Réalisé par OpinionWay pour le compte du Cesin depuis 2015, le Baromètre de la cybersécurité permet, chaque année, de dresser un bilan du combat que mènent les entreprises membres de ce club contre les cyberattaques. Des entreprises composées à 17 % de PME, à 43 % d’ETI et à 40 % de grandes entreprises.
Premier enseignement de cette enquête : 40 % des sondés ont subi au moins une cyberattaque réussie en 2025, c’est-à-dire une attaque qui n’a pas pu être arrêtée par les dispositifs de protection ou de prévention. Un chiffre en repli de 7 points sur un an. Pour rappel, ce taux était de 54 % en 2021, 45 % en 2022, 49 % en 2023 et 47 % en 2024. Exception faite de 2023, la tendance s’inscrit donc à la baisse depuis maintenant 5 ans.
Mais attention si le nombre d’attaques a reculé (pour 9 % des entreprises) ou s’est stabilisé (pour 74 %), pour 17 % de l’ensemble des entreprises interrogées il a, au contraire, augmenté.
Toujours le phishing
Lorsqu’on les interroge sur le type d’attaques qu’elles ont subi, le phishing est cité par 55 % des entreprises victimes. Pour rappel, le phishing (hameçonnage en français) est une technique qui permet à des pirates de se faire passer pour une banque, un fournisseur ou encore une institution publique auprès d’une entreprise ou d’un particulier afin d’obtenir des informations sensibles (coordonnées bancaires, mots de passe…) ou d’introduire un logiciel malveillant dans un système informatique. Basée sur l’usurpation de l’identité d’un tiers de confiance, cette technique d’attaque est difficile à contrer, ce qui explique son succès.
Les autres vecteurs d’attaques les plus souvent évoqués par les entreprises sont les vulnérabilités logicielles ou les défauts de configuration (41 %, -6 points) utilisés par les pirates, les attaques en déni de service (35 %, -6 points) et la fameuse arnaque au président (26 %, -10 points) qui, comme son nom l’indique, consiste à se faire passer pour un dirigeant de la société afin de « forcer » un salarié de l’entreprise à mettre en œuvre un paiement qui sera détourné.
L’erreur humaine
Sur les causes des incidents constatés, le bilan dressé par les entreprises dessine le rôle important joué par le comportement des collaborateurs. Les fuites de données dues à une erreur humaine (27 %), nouvel item de l’étude, se classe directement en 4e place. On note également que 12 % des incidents constatés ont pour origine une « divulgation volontaire de données ou un sabotage par une personne ayant un accès légitime ». Autre point soulevé : la compromission d’outils non connus ou non approuvés par les DSI est la cause de 12 % des incidents. Signe que le Shadow IT (l’utilisation par un salarié d’une application ou d’un matériel informatique souvent plus convivial ou performant que les solutions fournies) continue de sévir dans les entreprises.
La responsabilité des tiers
Si le rôle des collaborateurs dans les incidents est souligné par l’enquête, celui des tiers est également largement mis en avant. 30 % estiment ainsi qu’ils seraient responsables de plus de la moitié des attaques dont ils ont été victimes. Les défauts de sécurité des tiers (clients, fournisseurs…) sont cités par 34 % des personnes interrogées devant la vulnérabilité des produits et composants utilisés (32 %). 30 % des entreprises affirment, également, avoir été affectées par l’indisponibilité d’un de leurs partenaires victime d’un ransomware.
Un impact sur le business plus de 8 fois sur 10
Si dans 19 % des cas, une cyberattaque réussie n’a pas entraîné de perturbation, les autres fois, elle a eu un impact notable sur le business de l’entreprise victime. L’arrêt temporaire de la production, fréquent lors des attaques par rançongiciel (logiciel qui crypte les données informatiques, lesquelles ne pourront être déchiffrées qu’après le paiement d’une rançon), est cité par 28 % des répondants. Suivent l’impact médiatique (26 %), la compromission de données de l’entreprise (18 %), les pertes de chiffre d’affaires (18 %) ou encore l’indisponibilité du site web (17 %).
Des dispositifs de protection plus performants
88 % des entreprises interrogées estiment que les solutions et services de sécurité proposés sur le marché sont adaptés à leurs besoins.
Dans le détail, les EDR (Endpoint Detection & Response) (95 %) font partie des solutions jugées comme étant les plus efficaces avec les pare-feux (98 %), les dispositifs d’authentification multi-facteurs (94 %) et les passerelles de sécurité mail (93 %).
On note également que plus des deux tiers des entreprises interrogées (67 %) déclarent avoir déjà mis en place un programme d’entraînement pour faire face à une cyber-crise. Pour rappel, le taux n’était que de 62 % en 2024, 57 % en 2023 et de 51 % en 2022, signe que l’exercice prend désormais toute sa place dans les plans de reprise d’activité (PRA) établis par ces entreprises.
Enfin, le budget consacré à la cybersécurité a légèrement diminué en 2025. 42 % (-6 points) des entreprises y affectent plus de 5 % de l’ensemble du budget IT et 41 % moins de 4 %. Les 17 % restant affirment ne pas avoir encore pris de décision à ce sujet.
L’enquête révèle également que 71 % des entreprises interrogées ont souscrit une cyber-assurance (contre 72 % en 2024) et que 67 % d’entre elles envisagent de la renouveler, contre 16 % qui n’envisagent pas cette solution.
©
Les Echos Publishing
2026