Cybersécurité : une maturité qui peine à progresser
Le « Panorama de la maturité en cybersécurité des entreprises françaises » Cybervadis/CESIN révèle des progrès mais insuffisants.
Aucune entreprise ne sera jamais parfaite en cybersécurité mais un minimum de maturité est tout de même requis pour garantir une certaine résilience IT et, ainsi, une certaine résilience business. CyberVadis réalise régulièrement des audits de maturité de la cybersécurité des organisations. A partir de ceux-ci, il a publié, en partenariat avec le CESIN, le « Panorama de la maturité en cybersécurité des entreprises françaises ». Si certains progrès peuvent être notés, les résultats constatés par le cabinet CyberVadis sont très loin d’être satisfaisants et à la hauteur des enjeux.
Point encourageant, la maturité est meilleure dans les entreprises soumises à la directive NIS2. Le score CyberVadis évolue positivement avec une soumission à NIS2 croissante : note moyen de 652 dans les organisations hors scope, 719 dans les entreprises importantes et 817 dans les entreprises essentielles. La taille compte également avec des scores moyens de 865 dans les grandes entreprises, 762 dans les ETI, 694 dans les PME et 647 dans les TPE. Assez logiquement, plus on se situe dans le haut des scores moins les progrès sont spectaculaires entre deux éditions du panorama. Entre 2023 et 2025, l’évolution des scores ainsi été de +25 dans les TPE, +9 dans les PME, +5 dans les ETI et +3 dans les grandes entreprises.
Il y a loin de la coupe aux lèvres en cybersécurité
Si la gouvernance interne (y compris le recensement du parc et la gestion des identités en lien avec la DRH) et la gestion des incidents sont plutôt des forces, c’est l’inverse dans la prise en compte de l’écosystème numérique (partenaires, fournisseurs), la sécurisation des accès distants via appareils mobiles et la configuration des systèmes d’information. La mise en œuvre des procédures, assez développée, souffre, de plus, d’un manque de validation par les hauts niveaux hiérarchiques.
De même, le point hautement sensible des sauvegardes subit un net décalage entre théorie et pratique. Ainsi, une politique de gestion des sauvegardes est formalisée dans 92 % des entreprises essentielles, 80 % des entreprises importantes et 85 % des hors-scopes. Mais des sauvegardes périodiques des données ne sont réalisées que dans 74 % des entreprises essentielles, 66 % des importantes et 55 % des hors-scopes. Et des tests de restauration ou de vérification d’intégrité des sauvegardes ne sont effectués périodiquement que dans moins encore d’entreprises : 69 % des entreprises essentielles, 55 % des importantes et 40 % des hors-scopes.
A propos de l’étude
Le « Panorama de la maturité en cybersécurité des entreprises françaises » a été réalisé par le cabinet CyberVadis en partenariat avec le CESIN, l’association professionnelle des CISO. Il s’appuie sur l’analyse de 1 049 évaluations réalisées en France depuis 2023 par CyberVadis. L’échantillon est représentatif du tissu des entreprises françaises avec plus de 15 % de grandes entreprises (GE), 250 Entreprises de Taille Intermédiaire (ETI) et plus de 700 Petites et Moyennes Entreprises (PME) et Très Petites Entreprises (TPE). Les entreprises évaluées sont 19 % à être considérées comme essentielles au sens de NIS2, 43 % importantes et 38 % hors scope.
Le référentiel d’évaluation CyberVadis est un cadre hybride et évolutif. Il intègre les principaux standards internationaux (NIST, CSF 2.0, ISO 27002 :2022), les exigences des réglementations clés (NIS2, DORA) et s’adapte en continu à l’évolution des menaces et des pratiques, comme celles liées à l’IA. La notation va de 300 (immature) à 1000 points (mature). Elle comporte cinq niveaux : Mature (score supérieur à 850), Developed (Avancé) (700-849), Moderate (Modéré) (550-699), Basic (Basique) (400-549), et Insufficient (Insuffisant) (score inférieur à 400). Elle est basée sur du déclaratif analysé et confronté à des preuves documentaires.