À l’automne 2025, plusieurs crises cyber majeures – touchant l’industrie automobile, le transport aérien ou encore l’agroalimentaire – mettaient en lumière une fragilité persistante des organisations face aux cyberattaques d’ampleur. Ces événements montraient que, malgré des années d’investissements en cybersécurité, la capacité à encaisser le choc, à maintenir l’activité et à redémarrer rapidement restait largement insuffisante.
La publication du Baromètre de la cybersécurité des entreprises CESIN / OpinionWay 2026 vient aujourd’hui confirmer ce diagnostic. Les chiffres objectivent ce que les retours d’expérience laissaient déjà entrevoir : la cyber-résilience demeure le parent pauvre des stratégies cyber, alors même que la menace s’est installée durablement dans le fonctionnement normal de l’économie.
Une menace banalisée, des impacts toujours majeurs
En 2025, 40 % des entreprises interrogées déclarent avoir subi au moins une cyberattaque significative. Si ce chiffre marque une légère baisse par rapport aux années précédentes, les conséquences restent lourdes. Plus de 80 % des entreprises touchées indiquent un impact direct sur leur activité : perturbation ou arrêt de production, pertes financières, retards clients et/ou atteinte à l’image.
La cyberattaque n’est donc plus un événement exceptionnel, mais un risque récurrent. Pour autant, elle continue de générer des impacts, révélant un décalage durable entre le niveau de la menace et la capacité réelle des organisations à y faire face.
Un déséquilibre persistant entre protection et résilience
Le baromètre met en évidence un constat désormais bien établi. Les entreprises se déclarent globalement bien préparées en amont : détection, prévention et protection atteignent des niveaux de maturité élevés. En revanche, dès lors que l’on s’intéresse à la réponse et à la résilience face aux incidents majeurs, les indicateurs se dégradent fortement.
La capacité de réponse, la reconstruction post-incident et surtout la définition de palliatifs métiers restent insuffisamment développées. Seule une entreprise sur deux estime disposer de PCA métiers réellement définis (et opérationnels). Ce déséquilibre confirme que la cybersécurité a longtemps été pensée comme une affaire d’outils, là où la cyber-résilience relève avant tout de l’organisation, de la gouvernance et de la prise de décision en situation dégradée.
Un entrainement à la gestion de crise qui se diffuse
Deux tiers des entreprises déclarent désormais avoir mis en place un programme d’entraînement à la gestion de crise cyber, en progression par rapport à l’étude précédente, ce qui traduit une prise de conscience accrue de la nécessité de se préparer. Toutefois, l’analyse révèle une hétérogénéité des pratiques : si plus d’un tiers des entreprises réalisent des exercices de manière périodique, une part significative se limite encore à des simulations ponctuelles, tandis qu’un tiers n’a engagé aucune démarche.
Les tiers, désormais au cœur du risque
Autre enseignement majeur : le poids croissant des tiers. 30% des entreprises estiment que plus de la moitié de leurs incidents cyber proviennent de leur écosystème. Rançongiciel chez un fournisseur, fuite de données via un prestataire, indisponibilités en cascade : ces scénarios, observés à grande échelle en 2025, confirment que la cyber-résilience ne peut plus être pensée à l’échelle d’une organisation isolée. Elle doit désormais s’inscrire dans une approche élargie de la chaîne de valeur, intégrant les dépendances industrielles, logicielles et opérationnelles. A ce titre, la réalisation d’exercices de gestion de crise impliquant cette chaine de valeur doit être le débouché naturel de ce constat.
Cette évolution fait écho aux cadres réglementaires NIS2 et DORA, qui consacrent explicitement la chaîne d’approvisionnement comme un périmètre critique de maîtrise du risque cyber, en imposant aux organisations une responsabilité accrue sur la gestion, le pilotage et l’entraînement à la crise impliquant leurs tiers critiques.
La cyber-résilience comme axe stratégique des politiques de cybersécurité
Les enseignements du Baromètre CESIN 2026 confirment ainsi un constat déjà formulé à l’automne [Huit ans après l’émergence d’une cybercrimalité de masse, la cyber-résilience reste le parent pauvre de la cybersécurité] : la période 2025-2030 marque l’entrée dans un nouveau cycle, où la cyber-résilience sera au cœur des stratégies de cybersécurité. Les dirigeants attendent désormais une capacité démontrée à maintenir l’activité en situation de crise. La cyber-résilience doit donc désormais s’imposer comme un pilier de la sécurité des organisations. Et c’est une excellente nouvelle : la récente publication de la Stratégie Nationale de Cybersécurité vient précisément conforter cette approche, en consacrant, à travers son pilier 2, une vision élargie et collective de la cyber-résilience.
Vous souhaitez découvrir le baromètre complet ?
Article rédigé par :
Guillaume CHÉREAU – COO Alcyconie
Lire l'article
Stéphanie Ledoux, Alcyconie : une corsaire de la gestion de crise cyber - LeMagIT
10 février 2026Lire l'article
Mission à Bruxelles : porter la voix de la cybersécurité bretonne au cœur des institutions européennes
31 janvier 2026Lire l'article
