Face à l’augmentation continue des attaques, la France reste sous-préparée. C’est ce que révèle la dernière édition du Cybersecurity Readiness Index publiée par Cisco. Basé sur une enquête menée auprès de 8 000 dirigeants dans 30 pays, dont 300 en France, le rapport met en lumière une réalité préoccupante : seules 2 % des organisations françaises atteignent aujourd’hui un niveau de préparation considéré comme mature. Ce chiffre est inférieur à la moyenne mondiale déjà faible de 4 %. Une stagnation qui interpelle, à l’heure où l’intelligence artificielle (IA) rebat les cartes du risque numérique.
A LIRE AUSSI
Les PME, cible n°1 des cybercriminels
Un retard français qui se creuse
Selon Cisco, près de 70 % des entreprises dans le monde se situent encore dans les deux niveaux les plus bas de préparation, sans réelle progression par rapport à l’an dernier. La situation est encore plus critique en France. Si les attaques se multiplient, la capacité à y faire face reste largement insuffisante. Les organisations peinent à dépasser les étapes de déploiement partiel et à mettre en œuvre des stratégies globales, laissant les cybercriminels profiter d’un terrain favorable.
L’IA occupe désormais une place centrale dans les stratégies numériques des entreprises. Mais sa montée en puissance s’accompagne d’une explosion des risques mal maîtrisés. En France, 80 % des entreprises interrogées déclarent avoir subi au moins une attaque liée à l’IA au cours des douze derniers mois. Pourtant, seuls 4 dirigeants sur 10 estiment que leurs salariés comprennent vraiment les menaces associées à ces technologies.
Parmi les attaques les plus fréquentes figurent le vol de modèles d’IA ou l’accès non autorisé (43 %), l’ingénierie sociale optimisée par IA (42 %) et les tentatives d’empoisonnement des données (38 %). Paradoxalement, les entreprises françaises utilisent elles-mêmes l’IA pour détecter et contrer les menaces : 86 % l’exploitent à des fins de détection, et 63 % pour la réponse aux incidents.
Mais l’adoption de l’IA reste hors de contrôle dans de nombreuses organisations. En France, 17 % des salariés utiliseraient des outils d’IA publique non validés par leur service informatique, exposant potentiellement des données sensibles à des fuites ou à des détournements. Un phénomène de « Shadow AI » qui échappe encore à la surveillance de 60 % des entreprises françaises.
A LIRE AUSSI
Cybersécurité : qu’est-ce qu’une attaque par Silver Ticket ?
Cinq piliers pour une défense encore trop fragile
Cisco évalue la préparation des entreprises selon cinq axes stratégiques. En France, aucun n’atteint aujourd’hui un niveau de maturité rassurant.
1. Gestion des identités : un talon d’Achille persistant
Malgré une légère progression, seuls 6 % des entreprises sont jugées matures sur ce pilier. Les attaques ciblant les identités restent les plus répandues. L’adoption des solutions avancées comme l’authentification sans mot de passe ou l’analyse comportementale reste lente.
2. Fiabilité des appareils : une progression limitée
Avec l’explosion du télétravail et de l’IoT, la surface d’attaque des entreprises s’est étendue. Si la maturité progresse timidement, la majorité des entreprises reste vulnérable, faute de déploiements complets des solutions de sécurité des appareils.
3. Résilience des réseaux : un recul préoccupant
Le trafic lié à l’IA et au travail hybride complique la sécurisation des réseaux. Les entreprises françaises peinent à moderniser leurs infrastructures, et la maturité régresse, notamment face aux vulnérabilités anciennes non corrigées.
4. Sécurité du cloud : une stagnation inquiétante
Malgré l’adoption croissante du cloud, la majorité des entreprises n’a pas encore mis en place des défenses solides et cohérentes. Les obstacles techniques, financiers et d’intégration freinent les progrès.
5. Fortification de l’IA : un potentiel sous-exploité
Seules 7 % des entreprises françaises sont matures sur ce pilier. Les dirigeants restent prudents face à l’automatisation complète de la cybersécurité, limitant l’impact des technologies pourtant prometteuses.
A LIRE AUSSI
Mots de passe : la menace cyber majeure en 2025
Trois angles morts stratégiques pour les entreprises françaises
Au-delà des piliers techniques, le rapport pointe trois fragilités structurelles majeures en France :
- Un déficit de talents : 53 % des dirigeants signalent plus de dix postes vacants dans la cybersécurité, accentuant la difficulté à déployer les solutions existantes.
- Une surabondance d’outils inefficace : plus de 7 entreprises sur 10 estiment que la multiplication des solutions nuit à leur réactivité et à la cohérence de leur défense.
- Des budgets déconnectés des enjeux : alors que 97 % des organisations prévoient d’investir dans l’infrastructure IT, seules 39 % allouent plus de 10 % de leur budget informatique à la cybersécurité, en baisse par rapport à l’an dernier.
Grandes entreprises, PME : une fracture qui se creuse
Le niveau de préparation varie fortement selon la taille des organisations. Si les grandes entreprises montrent de meilleures capacités de défense, les PME restent les plus vulnérables, faute de ressources et de gouvernance solide, notamment face aux usages non maîtrisés de l’IA par leurs salariés.
Le secteur technologique apparaît mieux préparé, notamment sur l’usage sécurisé de l’IA. À l’inverse, la santé reste en retard en matière de sensibilisation et de protection face aux menaces émergentes.
