Docaposte met en lumière le décalage entre perception du risque et exposition réelle

Réunis au 7e étage du Musée de La Poste, boulevard de Vaugirard, décideurs publics, dirigeants d’entreprise et responsables des systèmes d’information ont participé à une matinée consacrée aux nouveaux équilibres de la cybersécurité. Dans un contexte de numérisation accélérée des services, de multiplication des points d’entrée numériques et d’intensification des menaces, Docaposte a souhaité rappeler l’urgence d’une approche globale de la protection des systèmes d’information. En ouverture de l’événement, son président-directeur général Olivier Vallet a insisté sur la nécessité de dépasser une vision purement technologique de la cybersécurité pour l’inscrire durablement dans les stratégies de gouvernance, de transformation numérique et de souveraineté des organisations françaises, en particulier dans les secteurs sensibles comme le public, la santé et la finance. La présentation du baromètre annuel de la cybersécurité, réalisé pour la troisième année consécutive avec Cyblex Consulting auprès de plus de 500 décideurs, a constitué le temps fort de cette Matinale. Dirigeants, RSSI, DSI et responsables informatiques y ont livré leur perception du risque, leurs pratiques de protection et leurs arbitrages budgétaires, offrant une photographie précise de la maturité cyber des organisations françaises. Une étude qui met en évidence des progrès techniques indéniables, mais aussi de profondes fragilités organisationnelles et humaines, dans un environnement numérique toujours plus exposé aux attaques. 

Des organisations plus équipées, mais toujours massivement ciblées 

Premier enseignement marquant du baromètre 2025 : près de quatre organisations sur dix se considèrent aujourd’hui comme une cible potentielle de cyberattaques, un chiffre qui grimpe à 50 % dans le secteur public, contre 37 % dans le privé. La perception du risque reste très variable selon la taille des structures, les ETI se montrant nettement plus conscientes de leur vulnérabilité que les PME et surtout les TPE, encore largement sous-estimatrices de leur exposition. Les fonctions IT apparaissent comme les plus lucides face aux menaces, avec plus d’un responsable technique sur deux se disant exposé, loin devant les dirigeants, dont seulement 30 % partagent ce sentiment. Dans les faits, l’exposition est bien réelle : une organisation sur trois a subi au moins une cyberattaque au cours des douze derniers mois. Le phishing s’impose désormais comme la menace la plus répandue, en forte progression sur un an, touchant particulièrement les petites structures, souvent moins outillées pour détecter les tentatives d’hameçonnage. Les ransomwares restent très présents, tout comme les vols ou pertes de données, entraînant régulièrement des blocages de systèmes d’information, des interruptions de production et des atteintes directes à l’activité économique. Autant d’incidents qui confirment que la cybermenace ne relève plus de l’exception, mais d’un risque opérationnel permanent pour les organisations françaises.

Budgets en hausse, ressources humaines en recul : un paradoxe inquiétant 

Autre signal fort mis en lumière par l’étude : si plus d’une organisation sur deux a augmenté ses investissements en cybersécurité en 2025, les moyens humains dédiés reculent fortement. Seule une structure sur trois dispose désormais d’un référent sécurité, contre une sur deux l’an dernier. Les recours à des équipes internes spécialisées comme à des prestataires externes diminuent également, tandis que la part d’organisations sans aucune ressource dédiée progresse, notamment parmi les TPE. Un paradoxe qui illustre une approche encore trop centrée sur les outils techniques, au détriment de la gouvernance, de la formation et du pilotage stratégique du risque cyber. Dans le même temps, la maturité réglementaire progresse lentement, avec près d’un tiers des organisations connaissant et appliquant les recommandations de l’Anssi (Agence nationale de sécurité des systèmes d’information), une avancée portée en grande partie par les acteurs publics. La souveraineté numérique s’impose également comme un enjeu de plus en plus central, 68 % des décideurs jugeant l’usage de solutions souveraines important, voire très important, pour leur sécurité. Une tendance qui confirme l’évolution des préoccupations cyber vers des dimensions à la fois technologiques, politiques et économiques, dans un contexte de dépendance croissante aux infrastructures numériques. 

Des échanges pour transformer la prise de conscience en actions concrètes 

Pour prolonger ces constats, Docaposte a organisé deux tables rondes réunissant experts de la cybersécurité, représentants d’institutions publiques et acteurs économiques. La première s’est intéressée à la manière dont les organisations publiques arbitrent entre exigences de protection numérique et contraintes budgétaires, dans un environnement réglementaire de plus en plus exigeant. La seconde a exploré les freins et leviers permettant aux entreprises de passer d’une simple conscience du risque cyber à une véritable stratégie opérationnelle de sécurisation de leurs systèmes. 

Ces échanges ont mis en évidence une problématique partagée : malgré une prise de conscience croissante, de nombreuses organisations peinent encore à structurer leur démarche cybersécurité dans la durée, faute de ressources humaines, de pilotage stratégique et d’accompagnement adapté. Un constat qui fait écho aux conclusions du baromètre et renforce le message porté par Docaposte et Cyblex Consulting : la cybersécurité ne peut plus reposer uniquement sur des solutions techniques, mais doit devenir un sujet de gouvernance à part entière, intégré aux décisions stratégiques des organisations.