Top 6 du Cyber Benchmark Wavestone 2025

Le 6ème Cyber Benchmark de Wavestone, basé sur l’analyse de plus de 170 organisations tire des enseignements sur la maturité des entreprises.

Ecarts sectoriels marqués

En 2025, la maturité cybersécurité moyenne progresse légèrement (+1 point) et atteint 54 %.

Le secteur financier atteint 62 % de maturité (DORA et investissements renforcés). Les secteurs moins régulés (certaines industries ou services publics) sont à la traîne, avec une moyenne de 6 points de retard par rapport aux secteurs régulés.

Budgets & Experts cybersécurité

6,4 % des budgets IT des entreprises sont alloués à la cybersécurité (légère baisse par rapport à 2024 : 6,6 %).
Côté effectifs, on observe 1 expert cybersécurité en moyenne pour 1 000 salariés ( en 2024 : 1 pour 1070), mais la guerre des talents s’intensifie.

Compromissions & Alertes

Sur les 29 vecteurs d’attaque de type ransomware, les grandes entreprises atteignent un niveau de protection moyen de 56 %.

Mais les filiales et les PME affiliées, sont moins matures (36 %).

Progrès & Fragilités des piliers cybersécurité

Parmi les 18 piliers de cybersécurité suivis par Wavestone, 4 piliers progressent : la réaction aux incidents (meilleure coordination et gestion de crise), la détection (portée par les SOC augmentés à l’IA), la sécurité du cloud (gouvernance renforcée), la protection des données (usages IA et les exigences réglementaires).

Plusieurs piliers demeurent fragiles :

• Gestion des tiers : peu d’entreprises évaluent efficacement les prestataires et fournisseurs
• Sécurité applicative : l’approche DevSecOps reste minoritaire, les tests de sécurité sont lacunaires
• Résilience : rares sont les organisations réellement prêtes à maintenir leur activité en cas d’attaque majeure

Intelligence artificielle

Sur les 20 premières évaluations IA :

• 64 % disposent d’une politique de sécurité dédiée
• 67 % appliquent un processus de validation des cas d’usage (go/no-go)
• 60 % ont une équipe conformité IA
• 40 % ont adapté leur évaluation des fournisseurs à l’IA

Mais les failles sont nombreuses : seulement 7 % ont mis en place des mécanismes de défense contre des attaques comme la prompte injection.

Conformité partielle de NIS 2

La maturité moyenne des entreprises vis-à-vis de NIS 2 est de 80%.

Aucune n’est encore pleinement conforme, les principaux freins étant l’exigence d’un niveau homogène de sécurité, une cartographie des actifs trop parcellaire, une gestion des accès privilégiés incomplète, et la maîtrise des risques tiers trop souvent sous-estimée.

Source : Wavestone – Niveaux de maturité par rapport aux référentiels internationaux (NIST CSF & ISO 27001/2) lors de missions d’évaluation réalisées par des consultants de Wavestone. L’échantillon (1 mai 2025) regroupe plus de 170 organisations, ce qui représente près de 7 millions de collaborateurs.