La cybersécurité d’entreprise n’est plus un sujet technique de second rang. En 2026, elle est devenue un sujet de gouvernance, de droit, et de continuité économique. Trois textes européens majeurs (NIS2, DORA, AI Act) sont en application directe ou en cours de transposition, le référentiel français ReCyF de l’ANSSI structure les appels d’offres publics, et le ransomware demeure la première cause d’incident sévère recensé par Cybermalveillance.gouv.fr [1].
Cet observatoire couvre quatre dimensions : le cadre réglementaire, la cartographie des menaces, l’arsenal défensif, et le marché français des éditeurs. Il s’adresse aux DSI, RSSI, DPO, et directions générales qui doivent arbitrer leurs investissements cybersécurité dans les douze prochains mois.
Le cadre réglementaire en 2026
Le législateur européen et français a empilé trois couches en moins de trente mois. La cohabitation est volontairement complémentaire : NIS2 pose le socle horizontal, DORA durcit la verticale financière, l’AI Act adresse le risque IA. Le ReCyF ANSSI vient compléter le tout par un référentiel d’évaluation des fournisseurs.
NIS2 : le socle horizontal européen
La directive (UE) 2022/2555, dite NIS2, est entrée en vigueur le 16 janvier 2023 et devait être transposée au plus tard le 17 octobre 2024 par les États membres [2]. Elle élargit considérablement le périmètre de la directive NIS de 2016 : 18 secteurs critiques sont concernés, contre 7 auparavant. En France, ce passage représente une multiplication par trente du nombre d’entités régulées, d’environ 500 OIV et OSE historiques à environ 15 000 entités essentielles et importantes anticipées par l’ANSSI [3]. Le détail des obligations, du périmètre et des sanctions est abordé dans le guide dédié : NIS2 entreprise : guide complet 2026.
DORA : la verticale finance
Le règlement (UE) 2022/2554 sur la résilience opérationnelle numérique du secteur financier, dit DORA, s’applique directement dans tous les États membres depuis le 17 janvier 2025 [4]. Il impose un cadre unifié pour les banques, assurances, gestionnaires d’actifs, infrastructures de marché, et prestataires de paiement. La supervision est partagée entre l’ACPR, l’AMF, et les autorités européennes de supervision (EBA, EIOPA, ESMA). Le détail des cinq piliers DORA, du périmètre et des TLPT est abordé dans : DORA : obligations cyber du secteur financier au 17 janvier 2025.
Loi Résilience : la transposition française de NIS2
Le projet de loi relatif à la résilience des activités d’importance vitale, à la protection des infrastructures critiques, à la cybersécurité et à la résilience opérationnelle numérique du secteur financier, dit loi Résilience, transpose simultanément NIS2, REC (résilience des entités critiques) et complète DORA. Le texte adopté précise la qualification entités essentielles et entités importantes, le rôle de l’ANSSI comme autorité nationale compétente, et le régime des sanctions. La discussion parlementaire et le calendrier d’application sont détaillés dans : Loi Résilience : transposition NIS2 en droit français.
ReCyF ANSSI : le référentiel fournisseur
Le ReCyF, ou référentiel cybersécurité fournisseur, vise à standardiser l’évaluation cybersécurité des prestataires intervenant dans les SI de l’État et des opérateurs régulés. Il s’articule avec PASSI, SecNumCloud et les autres qualifications ANSSI, et concerne en particulier la sous-traitance numérique, sujet structurant à la fois de NIS2 (article 21.2.d) et de DORA (chapitre V). Les critères d’évaluation et l’articulation avec les marchés publics sont détaillés dans : ReCyF ANSSI : référentiel cybersécurité fournisseur 2026.
AI Act : le quatrième pilier
Le règlement (UE) 2024/1689 sur l’intelligence artificielle, dit AI Act, est entré en vigueur le 1er août 2024 avec une application échelonnée jusqu’au 2 août 2027 [5]. Il introduit une obligation d’analyse de risque dédiée pour les systèmes d’IA à haut risque, des règles de transparence pour les systèmes interagissant avec des personnes physiques, et un cadre spécifique pour les modèles à usage général (GPAI). Les obligations opérationnelles pour les DSI sont détaillées dans : AI Act entreprise : obligations DSI et RSSI.
Calendrier d’application 2025 à 2027
| Texte | Entrée en vigueur | Application opérationnelle |
|---|---|---|
| DORA | 16 janvier 2023 | 17 janvier 2025 |
| AI Act (interdictions) | 1er août 2024 | 2 février 2025 |
| NIS2 (transposition FR) | 16 janvier 2023 | Loi Résilience 2025 et 2026 |
| AI Act (GPAI) | 1er août 2024 | 2 août 2025 |
| AI Act (haut risque) | 1er août 2024 | 2 août 2027 |
Sanctions
Les ordres de grandeur de sanctions financières sont les suivants. NIS2 : 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles, 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial pour les entités importantes. DORA : sanctions nationales pour les entités financières (ACPR, AMF), jusqu’à 1 % du chiffre d’affaires mondial moyen pour les prestataires TIC tiers critiques. AI Act : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les pratiques interdites. À cela s’ajoute la responsabilité personnelle du dirigeant, qui devient une nouveauté notable de NIS2.
Les menaces qui comptent
L’ENISA publie chaque année son Threat Landscape, qui consolide les incidents observés en Europe sur les douze mois écoulés [6]. Cybermalveillance.gouv.fr publie son rapport d’activité avec une focale sur les demandes d’assistance reçues en France [1]. Les deux sources convergent sur la hiérarchie des menaces.
Ransomware : la menace dominante persistante
Le ransomware reste la principale menace sévère pour les organisations. Trois mutations marquent la période. D’abord, la double extorsion (chiffrement plus exfiltration) est devenue la norme et non plus l’exception, ce qui rend la sauvegarde insuffisante à elle seule. Ensuite, le modèle Ransomware-as-a-Service (RaaS) a démocratisé l’accès à des kits opérationnels pour des acteurs peu qualifiés. Enfin, le ciblage s’est déplacé des grandes entreprises vers les ETI et collectivités locales, dont la posture est jugée moins mature. Les vecteurs d’attaque, l’analyse forensique et les bonnes pratiques de remédiation sont détaillés dans : Ransomware 2026 : vecteurs d’attaque et remédiation.
Chaîne d’approvisionnement
Les attaques sur la chaîne d’approvisionnement (supply chain) ont connu une accélération depuis 2020. Le principe est connu : compromettre un maillon de confiance (éditeur logiciel, prestataire MSP, intégrateur) pour atteindre ses clients en aval. C’est précisément la raison pour laquelle NIS2 article 21.2.d et DORA chapitre V imposent une gestion documentée du risque tiers, avec registre des prestataires, clauses contractuelles cyber, et tests croisés.
Vulnérabilités cloud et conteneurs
L’adoption massive du cloud public et de Kubernetes a déplacé une partie significative du périmètre d’attaque. Les misconfigurations restent la première cause d’exposition selon les rapports successifs des CSPM (Cloud Security Posture Management). Les credentials laissés en clair dans les dépôts Git, les buckets S3 publics, les rôles IAM trop permissifs représentent l’essentiel du bruit observé. Le durcissement de Kubernetes en production est traité dans : Kubernetes en production : sécurité 2026.
Exfiltration et fuite de données
La CNIL recense chaque année les notifications de violations de données reçues au titre de l’article 33 du RGPD [7]. Le rapport annuel met en évidence une croissance continue, avec une forte proportion d’incidents liés au piratage de comptes (credential stuffing, phishing) et aux erreurs de configuration. Les obligations de notification (72 heures sous RGPD, 24 heures sous NIS2) doivent être anticipées par un plan de réponse formalisé.
Autres vecteurs
Les attaques DDoS persistent comme outil de pression économique ou géopolitique, sans constituer la menace la plus coûteuse en moyenne. L’ingénierie sociale, et en particulier le phishing et le smishing, demeure le vecteur d’entrée le plus fréquent. Les attaques sur les infrastructures industrielles (OT, SCADA) sont en hausse, avec un signalement spécifique par l’ANSSI et la CISA américaine sur les acteurs étatiques.
Tableau de synthèse des menaces 2025-2026
| Menace | Vecteur principal | Évolution 2025-2026 | Référence |
|---|---|---|---|
| Ransomware double extorsion | Phishing, VPN exposés, RDP | Hausse confirmée | ENISA, Cybermalveillance |
| Supply chain | Compromission éditeur, MSP | Hausse confirmée | ENISA |
| Misconfiguration cloud | IAM, buckets, secrets | Stable, premier poste d’exposition | ANSSI, CNIL |
| Phishing et smishing | Email, SMS, QR phishing | Hausse modérée | Cybermalveillance |
| DDoS volumétrique | Botnets IoT, amplifications | Stable, pression géopolitique | ANSSI |
| Attaques OT et SCADA | Connexion IT-OT, accès distants | Hausse modérée, acteurs étatiques | ANSSI, CISA |
L’arsenal de détection-réponse
La doctrine de défense a évolué d’une logique périmétrique vers une logique de détection et de réponse. La conviction sous-jacente est qu’aucun périmètre n’est étanche en 2026, et que la rapidité de détection et de remédiation détermine in fine l’impact d’un incident.
EDR, MDR, XDR : la couche endpoint et au-delà
L’EDR (Endpoint Detection and Response) collecte les événements sur les postes et serveurs, et applique des règles de détection comportementale. Le MDR (Managed Detection and Response) ajoute une couche de service humain 24/7 opérée par un prestataire. Le XDR (Extended Detection and Response) étend la corrélation au-delà de l’endpoint, en intégrant réseau, cloud, identité et messagerie. Le choix entre les trois dépend de la maturité du SOC interne, du budget, et du niveau de criticité. La comparaison opérationnelle est détaillée dans : EDR, MDR, XDR : comparatif pour RSSI.
SIEM et SOAR
Le SIEM (Security Information and Event Management) reste la pierre angulaire du SOC pour la collecte et la corrélation des journaux. Sa principale limite historique est son coût (licence par volume de logs) et la qualité du parsing. Le SOAR (Security Orchestration, Automation and Response) complète le SIEM par l’orchestration des playbooks de réponse, en automatisant les actions de remédiation simples (isolation d’un poste, blocage d’un compte). La combinaison SIEM plus SOAR est la fondation des SOC matures.
SOC interne, externalisé, hybride
Le positionnement de la fonction SOC est un arbitrage entre coût, contrôle et compétences disponibles. Un SOC interne 24/7 nécessite environ 10 à 15 ETP (analystes N1, N2, N3, threat hunters, ingénieurs SIEM), ce qui en réserve l’usage aux grandes organisations. Le SOC externalisé (MSSP) ramène le ticket d’entrée à un coût récurrent prévisible, au prix d’une dépendance contractuelle. Le modèle hybride, avec un noyau interne et un MSSP en run, est devenu la norme pour les ETI et les grands comptes.
Architecture Zero Trust : du concept au déploiement
Zero Trust n’est ni un produit ni une technologie unique. C’est un modèle d’architecture défini par le NIST dans la publication spéciale 800-207 [8]. Le principe fondateur : la confiance n’est jamais implicite, chaque requête est authentifiée et autorisée individuellement.
Le modèle NIST SP 800-207
Le NIST identifie trois approches techniques pour mettre en oeuvre Zero Trust : enhanced identity governance (centrée sur l’identité), micro-segmentation (centrée sur le réseau), et software-defined perimeter (centrée sur l’overlay réseau). Les trois sont rarement utilisées seules, et la plupart des déploiements combinent les briques. Les composants logiques sont le Policy Decision Point (PDP) et le Policy Enforcement Point (PEP), articulés par un Policy Engine alimenté par des sources contextuelles (identité, posture du terminal, threat intelligence).
IAM et PAM
La gestion des identités (IAM) est le prérequis structurant : sans annuaire propre, sans MFA généralisé, sans politique de cycle de vie des comptes, Zero Trust reste un concept marketing. La gestion des accès privilégiés (PAM) traite spécifiquement le cas des comptes à fort privilège (administration, accès aux données sensibles), avec vault de secrets, session recording, et just-in-time access. Le déploiement opérationnel en cinq étapes est détaillé dans : Zero Trust Architecture : 5 étapes de déploiement.
Cloud et souveraineté
Le débat sur la souveraineté numérique s’est structuré depuis 2021 autour de la doctrine Cloud au centre de la DINUM et de la qualification SecNumCloud de l’ANSSI. La trajectoire des entreprises françaises et européennes oscille entre adoption massive des hyperscalers (AWS, Azure, GCP) et exigence croissante d’hébergement souverain pour les données sensibles.
Cloud souverain et SecNumCloud
La qualification SecNumCloud garantit qu’un service cloud répond à des exigences strictes de sécurité, de localisation et de protection juridique contre les lois extra-européennes (Cloud Act, FISA 702). Les acteurs qualifiés en 2026 incluent OVHcloud, Outscale, Cloud Temple, S3NS, Numspot, et NumSpot. Les enjeux de souveraineté, les arbitrages techniques et le panorama des offres sont traités dans : Cloud souverain France 2026 : panorama et arbitrages.
FinOps
La discipline FinOps vise à maîtriser et optimiser la facture cloud, qui est devenue un poste budgétaire IT majeur. Les leviers principaux sont l’instance rightsizing, les engagements pluri-annuels (Reserved Instances, Savings Plans), le tagging fin, et la chasse aux ressources orphelines. Les méthodes et indicateurs opérationnels sont détaillés dans : FinOps : réduire la facture cloud.
Multi-cloud
Le multi-cloud est passé d’une promesse marketing à une réalité opérationnelle, souvent contrainte par le risque d’enfermement (lock-in) et par les obligations de continuité d’activité. NIS2 article 21.2.c et DORA chapitre V imposent d’ailleurs une stratégie de sortie documentée. Les patterns d’architecture multi-cloud et la stratégie de sortie sont traités dans : Multi-cloud : stratégie et plan de sortie.
Kubernetes en production
Kubernetes s’est imposé comme le socle d’orchestration de conteneurs en production, avec un changement de surface d’attaque : RBAC, secrets, network policies, supply chain des images. Les pratiques de durcissement (CIS Kubernetes Benchmark, signature d’images, admission control) sont détaillées dans : Kubernetes en production : sécurité 2026.
IA en entreprise : les nouveaux risques
L’intégration massive des LLM et des agents autonomes dans les SI ouvre une surface d’attaque inédite, qui ne se réduit pas à l’AI Act. Les risques opérationnels sont aussi importants que les risques juridiques.
Agentic AI
Les agents autonomes (capables de planifier, d’exécuter et d’enchaîner des actions) introduisent une chaîne de confiance complexe : injection de prompt, manipulation par les sources externes consultées, exécution non supervisée. L’analyse du risque, les patterns d’isolation (sandbox, human-in-the-loop) et les retours d’expérience français sont traités dans : Agentic AI en entreprise : panorama France 2026.
Intégration des LLM dans le SI
L’intégration d’un LLM (interne ou externe) dans un SI productif impose un certain nombre de garde-fous : DLP applicatif sur les prompts, journalisation des appels, contrôle d’accès aux sources de données via RAG, évaluation des biais et hallucinations. Les obligations AI Act associées et le cadrage opérationnel sont détaillés dans : AI Act entreprise : obligations DSI et RSSI.
Le marché cybersécurité français
Le marché français de la cybersécurité dispose d’un tissu d’éditeurs spécialisés, dont une partie significative a obtenu des qualifications ANSSI sur certains de leurs produits [3]. Numeum publie un panorama annuel du secteur logiciel et services français [9].
Éditeurs cyber français de référence
Tehtris est positionné sur le XDR et le MDR, avec une présence chez plusieurs opérateurs régulés. Sekoia opère une plateforme SOC et de threat intelligence, avec une qualification PDIS. HarfangLab édite un EDR souverain, qualifié par l’ANSSI. Vade est spécialisé sur la sécurité de la messagerie. Pradeo couvre la sécurité mobile. Olfeo se positionne sur le filtrage web et le contrôle de navigation. La liste n’est pas exhaustive, et plusieurs acteurs émergents (Glimps, Reblaze France, CrowdSec, GitGuardian) complètent le paysage.
SaaS cyber et plateformes
L’offre SaaS de sécurité française couvre un spectre large : gestion d’identités, gestion des vulnérabilités, threat intelligence, sandboxing, sécurité des emails. Le marché et le positionnement des acteurs sont détaillés dans : SaaS cyber français 2026 : panorama.
Critères de choix d’un éditeur souverain
Au-delà de la performance fonctionnelle, plusieurs critères entrent dans l’arbitrage d’un éditeur cyber pour un SI sensible : qualification ou certification ANSSI sur le produit considéré, structure juridique de l’éditeur et de son capital, localisation des opérations support et des données clients, capacité à fournir un PASSI ou un service d’audit, intégration native avec les outils ANSSI (MISP, OpenCTI). Le respect de ces critères conditionne directement l’acceptabilité dans les marchés publics et chez les OIV.
Budget cyber 2026 : repères d’arbitrage
La question récurrente posée aux DSI et RSSI par les directions financières est celle du dimensionnement du budget cybersécurité, en pourcentage du budget IT global ou du chiffre d’affaires. Les sources publiques sectorielles donnent des repères, mais aucun seuil unique ne fait consensus.
Ratios couramment observés
Le ratio budget cyber sur budget IT total se situe en pratique entre 8 % et 15 % selon le secteur, le niveau de criticité et la maturité de l’organisation. Les secteurs régulés (finance, santé, OIV) tendent vers la borne haute, voire au-delà (15 % à 20 %). Le ratio budget cyber sur chiffre d’affaires, plus volatile, oscille entre 0,3 % et 1,5 % en France selon les profils. Les rapports Numeum et les études sectorielles publiques donnent une fourchette indicative [9], qu’il convient de pondérer par l’exposition au risque et par les obligations réglementaires applicables.
Postes structurants
Quatre postes concentrent la majorité du budget cyber dans une entreprise mature. Le premier est le personnel (RSSI, analystes SOC, ingénieurs sécurité, chef de projet), qui représente typiquement 30 % à 45 % du budget. Le second est l’outillage technique (EDR, SIEM, IAM, PAM, sauvegarde), 25 % à 35 %. Le troisième est l’externalisation (MSSP, audits, tests d’intrusion, PASSI), 15 % à 25 %. Le quatrième est la gouvernance et la conformité (formation, certification, audits internes), 5 % à 15 %. Les arbitrages dépendent du modèle d’organisation choisi (SOC interne vs externalisé, achat vs run interne).
Impact des nouvelles obligations
NIS2 et DORA ont un impact mesurable sur le budget cyber des entreprises nouvellement concernées. Les chantiers récurrents identifiés (cartographie, gap analysis, plan de remédiation, outillage de notification, formation) représentent typiquement entre 200 000 euros et 1 million d’euros sur 12 à 18 mois pour une ETI selon sa maturité initiale. Ces coûts sont à intégrer dans la trajectoire budgétaire pluriannuelle, et non dans le run courant.
Mesurer la posture cyber : indicateurs clés
Au-delà du budget, la mesure de l’efficacité de l’effort cyber s’appuie sur un nombre limité d’indicateurs. La doctrine du CIS Controls et du NIST Cybersecurity Framework converge sur quelques familles d’indicateurs structurants [8].
Indicateurs de détection-réponse
Trois indicateurs sont devenus standards. Le MTTD (Mean Time To Detect) mesure le temps moyen entre l’occurrence d’un incident et sa détection par les équipes. Le MTTR (Mean Time To Respond) mesure le temps entre la détection et le confinement effectif. Le MTTA (Mean Time To Acknowledge) mesure le temps de prise en charge initiale d’une alerte. Les valeurs cibles dépendent du contexte, mais un MTTD supérieur à plusieurs jours sur des incidents significatifs indique une posture défensive insuffisante.
Indicateurs de couverture
La couverture EDR sur le parc, la couverture MFA sur les comptes à privilège, le taux de patch des vulnérabilités critiques dans les 30 jours, le pourcentage de sauvegardes testées dans les 12 derniers mois sont autant d’indicateurs simples qui révèlent la profondeur réelle du dispositif. Ce sont également les indicateurs les plus fréquemment exploités lors des audits NIS2 et des tests TLPT DORA.
Indicateurs de risque résiduel
Le nombre d’actifs critiques sans couverture EDR, le nombre de prestataires TIC tiers sans clause cyber contractuelle, le nombre de comptes à privilège sans rotation périodique sont des indicateurs de risque résiduel. Ils servent à prioriser les chantiers de remédiation et à communiquer au comité de direction sur l’état réel de la posture, sans dilution dans des scores composites peu interprétables.
Indicateurs de conformité
Pour NIS2 et DORA, les indicateurs de conformité spécifiques incluent le nombre de notifications d’incident réalisées dans les délais réglementaires, le pourcentage de prestataires couverts par le registre, le pourcentage de fonctions critiques couvertes par un plan de continuité testé, et le pourcentage de dirigeants ayant suivi la formation cyber annuelle obligatoire (article 20 NIS2).
Vers une posture cyber 2026 cohérente
L’observation transverse des sources officielles (ANSSI, ENISA, CNIL, Cybermalveillance.gouv.fr) converge sur quelques constats. Le rythme d’évolution réglementaire est désormais plus rapide que le cycle de remédiation moyen d’une entreprise. La conformité documentaire ne suffit pas : NIS2, DORA et AI Act exigent tous une démonstration opérationnelle (tests, journaux, rapports d’incident). La sous-traitance numérique devient un sujet de gouvernance à part entière, avec registre, clauses, tests croisés. Enfin, la fonction RSSI bascule progressivement d’une fonction technique vers une fonction de pilotage du risque, rattachée au comité de direction et exposée juridiquement en cas de manquement.
Les trois sujets prioritaires à arbitrer en 2026, pour la plupart des DSI et RSSI français, sont donc : la mise en conformité NIS2 (gap analysis, plan de remédiation, gouvernance), la rationalisation de l’arsenal de détection-réponse (EDR, MDR ou XDR selon maturité), et l’intégration des nouveaux risques liés à l’IA (agentic AI, LLM en SI, AI Act).
Sources et références
[1] Cybermalveillance.gouv.fr, rapport d’activité annuel. [2] Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022, journal officiel de l’Union européenne. [3] ANSSI, publications de référence et liste des produits qualifiés. [4] Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022. [5] Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024. [6] ENISA Threat Landscape, publication annuelle. [7] CNIL, rapport annuel et données publiques sur les violations de données. [8] NIST Special Publication 800-207, Zero Trust Architecture. [9] Numeum, panorama annuel du secteur logiciel et services en France.