogène de sécurité, une cartographie des actifs trop parcellaire, une gestion des accès privilégiés incomplète, et la maîtrise des risques tiers trop souvent sous-estimée.
Source : Wavestone – Niveaux de maturité par rapport aux référentiels internationaux (NIST CSF & ISO 27001/2) lors de missions d’évaluation réalisées par des consultants de Wavestone. L’échantillon (1 mai 2025) regroupe plus de 170 organisations, ce qui représente près de 7 millions de collaborateurs.
Téléchargez cette ressource

État des lieux de la réponse à incident de cybersécurité
Les experts de Palo Alto Networks, Unit 42 et Forrester Research livrent dans ce webinaire exclusif leurs éclairages et stratégies en matière de réponses aux incidents. Bénéficiez d'un panorama complet du paysage actuel de la réponse aux incidents et de sa relation avec la continuité de l'activité, des défis auxquels font face les entreprises et des tendances majeures qui modèlent ce domaine. Un état des lieux précieux pour les décideurs et professionnels IT.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Les risques liés à l’essor fulgurant de l’IA générative
- Pourquoi est-il temps de repenser la gestion des vulnérabilités ?
- Reporting RSE : un levier d’innovation !
- De la 5G à la 6G : la France se positionne pour dominer les réseaux du futur
- Datanexions, acteur clé de la transformation numérique data-centric
