Rendez-vous cyber : sommes-nous vraiment prêts face aux cyberattaques ?

Salon . Date de publication 23.02.2026 min . 👁 7 min

Le 11 février dernier, dirigeants, experts et acteurs de terrain se sont réunis au Musée de La Poste pour débattre sur une question centrale : les organisations françaises, privées comme publiques, sont-elles suffisamment armées pour résister à des attaques toujours plus nombreuses et sophistiquées ? À l’initiative de Docaposte et Cyblex Consulting, cet événement a été l’occasion de dévoiler en avant-première les résultats de la 3e édition de leur Baromètre de la cybersécurité, réalisée auprès de plus de 500 décideurs. Trois enseignements de l’enquête ont guidé les échanges des deux tables rondes de la matinée : une prise de conscience croissante, des défis de gouvernance sous-estimés et une résilience numérique à renforcer.

En introduction de la matinale, Christophe Vendran, Directeur général de Cyblex Consulting, pose le cadre : « Persiste un décalage préoccupant entre le sentiment de maîtrise du risque et la réalité des cyberattaques subies. » En effet, selon le baromètre qui mesure chaque année l’évolution de la maturité cyber des organisations françaises, 74 % des organisations se trouvent encore au niveau de maturité cyber le plus faible, qualifié de “critique” par l’ANSSI, avec un retard particulièrement prononcé pour les TPE. Et pourtant, d’après cette même enquête, 1 entreprise sur 3 a été touchée par une cyberattaque en 2025.

L’intégralité du Baromètre

Pour prolonger cet état des lieux, Docaposte et Cyblex Consulting ont organisé deux tables rondes réunissant experts de la cybersécurité, représentants d’institutions publiques et acteurs économiques. La première s’est intéressée à la manière dont les organisations publiques arbitrent entre exigences de protection numérique et contraintes budgétaires, dans un cadre réglementaire de plus en plus strict. La seconde a exploré les freins et leviers permettant aux entreprises de passer d’une simple prise de conscience du risque cyber à une véritable stratégie opérationnelle de sécurisation de leurs systèmes. 

Un bouclier cyber à l’épreuve du réel

Les attaques sont plus nombreuses, plus ciblées, plus complexes mais aussi mieux identifiées. Les budgets augmentent (+55 %), la souveraineté numérique gagne du terrain dans les priorités stratégiques et les organisations ont, pour beaucoup, consolidé leurs dispositifs de défense cyber. Mais le premier constat partagé lors des tables rondes est sans appel : derrière ces signaux positifs, les échanges ont rapidement mis en lumière des fragilités persistantes dans un environnement numérique toujours plus exposé aux attaques. 

Pour Maxence Demerlé, Directrice du numérique au MEDEF, « à mesure que la menace grandissait, la prise de conscience aussi, avec ce parallèle entre gestes barrières physiques et numériques. Mais ce miroir nous a surtout montré une chose : nous avions pris du retard. » Dominique Restino, Président de la CCI Paris Ile-de-France, est du même avis. « La prise de conscience progresse mais elle ne se transforme pas toujours de façon effective en applications réelles couvrant l’ensemble des risques. La cybersécurité est avant tout culturelle », soutient-il. 

Un point de vue partagé par Patrice Garcia, consultant expert management SI et cyber en santé, qui se rappelle ses années de DSI du Centre hospitalier Sud Francilien. « Les coupures de courant étaient fréquentes, ce qui fait que le personnel ne se rendait même pas compte quand c’était une cyberattaque. Il ne se posait pas la question et n’avait pas conscience des impacts. Il ne s’inquiétait pas », raconte-t-il. Il en est convaincu : « Pour intégrer la cybersécurité dans les comportements quotidiens, il faut transformer la culture d’entreprise en gestion de risque. » 

La perception du risque reste en effet atténuée, les impacts concrets d’une cyberattaque difficiles à anticiper et les solutions de sécurité encore jugées trop complexes à mettre en œuvre. Les ressources humaines dédiées, elles, se raréfient. 25 % en moins des entreprises ont nommé un RSSI en 2025, comparé à 2024.

Tous concernés, tous acteurs

Les écarts de maturité demeurent particulièrement marqués pour les TPE, PME, ETI et collectivités, souvent limitées en moyens financiers et en expertises. 

Pour Sinaa Thabet, conseillère Développement économique, Recherche, Innovation et Numérique de l’Association des Régions de France, c’est certain : « il faut prendre en compte leurs contraintes et notamment leur réalité budgétaire. Si le recrutement d’un RSSI ou un changement de parc informatique est trop coûteux pour une petite structure, la montée en compétences peut s’envisager dans un premier temps. D’autant que la formation est clé. » 

Emmanuel Vivé, Président du réseau national Déclic, appuie le cas des collectivités : « il faut sortir des silos pour partager les bonnes pratiques des uns des autres avec toutes les collectivités car la cybersécurité est le combat de tous, de la plus petite à la plus grande. » 

Même si le temps de l’action publique peut être long reconnait Elise Brigand, Directrice des usages numériques du Syndicat Mixte Eure Normandie Numérique. « On est patient et on avance commune par commune. À long terme, cette démarche fera la différence. » Le chemin est toutefois bien engagé d’après le baromètre qui montre un secteur public inquiet mais davantage mature en matière de cybersécurité.

Hubert Loiseau, DSI et RSSI du Campus Cyber, en a profité pour rappeler que des solutions gratuites ou peu coûteuses peuvent être employées. « Les moyens limités amènent à l’essoufflement. Seules restent la créativité et la curiosité en testant ce qui se fait déjà, comme le permet par exemple l’open source mis à disposition bénévolement. C’est d’ailleurs conseillé : repeindre les murs de sa maison que d’investir dans des solutions américaines pour meubler. Maîtrisez d’abord vos accès avant de confier vos clés. »

Plus qu’une question de technologie, un choix de gouvernance

« Si le dirigeant n’y est pas sensibilisé, il n’y mettra ni argent ni temps ni équipe. » C’est sans doute le message le plus transversal des deux tables rondes de cette matinée : la cybersécurité reste trop souvent abordée comme un sujet purement technique, alors qu’elle devrait être traitée comme un enjeu de gouvernance à part entière. 

« Les solutions cyber doivent partir du réel, celui des dirigeants qui n’ont ni DSI ni équipes dédiées, mais des responsabilités bien concrètes. Car même en cas d’externalisation, la responsabilité finale d’une cyberattaque reste toujours celle du dirigeant. Encore plus dans les TPE et PME, où les dirigeants cumulent plusieurs casquettes », défend Franck Bataille, Directeur Numérique et Innovation de la CPME nationale.

« Il faut d’ailleurs les responsabiliser », insiste Vincent Thiébaut, Député du Bas-Rhin et Vice-Président de l’ANPP, « et n’attendons pas les nouvelles directives, nous avons la capacité de le faire dès à présent en commençant par une clarification des dispositifs réalisables. C’est pourquoi à l’ANPP, c’est aussi un sujet d’ingénierie du développement local. »

Anticiper plutôt que subir : l’enjeu de la résilience

Dernier enseignement fort des tables rondes : les organisations agissent encore trop souvent après un incident, plutôt que dans une logique de prévention. Le risque cyber doit être traité comme un risque majeur, au même titre que les catastrophes naturelles : inondations, incendies…

La préparation stratégique fait encore défaut. Car la cybersécurité n’est plus une affaire de spécialistes isolés : elle engage la gouvernance, la confiance accordée par les parties prenantes et, in fine, la capacité de résilience des organisations. Objectif partagé par l’ensemble des participants : passer d’une logique défensive à une cybersécurité pensée comme un pilier durable de confiance et de performance. Elle ne peut plus reposer uniquement sur des outils ou des prestataires, mais suppose :

  • une vision claire portée au plus haut niveau ;
  • une culture cyber partagée ;
  • des choix souverains assumés ;
  • et une approche durable, inscrite dans le temps long.

La conclusion est revenue à Olivier Vallet, Président directeur général de Docaposte, pour qui « la souveraineté numérique est essentielle, en particulier dans des secteurs sensibles comme le secteur public, la santé et la finance, et va de pair avec la cybersécurité. L’une sans l’autre ne fait que déplacer le risque sans jamais le traiter. »