Panorama de la maturité en cybersécurité des entreprises françaises (CyberVadis & CESIN)
Réalisé par CyberVadis & CESIN, ce document présente une analyse détaillée de la maturité cybersécurité des entreprises françaises, basée sur des évaluations standardisées menées par CyberVadis. Il met en lumière les écarts entre les entreprises soumises à la directive NIS 2 (Essentielles et Importantes) et celles hors périmètre, ainsi que les disparités selon la taille (GE, ETI, PME, TPE). L’étude révèle des forces (gouvernance, gestion des incidents) et des faiblesses critiques (sécurité des appareils mobiles, authentification forte, supervision des menaces).
L’échantillon inclut 15 % des Grandes Entreprises (GE) françaises, 250 ETI, et plus de 700 PME/TPE, avec 62 % des entreprises présumées concernées par NIS 2 (19 % Essentielles, 43 % Importantes). La méthodologie s’appuie sur des preuves documentaires (politiques, logs, configurations) et une échelle de score de 0 à 1 000, classant les entreprises en 5 niveaux : Mature (> 850), Avancé (700–849), Modéré (550–699), Basique (400–549), et Insuffisant (< 400).
Principaux constats :
- Les entreprises Essentielles (score moyen : 817) et les GE (score : 865) affichent une maturité supérieure, grâce à une régulation stricte et des ressources dédiées.
- Les TPE (score : 647) et les entreprises hors scope NIS 2 (score : 662) accusent un retard, notamment sur l’implémentation des mesures (ex. : authentification forte à 10 % pour les hors scope vs 73 % pour les Essentielles).
- Les progrès sont plus marqués chez les TPE/PME (+25 % et +19 % entre deux évaluations) que chez les GE (+3 %), signe d’un rattrapage des fondamentaux.
- Décalage flagrant entre la formalisation des politiques (ex. : 97 % des Essentielles ont une politique de sécurité) et leur application (ex. : seulement 21 % des Essentielles imposent une authentification forte sur les appareils mobiles).
- Les domaines critiques sous-performants : maîtrise de l’écosystème numérique (score : 638), sécurisation des accès distants (score : 682), et supervision des logs (peu exploitée hors NIS 2).
- Les points forts : gouvernance (score : 780), gestion des incidents (score : 744), et continuité d’activité (score : 725), portés par les exigences réglementaires.
Ce rapport souligne un paradoxe français : une gouvernance cybersécurité bien structurée en surface, mais des failles persistantes dans l’opérationnel, surtout pour les PME et les accès distants. La directive NIS 2 joue un rôle moteur, mais son impact reste inégal. Une question émergente : comment concilier exigences réglementaires et réalités terrain (budgets, compétences) pour les plus petites structures.