Les entreprises françaises doivent muscler leur cybersécurité face aux défis : accélération de l’IA, pression réglementaire, attaques sophistiquées, dépendance aux tiers, fortes disparités sectorielles…
Top 6 du Cyber Benchmark Wavestone 2025

Le 6ème Cyber Benchmark de Wavestone, basé sur l’analyse de plus de 170 organisations tire des enseignements sur la maturité des entreprises.
Ecarts sectoriels marqués
En 2025, la maturité cybersécurité moyenne progresse légèrement (+1 point) et atteint 54 %.
Le secteur financier atteint 62 % de maturité (DORA et investissements renforcés). Les secteurs moins régulés (certaines industries ou services publics) sont à la traîne, avec une moyenne de 6 points de retard par rapport aux secteurs régulés.
Budgets & Experts cybersécurité
6,4 % des budgets IT des entreprises sont alloués à la cybersécurité (légère baisse par rapport à 2024 : 6,6 %).
Côté effectifs, on observe 1 expert cybersécurité en moyenne pour 1 000 salariés ( en 2024 : 1 pour 1070), mais la guerre des talents s’intensifie.
Compromissions & Alertes
Sur les 29 vecteurs d’attaque de type ransomware, les grandes entreprises atteignent un niveau de protection moyen de 56 %.
Mais les filiales et les PME affiliées, sont moins matures (36 %).
Progrès & Fragilités des piliers cybersécurité
Parmi les 18 piliers de cybersécurité suivis par Wavestone, 4 piliers progressent : la réaction aux incidents (meilleure coordination et gestion de crise), la détection (portée par les SOC augmentés à l’IA), la sécurité du cloud (gouvernance renforcée), la protection des données (usages IA et les exigences réglementaires).
Plusieurs piliers demeurent fragiles :
- Gestion des tiers : peu d’entreprises évaluent efficacement les prestataires et fournisseurs
- Sécurité applicative : l’approche DevSecOps reste minoritaire, les tests de sécurité sont lacunaires
- Résilience : rares sont les organisations réellement prêtes à maintenir leur activité en cas d’attaque majeure
Intelligence artificielle
Sur les 20 premières évaluations IA :
- 64 % disposent d’une politique de sécurité dédiée
- 67 % appliquent un processus de validation des cas d’usage (go/no-go)
- 60 % ont une équipe conformité IA
- 40 % ont adapté leur évaluation des fournisseurs à l’IA
Mais les failles sont nombreuses : seulement 7 % ont mis en place des mécanismes de défense contre des attaques comme la prompte injection.
Conformité partielle de NIS 2
La maturité moyenne des entreprises vis-à-vis de NIS 2 est de 80%.
Aucune n’est encore pleinement conforme, les principaux freins étant l’exigence d’un niveau homogène de sécurité, une cartographie des actifs trop parcellaire, une gestion des accès privilégiés incomplète, et la maîtrise des risques tiers trop souvent sous-estimée.
Source : Wavestone – Niveaux de maturité par rapport aux référentiels internationaux (NIST CSF & ISO 27001/2) lors de missions d’évaluation réalisées par des consultants de Wavestone. L’échantillon (1 mai 2025) regroupe plus de 170 organisations, ce qui représente près de 7 millions de collaborateurs.
Téléchargez cette ressource

Rapport Forrester sur les services de réponse aux incidents de cybersécurité
Dans ce rapport, basé sur 25 critères, Forrester Consulting passe au crible les 14 principaux fournisseurs de services de réponse aux incidents de cybersécurité du marché. Cette analyse complète permet aux professionnels de la sécurité et de la gestion des risques d’évaluer et de sélectionner les solutions les plus adaptées à leurs besoins.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- La performance de l’IA et l’analytique reposent sur des fondations de données solides
- AI Appreciation Day,16 juillet « cet email de 10 pages aurait pu se résumer en 3 points »
- L’informatique quantique perçue comme la menace de cybersécurité la plus critique
- Bâtir une entreprise AI-native : par où commencer
- La France à l’avant-garde de la conteneurisation et de l’IA générative
