Le Baromètre annuel sur la cybersécurité en entreprise offre une photographie précise du risque cyber en 2025 et son évolution par rapport à 2024. Réalisée par OpinionWay pour le CESIN auprès d’environ 400 membres du CESIN, cette enquête indépendante analyse les grandes tendances du risque cyber, ses impacts et les réponses organisationnelles. L’échantillon se compose de 40% de grandes entreprises, 43% d’ETI et 17% de TPE/PME, avec une diversité sectorielle couvrant les services (40%), l’industrie/BTP (26%), mais aussi les services publics, le commerce et le transport.
Le baromètre ne comptabilise que les cyberattaques dites « significatives », c’est-à-dire celles ayant entraîné un impact réel sur l’activité, les données, la conformité réglementaire ou l’image de l’entreprise. Les tentatives bloquées ou sans impact notable ne sont pas intégrées. Sans cette distinction méthodologique essentielle, 100% des organisations sont aujourd’hui considérées comme attaquées.
Un volume d’attaques en baisse, mais des impacts plus marqués
En 2025, 40% des entreprises déclarent avoir subi au moins une attaque significative au cours des 12 derniers mois, alors qu’elles étaient 47% en 2024. Parmi elles, 30% ont subi entre une et trois attaques significatives, et 1% en ont subi quinze ou plus. Les grandes entreprises sont les plus attaquées (50%, contre 34% pour les ETI). Cette diminution progressive traduit moins un affaiblissement de la menace qu’un renforcement des capacités de détection et de réaction. Les attaques non significatives, quant à elles, sont perçues comme stables par 74% des répondants.
Le nombre moyen de vecteurs d'attaque par entreprise victime est de 3,3, contre 4 l'année précédente. Les vecteurs les plus fréquents restent le hameçonnage sous toutes ses formes : le phishing (hameçonnage classique), le spear phishing (hameçonnage ciblé) et le smishing (hameçonnage par SMS) — cité dans 55% des cas, suivi de l'exploitation de failles (41%) et des attaques indirectes via un tiers (35%). Les arnaques au président et l'acquisition de noms de domaine reculent de 10 points par rapport à 2024.
Les attaques par déni de service distribué (DDoS), souvent hyper-volumétriques, concernent 21% des organisations victimes. Si leur objectif premier reste la perturbation de l’activité, elles s’inscrivent de plus en plus dans des stratégies hybrides, combinant diversion, pression économique et parfois actions coordonnées dans un contexte géopolitique tendu. Les attaques exploitant l'IA ou les deepfakes illustrent une évolution préoccupante de l'ingénierie sociale, rendue plus crédible et plus difficile à détecter. Ces tendances confirment que la menace ne repose plus sur un vecteur dominant unique, mais sur la combinaison de techniques éprouvées et d'innovations offensives exploitant simultanément les failles techniques, organisationnelles et humaines.
Malgré la baisse du volume global, les conséquences s’aggravent. Le vol de données demeure la principale conséquence (52%) et l’effacement ou l’altération de données est deux fois plus constaté qu’en 2024. Le déni de service (28%) et l’exposition de données (27%) complètent le podium. Cette recrudescence interroge sur leur possible dimension étatique et sur les enjeux de cyberdéfense qu’elles soulèvent. Leur gestion nécessite des dispositifs toujours plus sophistiqués et un recours croissant à un accompagnement spécialisé, ce qui constitue une évolution relativement récente. Par ailleurs, le regain de ce type d’attaque est notable, alors même qu’il n’implique pas nécessairement de gain financier direct pour les auteurs.
Au total, 81% des entreprises ayant subi une attaque significative déclarent un impact important sur leur activité, principalement sous forme de perturbations de la production (28%) et d’atteinte à l’image (26%).
Un risque systémique : tiers, géopolitique et souveraineté
Près d’un tiers des entreprises estiment que plus de la moitié des incidents de cybersécurité sont imputables à des tiers. Les incidents les plus fréquents concernent l’exploitation d’un défaut de sécurité chez un fournisseur (34%), suivis par des vulnérabilités critiques sur des produits et composants présents dans le SI de l’entreprise (32%). Pour y répondre, 85% renforcent les clauses de sécurité dans les contrats, 74% adressent des questionnaires de sécurité à leurs partenaires et 64% mettent en place des plans d’assurance sécurité. En parallèle, le cyber-rating, qui permet aux entreprises d'évaluer l’exposition de leurs tiers et de renforcer le monitoring, est utilisé par près de la moitié des entreprises (46%). La confiance dans ces outils s'améliore sensiblement, comme en témoigne la baisse du taux de répondants encore réservés à leur égard.
Le risque géopolitique s’intensifie : 40% jugent élevé le niveau de menace lié au cyberespionnage (contre 37% en 2024), et 53% estiment que la menace d’origine étatique est en hausse. La cybersécurité dépasse ainsi largement le cadre technique pour devenir un enjeu stratégique, économique et géopolitique.
Dans ce contexte d'exposition croissante, la question de la souveraineté numérique prend un relief nouveau : elle ne se résume pas à la nationalité des outils utilisés, mais se joue avant tout dans la capacité des entreprises à maîtriser leurs dépendances, à négocier leurs contrats et à auditer leurs fournisseurs. Près de 2 entreprises sur 3 (63%) se déclarent concernées par les enjeux de souveraineté et de cloud de confiance, une hausse de 11 points par rapport à 2024.
Des organisations mieux équipées et en voie de structuration, mais des fragilités persistantes
Les entreprises progressent nettement dans la maîtrise de leurs actifs numériques. 81% d'entre elles pensent disposer d'une vision complète de leurs actifs, tandis que 92% ont identifié — ou sont en cours d'identification de — leurs actifs critiques. Dans les environnements cloud, la part des organisations déclarant une mauvaise visibilité sur leur inventaire recule à 31% (-7 points), grâce à l'adoption croissante de solutions de cartographie et de pilotage des surfaces d'attaque (outils EASM et CAASM). Cette évolution marque une étape clé dans la capacité des entreprises à prioriser leur protection et à renforcer leur résilience.
Comme en 2024 le trio pare-feu, EDR (Endpoint Detection and Response) et MFA (authentification multifacteur) restent au cœur des dispositifs déployés. Après les pare-feux, utilisés dans 98% des cas, les EDR bénéficient également d’un très haut niveau de confiance (95% d'efficacité perçue) et l'authentification multifacteur s'impose comme un standard. Tests d’intrusion, threat intelligence (renseignements sur les cybermenaces) et dispositifs SOC (centre opérationnel de sécurité) et CERT (équipe d’intervention d’urgence informatique) / CSIRT (équipe de réponse aux incidents de sécurité informatique) sont majoritairement externalisés, traduisant une logique de mutualisation. Parallèlement, on constate une hausse des solutions opérées de manière hybride, traduisant la volonté de combiner compétences externes et expertises internes.
Par ailleurs, 31% des entreprises ont engagé une démarche Zero Trust (+7 points) et 26 % disposent d'un Vulnerability Operation Center (+9 points), témoignant d'une cybersécurité de plus en plus pilotée dans la durée. Les entreprises se déclarent mieux préparées en amont des attaques (84%) qu'en aval (70%), et l'entraînement à la gestion de crise est désormais ancré dans les pratiques (67%).
88% des entreprises considèrent que les solutions du marché sont adaptées à leurs besoins (+4 points, 92% chez les grandes entreprises). En revanche, 61% ne recourent pas aux offres de start-up, en raison d'un manque de maturité ou de pérennité perçu.
Malgré ces progrès, des fragilités persistantes subsistent. La gouvernance des identités et des accès à privilèges — notamment ceux des administrateurs et des sous-traitants — demeure l'un des principaux défis, tout comme la sécurisation d'environnements toujours plus hybrides et distribués.
Réglementation, IA, cloud et priorités 2026
Le risque cyber figure dans le TOP 3 des risques pour 64% des entreprises (92% dans le TOP5), et 16% le placent au premier rang. Il fait l’objet d’un suivi régulier en COMEX/CODIR dans 90% des cas. Si 67% des entreprises se déclarent confiantes dans leur capacité à faire face, 33% demeurent inquiètes.
Sur le plan budgétaire, la part des entreprises consacrant 5% ou plus de leur budget IT à la cybersécurité recule à 42% (contre 48% en 2024), signe d'une phase de consolidation plutôt que de désengagement.
En matière réglementaire, 85% des entreprises déclarent être impactées par au moins un texte de loi. La directive NIS 2 est la réglementation cyber qui impacte le plus les sociétés (59% des organisations répondantes), devant DORA (32%) - qui vise à assurer l’intégrité et la disponibilité du secteur financier – et le Cyber Resilience Act (30%).
Sept entreprises sur dix ont souscrit une cyberassurance (près de huit sur dix parmi les grandes entreprises), et la quasi-totalité d’entre elles prévoit de renouveler son contrat. 23% y ont déjà eu recours. 16% indiquent ne pas souscrire de cyberassurance, des chiffres similaires à la vague précédente. Dans la même logique de réponse formalisée, comme en 2024, plus de la moitié des entreprises victimes d’une cyberattaque ont porté plainte, mais seulement un tiers l’a fait systématiquement.
L’évolution des habitudes de travail génère de nouveaux risques. Le recours par les salariés à des IA non approuvées (« Shadow IA ») est désormais identifié comme le comportement numérique le plus risqué : 75% des répondants estiment que ce risque est élevé voire très élevé. Un chiffre qui dépasse désormais celui lié à l’usage massif de services cloud ou de logiciels non approuvés (« Shadow IT/OT »), dont l’évaluation comme risque élevé ou très élevé est passée de 72% en 2024 à 66% en 2025 (-6 points). Si l'exploitation directe de l'IA comme vecteur d'attaque reste marginale (3% des entreprises victimes), elle constitue un signal faible à surveiller, dans un contexte où l'IA renforce ses capacités offensives - automatisation des malwares, codes malveillants capables de réécrire leur propre logique pour échapper à la détection. L'IA est donc à la fois un levier d'innovation et un enjeu de cybersécurité à part entière.
Sur le cloud, 54% des entreprises y voient une opportunité en matière de cybersécurité : une amélioration notamment grâce à la mutualisation de capacités de défense avancées, difficiles à maintenir seules, ainsi qu’un renforcement de la résilience via des infrastructures redondantes et une gestion centralisée des risques. Cependant, les freins à l'intégration restent principalement d'ordre juridique et contractuel : clauses difficiles à renégocier, législations extraterritoriales et maîtrise limitée de la chaîne de sous-traitance.
Pour 2026, 34% prévoient une augmentation du budget cyber, 26% une hausse des effectifs opérationnels et 27% des effectifs GRC (gouvernance, risque, conformité). Une dynamique positive alors que deux tiers des entreprises estiment ne pas disposer des ressources humaines et financières suffisantes. En matière de formation et de sensibilisation, la moitié des entreprises considèrent qu’un « plafond de verre » a été atteint dans le développement des compétences, et 47% en sont pleinement convaincues.
L'édition 2025 du baromètre CESIN dessine le portrait d'une cybersécurité qui gagne en maturité, sans pour autant avoir soldé ses vulnérabilités. Les entreprises détectent mieux, se structurent davantage et intègrent le risque cyber au plus haut niveau de gouvernance — mais elles font face à une menace qui se diversifie, se professionnalise et se teinte d'enjeux géopolitiques.
Consulter la 11e édition du baromètre annuel du CESIN - OpinionWay
L'application mobile
Ne perdez pas le fil !
Les observatoires délivrent des publications synthétiques permettant de suivre et de décrypter les grandes mutations en cours avec une vision globale et transversale. Citoyens, étudiants, dirigeants, collaborateurs, territoires : l'objectif est de permettre à chacun de prendre position et de réagir à son échelle en partageant un socle commun d'informations.
