Les budgets tiennent, parfois progressent, mais la promesse d’une Europe réellement résiliente face aux cybermenaces reste hors de portée, selon les derniers travaux menés auprès des acteurs publics et privés.

Des budgets stables, mais des arbitrages qui changent

À première vue, les chiffres rassurent. Dans la majorité des grandes organisations européennes, les budgets consacrés à la cybersécurité affichent une forme de continuité d’une année sur l’autre. Pourtant, cette stabilité masque une inflexion stratégique nette. Les dépenses se déplacent progressivement des équipes internes vers l’acquisition de solutions technologiques spécialisées et le recours à des prestataires externes.

Ce choix traduit une double réalité. D’un côté, la nécessité d’accélérer la transformation numérique et de répondre à des menaces de plus en plus complexes. De l’autre, la difficulté croissante à constituer et maintenir des équipes expertes en interne. L’investissement ne recule pas, il se recompose.

Les données récentes mettent aussi en lumière de fortes disparités selon la taille et la localisation des structures. Dans certains pays, comme l’Allemagne ou le Luxembourg, la dépense médiane progresse. À l’inverse, la moyenne recule sous l’effet d’un ralentissement observé chez quelques très grands acteurs. En France, comme ailleurs en Europe, cette dynamique souligne une réalité fragmentée, loin d’un mouvement homogène.

La pénurie de talents, toujours au cœur du problème

Derrière la montée en puissance des outils et des services, un obstacle demeure constant : le manque de compétences. La cybersécurité continue d’attirer, mais la concurrence entre secteurs et entre pays s’intensifie pour capter des profils expérimentés. Résultat, de nombreuses organisations peinent à renforcer durablement leurs dispositifs.

Cette pénurie se répercute directement sur la gestion des incidents, la gouvernance de la sécurité et la capacité à intégrer des solutions avancées. Elle ralentit aussi l’appropriation des nouvelles exigences réglementaires européennes. Face à ce constat, les stratégies évoluent : montée en compétence des équipes existantes, investissements dans la formation interne et automatisation de certaines fonctions clés pour compenser l’absence de ressources humaines suffisantes.

NIS2 et nouvelles régulations : un saut d’exigence difficile à absorber

L’application progressive de la directive NIS2 marque un tournant pour les secteurs considérés comme essentiels, de l’énergie à la santé en passant par les transports et les infrastructures numériques. L’ambition est claire : élever et harmoniser le niveau de cybersécurité à l’échelle de l’Union européenne.

Sur le terrain, la mise en œuvre s’avère plus complexe. Les grands groupes se heurtent notamment à la modernisation de systèmes anciens, souvent peu compatibles avec des architectures de sécurité contemporaines. Même dotées de moyens importants, ces organisations doivent arbitrer entre continuité opérationnelle, contraintes internationales et alignement des pratiques.

La question des fournisseurs et de la chaîne d’approvisionnement devient également centrale. La sécurité ne se limite plus au périmètre interne et impose une coordination étroite avec des partenaires parfois hétérogènes.

Pour les PME, la difficulté est encore plus marquée. Faiblement dotées en experts et en ressources financières, elles peinent à anticiper les audits, tests et simulations désormais attendus. Beaucoup reconnaissent leur retard, tout en mesurant l’ampleur du changement imposé par un cadre réglementaire en rapide évolution.

Des lacunes persistantes face aux menaces réelles

Malgré une prise de conscience généralisée, la préparation reste inégale. Près d’un tiers des organisations interrogées n’a réalisé aucun audit ou test de sécurité approfondi au cours de l’année écoulée. Plus préoccupant encore, environ 30 pour cent mettent plus de trois mois à corriger des vulnérabilités critiques identifiées.

Cette lenteur, notamment dans la gestion des correctifs et la conformité aux exigences du Cyber Resilience Act, constitue un angle mort majeur. Elle ouvre des fenêtres d’opportunité aux attaquants, indépendamment des montants investis.

Les scénarios de compromission de la chaîne d’approvisionnement révèlent également des fragilités structurelles. Beaucoup d’acteurs admettent ne pas être prêts à gérer efficacement un incident externe majeur, même lorsque les budgets sont au rendez vous. La priorité se déplace donc vers la rapidité de détection et de réponse, plutôt que vers l’accumulation de nouvelles solutions.

Vers une approche plus collective de la cybersécurité européenne

Dans ce contexte, le rôle des agences européennes s’affirme. Leurs analyses alimentent de nouveaux référentiels de maturité et orientent les décisions politiques à l’échelle de l’Union. L’objectif est d’identifier les faiblesses systémiques et d’encourager des modèles plus coopératifs.

La tendance est claire : aucune organisation ne peut désormais se penser isolément. Le partage d’informations, la collaboration intersectorielle et la mutualisation des bonnes pratiques deviennent des leviers incontournables. À défaut de garantir une résilience immédiate, cette dynamique collective pourrait bien être la condition indispensable pour renforcer durablement la défense numérique du continent.