Wavestone Cyber Benchmark 2026 : la cybersécurité des grandes entreprises progresse, mais le rythme s’essouffle

Wavestone Cyber Benchmark 2026 : tableau de bord cybersécurité avec visualisation de données réseau et protections
📊

L’essentiel en 30 secondes

  • 7e édition du Cyber Benchmark Wavestone : basé sur l’analyse de plus de 200 organisations, dont 100 dépassant 1 milliard d’euros de chiffre d’affaires
  • Maturité moyenne en hausse : 55,3 % pour les grands groupes, soit +1,3 point par rapport à 2025
  • Secteur financier leader : 67,6 % de maturité moyenne, tiré par la réglementation DORA et des investissements soutenus
  • Budgets cybersécurité : 6,7 % des budgets IT en moyenne, toujours dans le bas de la fourchette recommandée (5 à 10 %)
  • NIS 2 : environ 60 % de maturité pour les grandes organisations, aucun acteur pleinement conforme
  • Pilier Recover en retrait : seulement 44 % de maturité, la résilience de crise reste le point faible majeur

Wavestone vient de publier son Cyber Benchmark 2026. C’est la septième édition de cette étude de référence. Et les résultats dessinent un paysage mitigé. Les grandes entreprises françaises progressent, certes. Mais le rythme s’essouffle année après année.

Le niveau moyen de maturité cybersécurité des grands groupes atteint 55,3 %. C’est +1,3 point par rapport à 2025. Mais cette progression est de plus en plus lente. Plusieurs organisations semblent avoir touché un plafond. Sans réformes structurelles, difficile d’aller beaucoup plus loin.

Voyons ce que dit ce benchmark en détail. Parce que derrière les chiffres moyens, il y a des réalités très différentes selon les secteurs et les tailles d’entreprise.

Alexi Tauzin
Alexi Tauzin 🤖 Analyste cybersécurité & données

Fondateur d’alexitauzin.com, entrepreneur digital et analyste des technologies émergentes. Il suit de près les enjeux de cybersécurité, de conformité et de protection des données pour aider les professionnels à comprendre les risques numériques et les évolutions du secteur.

En savoir plus ➜

Ce qu’il faut savoir

Avant de rentrer dans l’analyse, voici les chiffres clés à retenir de cette édition 2026.

Indicateur20262025Évolution
Maturité moyenne (grands groupes)55,3 %54,0 %+1,3 pt
Secteur financier67,6 %62,5 %+5,1 pts
Budgets cybersécurité (% IT)6,7 %6,4 %+0,3 pt
Protection anti-ransomware58 %56 %+2 pts
Maturité NIS 2 (grandes org.)~60 %~80 % (draft FR)Nouvelle méthodologie
Pilier Recover (NIST)44 %41 %+3 pts
PME en situation critique25 %36 %-11 pts
Expert cybersécurité / salariés1 / 1 0161 / 1 086Amélioration

Une progression qui ralentit, année après année

Le constat est clair. La courbe de maturité cybersécurité s’aplatit. En 2024, les grands groupes étaient à 53 %. En 2025, à 54 %. En 2026, à 55,3 %. On progresse, mais de moins en moins vite.

Wavestone tire une conclusion intéressante de cette tendance. Plusieurs grandes organisations ont atteint un plateau. Pour aller au-delà, il ne suffit plus d’ajouter des outils ou de recruter quelques experts. Il faut repenser la gouvernance, les processus, la culture sécurité en profondeur. Et ça, c’est un chantier autrement plus complexe qu’un achat de solution.

Le secteur financier creuse l’écart

C’est le grand gagnant de cette édition. Le secteur financier atteint 67,6 % de maturité moyenne. C’est +5,1 points en un an. Certains acteurs dépassent les 89 %. La réglementation DORA y est pour beaucoup. Cette directive européenne impose des exigences strictes en matière de résilience opérationnelle numérique aux acteurs financiers.

À l’inverse, les secteurs moins régulés accusent un retard croissant. L’écart entre secteurs régulés et non régulés atteint désormais 8,8 points. C’était 6 points l’an dernier. La pression réglementaire fait vraiment la différence. Quand il y a un cadre légal contraignant, les budgets suivent et les équipes se mobilisent.

NIS 2 : 60 % de maturité, le chemin est encore long

C’est le sujet chaud de cette édition. La directive européenne NIS 2 pousse les organisations à investir. Comme on l’avait détaillé dans notre analyse des obligations NIS 2, le niveau de maturité moyen reste autour de 60 % pour les grandes organisations. Et aucun acteur n’est pleinement conforme.

Les principaux points de blocage sont connus. La gestion des risques tiers. La cartographie des actifs. L’administration sécurisée. Et surtout, l’exigence d’un niveau de sécurité homogène sur l’ensemble du système d’information. Ce dernier point rompt avec les approches actuelles, souvent centrées sur les périmètres critiques.

Autre observation importante : les acteurs français prennent du retard. Les grands groupes internationaux, présents dans d’autres pays européens où NIS 2 a déjà été transposée, ont pris de l’avance. Les acteurs déjà soumis à des régulations sont aussi plus proactifs. Ils savent que la mise en conformité est longue et coûteuse.

⚠️ NIS 2 : hétérogénéité européenne

Chaque pays transpose NIS 2 différemment. La France insiste sur la sécurisation des systèmes d’administration et la traçabilité. La Belgique impose des inventaires détaillés des fournisseurs critiques. La Hongrie se distingue par des exigences avancées en continuité et automatisation.

Cette diversité renforce la complexité pour les organisations internationales, qui doivent harmoniser leurs pratiques à l’échelle de leurs filiales.

Ransomware : les fondamentaux se renforcent

Sur les 29 vecteurs d’attaque utilisés par les groupes de ransomware identifiés par les équipes de réponse à incident de Wavestone, les grandes organisations atteignent 58 % de maturité. C’est +2 points par rapport à 2025. Cette amélioration contribue à réduire les compromissions majeures.

Chez les PME, la situation s’améliore aussi. 25 % sont en situation critique, contre 36 % l’an dernier. C’est un progrès de 11 points. Mais un quart des PME reste vulnérable aux attaques ransomware les plus basiques. Les solutions sont connues : sauvegardes, segmentation, MFA, plan de reprise. Le vrai problème, c’est la mobilisation des organisations les moins conscientes des risques.

Le pilier Recover : le parent pauvre de la cybersécurité

Les piliers Govern, Protect, Detect et Respond du framework NIST tournent autour de 56 à 57 %. C’est homogène. C’est stable. Mais le pilier Recover reste à 44 %. C’est le plus faible de tous.

Traduction : les entreprises savent de mieux en mieux se protéger, détecter les incidents et y réagir. Mais une fois l’attaque subie, la capacité à retrouver un fonctionnement normal reste faible. La résilience de crise, c’est encore le point noir. Seul le secteur financier se distingue avec 58 % sur ce pilier.

Budgets : en hausse, mais toujours insuffisants

Les budgets cybersécurité représentent en moyenne 6,7 % des budgets IT. C’est en hausse par rapport à 2025 (6,4 %). Mais on reste dans le bas de la fourchette recommandée de 5 à 10 %. Et dans un contexte où les menaces exponentielles et l’explosion des usages IA complexifient la donne, cet effort reste mesuré.

Les effectifs, eux, progressent. On compte désormais 1 expert cybersécurité pour 1 016 salariés. C’était 1 pour 1 086 l’an dernier. Mais la guerre des talents s’intensifie. Les profils qualifiés restent rares et très sollicités.

✅ Ce qui progresse

  • Maturité globale des grands groupes (+1,3 pt)
  • Secteur financier (+5,1 pts, effet DORA)
  • Protection anti-ransomware (+2 pts)
  • PME en situation critique (-11 pts)
  • Budgets cybersécurité (+0,3 pt)
  • Effectifs experts cybersécurité en hausse

❌ Ce qui reste fragile

  • Pilier Recover à seulement 44 %
  • Aucune entreprise pleinement conforme NIS 2
  • Acteurs français en retard sur NIS 2
  • Écart régulés/non régulés qui se creuse (8,8 pts)
  • Gestion des risques tiers toujours lacunaire
  • Cartographie des actifs insuffisante

Mon avis : attention au faux sentiment de sécurité

55,3 % de maturité moyenne. Le chiffre peut sembler correct. Mais il faut le remettre en perspective. On est à peine au-dessus de la moyenne sur des référentiels internationaux. Et la progression ralentit. Si la tendance se confirme, on va stagner autour de 56 à 57 % dans les prochaines années.

Le vrai enseignement de ce benchmark, c’est que la cybersécurité ne se résout pas par l’accumulation de solutions techniques. Les entreprises qui performent le mieux ont une gouvernance forte, une culture sécurité ancrée, et des processus rodés. Ce sont les investissements humains et organisationnels qui font la différence, pas les achats de logiciels.

NIS 2 va forcer le mouvement. Mais la transposition hétérogène en Europe crée un paysage complexe. Les entreprises françaises doivent se préparer maintenant, pas attendre les premiers contrôles. Parce que quand les régulateurs frapperont, le niveau exigé sera de 100 %, pas de 60 %.

Questions fréquentes

Qu’est-ce que le Cyber Benchmark de Wavestone ?

Le Cyber Benchmark de Wavestone est une étude annuelle publiée depuis 2020. Elle analyse la maturité cybersécurité de plus de 200 organisations selon les référentiels NIST CSF v2.0 et ISO 27001. L’édition 2026 couvre près de 7 millions de collaborateurs.

Quel est le niveau moyen de maturité cybersécurité en 2026 ?

Le niveau moyen de maturité des grands groupes (plus de 1 Md € de CA) atteint 55,3 % en 2026, soit +1,3 point par rapport à 2025. Le secteur financier leader atteint 67,6 %.

Quel budget cybersécurité est recommandé pour les entreprises ?

La fourchette recommandée est de 5 à 10 % du budget IT. En 2026, les grandes entreprises consacrent en moyenne 6,7 % de leur budget IT à la cybersécurité, dans le bas de cette fourchette.

Les entreprises sont-elles conformes à NIS 2 en 2026 ?

Non. Aucune entreprise n’est encore pleinement conforme. Les grandes organisations atteignent environ 60 % de maturité vis-à-vis de NIS 2. Les principaux obstacles sont la gestion des risques tiers, la cartographie des actifs et l’exigence de sécurité homogène sur tout le SI.

Pourquoi le pilier Recover est-il si faible ?

Le pilier Recover du NIST CSF mesure la capacité à retrouver un fonctionnement normal après une attaque. Il est à 44 % car peu d’organisations sont réellement prêtes à maintenir leur activité en cas d’attaque majeure. La résilience de crise reste un axe d’amélioration majeur.

Verdict

Le Cyber Benchmark 2026 de Wavestone dessine une réalité nuancée. Les grandes entreprises françaises progressent en cybersécurité, mais de moins en moins vite. Le secteur financier tire le classement grâce à DORA. Les PME améliorent leur situation. Mais le pilier Recover reste faible, NIS 2 est loin d’être maîtrisé, et les acteurs français prennent du retard.

Le message est clair. Investir dans des solutions ne suffit plus. Il faut investir dans la gouvernance, les processus et la culture sécurité. NIS 2 va accélérer les choses. Mais les entreprises qui attendent les contrôles pour se préparer seront en retard. Le temps d’agir, c’est maintenant.

Avez-vous déjà lu ces articles ?

Piratage de Tchap (juin 2026) : ce que révèle la fuite de la messagerie de l’État et comment protéger vos propres comptes

OpenAI prépare son IPO à 60 milliards : ce qui va changer pour les utilisateurs et le marché de l’IA en 2026

Laisser un commentaire

Contactez la rédaction pour toute demande

Partenariat, rédaction et publication d'articles sponsorisés

NOUS CONTACTER

COPYRIGHT ALEXITAUZIN.COM 2026

Mentions légales - Politique de confidentialité - Affiliation