Cyber : le sentiment de maîtrise ne fait pas baisser l’exposition

Le signal le plus utile aujourd’hui tient dans une tension aussi simple à formuler que difficile à traiter. Le sentiment de maîtrise s’installe tandis que l’exposition demeure élevée. Cette dissociation n’est pas un détail. Elle conditionne la vitesse de décision, le niveau d’exigence et la capacité des organisations à absorber un choc. Elle s’alimente aussi d’un attentisme réglementaire perceptible, dans le public comme dans le privé. Certaines organisations attendent en effet la clarification et la mise en application complète des cadres réglementaires européens avant d’engager des investissements plus structurants, faute de visibilité sur les exigences précises qui leur seront imposées.

Un risque fréquent, mais encore mal intégré

D’une année sur l’autre, les chiffres restent stables et, pour cette raison même, ils doivent être pris au sérieux. Une organisation sur trois déclare avoir subi une cyberattaque au cours des douze derniers mois. Dans le même temps, seules 41 % des entreprises se considèrent comme une cible potentielle. Le constat est clair : le risque est bien réel, mais il n’est pas toujours perçu comme tel.

Cette perception varie fortement selon les contextes. Les acteurs publics se sentent plus exposés que les entreprises privées, avec 50 % contre 37 %. Les écarts de taille sont marqués : 45 % des ETI se déclarent vulnérables, contre 29 % des PME et seulement 15 % des TPE. L’écart est encore plus net en interne. Les fonctions IT identifient davantage le risque que les dirigeants, avec 54 % contre 30 %. Ce décalage influence mécaniquement les priorités, les arbitrages et le niveau de préparation.

Une menace banalisée à mesure qu’elle se renforce

Les formes d’attaque les plus courantes restent les mêmes, avec un net renforcement du phishing, qui touche désormais 38 % des organisations. Le rançongiciel demeure élevé à 28 %, tandis que le vol ou la perte de données atteint 17 %.

Ces attaques ont comme point commun d’exploiter des routines notamment les gestes automatiques, les erreurs humaines, la confiance excessive dans la robustesse des dispositifs. Les effets rapportés rappellent que l’enjeu dépasse largement l’IT. Le blocage du système d’information arrive en tête, suivi du vol ou de la perte de données, puis de l’arrêt de production. Le cyber-risque est désormais un risque direct de continuité d’activité.

Plus une menace devient fréquente, plus elle tend à se banaliser. Cette banalisation nourrit une sous-évaluation progressive. Une part importante des répondants qualifie le risque de faible ou modéré, alors même que l’exposition ne diminue pas. Quand les incidents se multiplient, on apprend à faire avec, jusqu’à confondre gestion courante et véritable maîtrise.

L’hygiène progresse, la résilience reste fragile

Les mesures techniques de base se diffusent largement : gestion renforcée des mots de passe, mises à jour régulières, sauvegardes externalisées. Elles sont indispensables. Elles réduisent les vulnérabilités les plus courantes et facilitent la reprise après incident.

Le problème apparaît lorsque cette hygiène devient une preuve de protection en soi. Une organisation peut cocher les fondamentaux et rester fragile sur ce qui fait la différence le jour où l’attaque passe : la priorisation des actifs critiques, l’organisation de la réponse à incident, la capacité à décider sous contrainte et l’alignement entre métiers et IT. Autant d’éléments qui ne se résument pas à des réglages techniques.

À partir des recommandations de l’ANSSI, une grille de maturité en quatre niveaux a été construite pour situer les organisations de manière opérationnelle. Dans ce cadre, le troisième Baromètre de la Cybersécurité montre que 74 % des entreprises se situent au niveau qualifié de critique, contre 26 % au niveau essentiel. Ce résultat ne signifie pas que rien n’est fait. Il indique que le socle reste trop hétérogène pour garantir une résilience robuste face à des attaques devenues industrielles. Concrètement, en cas de crise, une majorité d’organisations ne dispose pas encore des mécanismes et des réflexes nécessaires pour contenir l’incident et reprendre l’activité dans des délais acceptables.

Conformité et souveraineté : des repères qui s’installent

La maturité réglementaire progresse. 31 % des répondants déclarent connaître le guide de l’autorité nationale et appliquer ses recommandations, avec une évolution marquée chez les acteurs publics. Les TPE, en revanche, restent en retrait, rappelant que la conformité dépend aussi de la capacité à s’organiser.

La souveraineté s’impose également comme un enjeu opérationnel. 68 % des répondants estiment l’usage de systèmes souverains important ou très important, en particulier dans le secteur public. Il s’agit de maîtriser des dépendances, des conditions d’hébergement et des chaînes de responsabilité devenues critiques.

Les entreprises progressent sur les fondamentaux et augmentent leurs budgets, mais l’exposition reste élevée et la fréquence des attaques ne baisse pas. Le principal risque devient alors celui d’une confiance trop rapide, qui masque des fragilités de gouvernance et une préparation insuffisamment éprouvée.

Réduire l’écart entre maîtrise déclarée et exposition réelle repose sur des décisions simples et vérifiables : clarifier les responsabilités, stabiliser des ressources internes ou externes, faire vivre les dispositifs par des contrôles et des exercices. En cybersécurité, la performance ne se mesure pas à l’empilement d’outils, mais à la capacité à continuer à opérer quand l’incident survient.