Un déficit invisible, avant tout humain, fragilise la cybersécurité française

Nicolas Herz
GLOBAL KNOWLEDGE

Un déficit invisible, avant tout humain, fragilise la cybersécurité des entreprises françaises et limite leur capacité à devenir véritablement résilientes face aux cyberattaques.

Un déficit invisible, avant tout humain, fragilise la cybersécurité des entreprises françaises et limite leur capacité à devenir véritablement résilientes face aux cyberattaques. Avec NIS2 et DORA, ce déficit prend une dimension stratégique : la réglementation impose non seulement la conformité, mais aussi la capacité à réagir efficacement et protéger réellement les activités.

La cybersécurité n’est pas qu’une question d’outils 

Pendant des années, les entreprises françaises ont investi massivement dans la cybersécurité. Politiques de sécurité, authentification multifactorielle, sauvegardes cloud, plans de continuité : sur le papier, tout semblait en ordre. Mais dans les faits, les incidents se multiplient : ransomwares paralysant des chaînes de production, fuites de données sensibles, intrusions dans des systèmes critiques. Ces crises révèlent une réalité plus préoccupante : des dispositifs présents, mais insuffisamment opérationnels. En situation de crise, seule compte la capacité à détecter, décider et réagir rapidement.

Un grand groupe industriel français, malgré des outils sophistiqués et des procédures documentées, a été paralysé lors d’une attaque, non par l’absence de technologie, mais par le manque de formation à la gestion de crise. De même, une PME certifiée ISO 27001, conforme à NIS2, a vu sa production stoppée par un ransomware. La conformité indique ce qu’il faut avoir ; elle ne garantit pas ce qu’on est capable de faire.

15 000 postes vacants. Six équipes sur dix en sous-capacité

Selon le Baromètre CESIN 2025, 69 % des entreprises françaises estiment ne pas disposer des ressources nécessaires pour faire face aux menaces cyber. Près de 15 000 postes restent vacants en France (OPIIEC/ANSSI), et six équipes sur dix signalent des lacunes critiques en compétences (ISC2 2025). Résultat : des équipes sous tension, des dispositifs mal exploités, et une capacité de réaction dégradée en cas d’incident. La cybersécurité reste encore trop cloisonnée, perçue comme un sujet technique, alors qu’elle relève désormais d’un enjeu global de gouvernance et de continuité d’activité.

Former, reconvertir, engager : trois leviers concrets

Combler ce déficit ne se résout pas en recrutant davantage ; le vivier n'existe pas. Il faut agir sur plusieurs fronts. D’abord, monter en compétences les équipes existantes : la cybersécurité évolue trop vite pour que des savoir-faire acquis il y a quelques années suffisent encore. La formation continue et les certifications reconnues sont indispensables pour maintenir un niveau d’expertise face aux menaces en mutation. Ensuite, reconvertir des profils issus d’autres secteurs, souvent porteurs d’une culture métier précieuse, permet de constituer des équipes hybrides capables de relier les réalités opérationnelles aux exigences de sécurité. Accompagnés de mentorat interne, ces parcours accélèrent la montée en compétences et renforcent l’efficacité opérationnelle. Enfin, engager la gouvernance est essentiel. La cybersécurité ne peut plus rester l’affaire des seules équipes techniques : les dirigeants doivent anticiper le coût réel d’une heure d’arrêt d’activité et investir dans le capital humain, transformant ainsi un sujet technique en décision stratégique.

NIS2 et DORA : la fin des angles morts

Avec NIS2 et DORA, les organisations ne doivent plus seulement se conformer, mais démontrer leur résilience. NIS2 élargit le périmètre des entités concernées et impose des exigences fortes à des secteurs clés comme l’énergie, les transports ou la santé. DORA, de son côté, impose au secteur financier des standards élevés en matière de gestion des risques, de dépendance aux tiers et de réponse aux incidents.

Dans ce nouveau contexte, la capacité d’exécution devient le véritable indicateur de maturité cyber. Et c’est précisément là que le déficit invisible apparaît.

De la conformité à la résilience

Être conforme, c'est satisfaire un auditeur. Être résilient, c'est survivre à une attaque. Les entreprises qui réussissent à bâtir une résilience durable sont celles qui considèrent leurs équipes comme la première ligne de défense et les forment en conséquence. Faire de la cybersécurité une priorité stratégique, décloisonner les expertises, investir dans le capital humain : autant de conditions pour transformer une conformité de façade en véritable robustesse.

La conformité dit ce qu'il faut avoir. La formation détermine ce qu'on est capable de faire. En cybersécurité, ce n’est pas la théorie qui sauve, mais la capacité à agir.