Une étude auprès de 3 200 décideurs informatiques et de sécurité, commanditée par Cohesity et réalisée, dans onze pays, par Vanson Bourne en septembre 2025, analyse la maturité des organisations en matière de cyber résilience, c’est-à-dire leur capacité à se remettre d’une cyberattaque, et le décalage entre celles qui sont prêtes et celles qui ne le sont pas.
Le rapport permet également d’évaluer les répercussions financières des cyberattaques, leur influence sur les décisions stratégiques des entreprises, ainsi que le décalage entre l’adoption de l’IA générative et la capacité à gérer les risques associés.
Ses conclusions pour la France révèlent un décalage préoccupant entre la perception de la préparation et la réalité des menaces, signe d’une « fracture de la cyber-résilience ».
Les cyberattaques : un coût financier direct et une fracture de la résilience en France
Le baromètre de la cyber-résilience de Cohesity met en lumière les conséquences concrètes des cyberattaques. Plus des trois quarts des organisations françaises (76 %) ont subi une cyberattaque majeure, c’est-à-dire ayant eu un impact significatif sur les finances, la réputation, les opérations ou la perte de clients.
Plusieurs conséquences concrètes sont mises en exergue :
– 83 % des entreprises françaises cotées en bourse ont révisé leurs prévisions de bénéfices ou leurs orientations financières après une attaque. La France se distingue particulièrement sur ce point, avec un pourcentage supérieur à la moyenne mondiale.
– 65 % des entreprises privées françaises ont réorienté leurs budgets, passant des initiatives d’innovation et de croissance à la récupération et à la remédiation.
– 71 % des entreprises françaises cotées en bourse ont constaté un impact observable sur le cours de leur action.
– 92 % des organisations françaises ont fait face à des conséquences juridiques ou réglementaires, y compris des amendes, des poursuites judiciaires ou les deux.
En moyenne, les entreprises françaises ont payé 1,23 million de dollars de rançon au cours des douze derniers mois, un peu moins que la moyenne mondiale (1,34 million de dollars). Mais les trois-quarts paient une rançon en cas de cyberattaque. « N’oublions pas que, lorsqu’on paie une rançon, on devient, pour les attaquants, un bon client et l’on est attaqué une nouvelle fois », avertit François-Christophe Jean, Field Technical Director de Cohesity Europe.
« Ces résultats montrent que l’impact commercial d’une cyberattaque atteint désormais tous les recoins des entreprises, y compris en France. Lorsqu’un incident oblige une entreprise cotée à réviser ses bénéfices ou à détourner des budgets de croissance vers la restauration de données, la cyber-résilience devient plus qu’un problème technologique. Elle devient un problème de performance financière et de survie stratégique », explique Olivier Savornin, Vice-Président Europe chez Cohesity.
Une dangereuse surconfiance face à l’accélération de l’IA
L’analyse met en évidence un décalage significatif dans la manière dont les entreprises françaises abordent les cyberrisques. Malgré les conséquences matérielles mesurables des attaques, près de la moitié des dirigeants français interrogés (47 %) ont exprimé une confiance totale dans leurs stratégies de résilience. Ce décalage profond entre la confiance perçue et la capacité avérée de réponse et de récupération est au cœur de la fracture de la résilience cyber. « Les métiers ne sont pas prêts à gérer des modes dégradés, beaucoup ne s’approprient pas le sujet, surtout les PME, qui se sentent démunies », déplore Anne Doré, secrétaire du Clusif
Cette fracture est d’autant plus préoccupante qu’elle est exacerbée par l’adoption rapide de l’IA générative. En France, 79 % des répondants ont déclaré que l’IA générative progresse plus vite que leurs organisations ne peuvent atténuer en toute sécurité les risques associés (vs. 81 % globalement). La France montre ici une tendance similaire à la moyenne mondiale, soulignant l’urgence de cette problématique. Dans le même temps, la plupart reconnaissent son potentiel transformateur pour améliorer la détection, la réponse et la restauration de données. Pour Loïc Guézo, vice-président du Clusif et directeur de la stratégie de Proofpoint, « les attaquants innovent sans cesse, par exemple en se déplaçant vers les Supply Chains et l’IA, qui est clairement un nouveau vecteur d’attaque », recommande Loïc Guézo. Ce que confirme Olivier Savornin, pour qui « l’IA générative remodèle l’innovation et la gestion des risques. »
La résilience comme avantage concurrentiel
Les conclusions de Cohesity indiquent que la maturité en résilience a un impact direct et mesurable sur la capacité des entreprises à faire face aux cyberattaques. « La résilience comporte deux facettes : d’une part, l’anticipation, car il ne s’agit plus de savoir si une organisation va être attaquée, mais quand. D’autre part, il faut minimiser l’impact », rappelle François-Christophe Jean. Pour Loïc Guézo, « il y a globalement deux schémas d’attaques : la technique et l’humain. Les solutions techniques ont leurs limites, il faut investir sur l’humain. »
Malheureusement, le niveau de maturité des entreprises ne semble pas à la hauteur. Rappelons que le NIST (National Institute of Standards and technology) précise que la cyber-résilience se caractérise par cinq éléments : identifier, protéger, détecter, répondre et restaurer. Concrètement, la résilience repose sur plusieurs pratiques : les données sensibles sont sauvegardées, l’authentification multifactorielle et les contrôles d’administration sont appliqués, le renseignement sur les menaces est optimisé, la récupération est sécurisée par des mesures correctives et les exigences de conformité sont systématiquement respectées. « Améliorer la résilience, c’est réduire le temps de retour des opérations », rappelle François-Christophe Jean.
Hélas, selon l’étude Cohesity, seulement 6 % des organisations sont très matures dans ce domaine, 10 % sont au stade avancé, 59 % sont « en développement », 17 % dans une résilence émergente et 10 % sont les moins matures.