« Ensemble, renforçons la maturité cyber ! » : au Sénat, un colloque pour remettre la cybersécurité à hauteur d’organisations
Lundi 26 janvier 2026, au Palais du Luxembourg, un colloque, organisé par Numeum, l’AFNOR et le CLUSIF, a réuni institutions, experts et entreprises autour d’un objectif : faire progresser la maturité cyber.
La journée a rappelé une idée simple. Le risque vise l’activité : arrêt de production, facturation bloquée, services paralysés.
Dès l’ouverture, la sénatrice Corinne Narassiguin insiste sur un point : pour renforcer sa maturité cyber, il est nécessaire d’embarquer bien au-delà des équipes informatiques. Les vulnérabilités viennent souvent des usages. L’enjeu devient collectif. La cybersécurité se pilote comme un sujet d’entreprise. Elle se décide au niveau de la direction, se décline dans les équipes, s’inscrit dans les processus et se vérifie par des preuves.
L’échelle du risque : une entreprise sur deux touchée en 2024
Le colloque part d’un constat partagé : les obligations s’accumulent, et la lisibilité se dégrade. Les chiffres donnent l’échelle du risque : une entreprise sur deux déclare avoir subi au moins une cyberattaque avec un impact significatif en 2024 (baromètre CESIN 2024). Un tiers des responsables cyber estime que leur entreprise n’est pas préparée à affronter des cyberattaques (Hiscox 2024). Dans la salle, un repère circule côté PME : 57 % déclarent avoir subi une cyberattaque.
Pour y apporter une réponse, l’Europe se met en ordre de bataille
En effet, comme le rappelle Mathieu Couturier (ANSSI), le bon échelon pour agir est l’échelon européen : NIS2 et le CRA (Cyber Resilience Act), s’inscrivent dans cette volonté de renforcer la cybersécurité des entités européennes et de rendre le marché plus lisible sur ce sujet.
Au-delà de la réglementation qui oblige les entreprises à renforcer leur sécurité et de la certification qui propose un cadre commun lisible au niveau européen, n’oublions pas que la recherche en cybersécurité est également un levier essentiel pour préparer les défenses face aux attaques de demain. La France et l’Europe sont d’ailleurs en position de force grâce à des laboratoires de pointe en la matière.
« 143 jours de présence invisible » : le scénario type d’une attaque raconté par les entreprises
Les retours d’expérience des entreprises donnent une image précise d’un scénario d’attaque : une phase silencieuse, puis une diffusion rapide. Emmanuel Barrier (Kyndryl) cite un chiffre qui marque : en moyenne 143 jours de présence invisible dans le système d’information avant la bascule. Laurent Gelu insiste sur la difficulté à détecter les signaux faibles : une chaîne de décision préparée fait la différence.
Derrière ces récits, un risque économique revient : 60 % des PME victimes d’une cyberattaque feraient faillite dans les 18 mois (rapport d’information du Sénat, 2021). La maturité cyber se joue donc aussi comme une assurance de continuité.
Assistance et gestion de crise : l’accès à l’aide devient un réflexe et la préparation se joue avant le jour J
En France, plusieurs structures jouent un rôle décisif dans l’accompagnement des entreprises face à une crise cyber. Éric Freyssinet (ComCyberMI) et Jérôme Notin (Cybermalveillance.gouv.fr) rappellent l’existence du 17Cyber, point d’entrée en ligne pour tout particulier ou entreprise victime d’un incident de cybersécurité. Opéré par Cybermalveillance.gouv.fr, le 17Cyber complète d’autres dispositifs dont le label ExpertCyber qui permet d’identifier les prestataires capables d’accompagner les entreprises, notamment les PME, face aux incidents de cybersécurité.
Pour limiter les effets d’une attaque, les panélistes rappellent qu’une crise se prépare et que sa capacité à agir repose sur des rôles et des réflexes définis en amont. A ce titre, le gouvernement met à disposition des exercices pour se préparer : REMPAR par l’ANSSI et le MOOC SenCy-Crise par Cybermalveillance.gouv.fr destiné les PME.
Nos experts rappellent 6 réflexes à installer avant la crise
1) Sauvegarder et tester : tester les sauvegardes, la restauration, mesurer le temps de reprise, vérifier l’isolement.
2) Cartographier ce qu’on doit protéger : savoir ce qui compte et où sont les points d’entrée (actifs, accès, dépendances, prestataires).
3) Repérer le minimum vital : identifier les activités prioritaires (facturation, production, service client, logistique…) puis améliorer leur résilience pas à pas.
4) S’entraîner : exercices (SenCy-Crise, kits sectoriels), avec des mises en situation impliquant l’ensemble de l’entreprise, y compris le COMEX.
5) Savoir où demander de l’aide : 17Cyber, Cybermalveillance.gouv.fr, CSIRT territoriaux, prestataires labellisés ExpertCyber.
6) Transformer les textes réglementaires en plan d’action : prioriser, suivre des indicateurs, documenter des preuves réutilisables d’un cadre à l’autre.
« La cybersécurité, une affaire de collectif »
En conclusion, les organisateurs rappellent que la cybersécurité est un enjeu transverse qui doit être porté collectivement. Les cadres réglementaires et normatifs donnent une structure ; l’enjeu est d’en faire un accélérateur de maturité.
Florence Puybareau (CLUSIF) résume la maturité cyber comme un triptyque : la sécurité pour réduire l’exposition, la résilience pour encaisser le choc et repartir, l’influence pour inspirer confiance aux clients, partenaires et écosystèmes.
Valérie Dagand (Numeum) rappelle que le contexte règlementaire, bien que dense, est un levier à saisir pour faire monter en maturité le tissu économique européen et renforcer la résilience de nos économies face au risque cyber.
Pour réussir ce défi, Nolwenn Le Ster (Numeum) conclut en rappelant l’importance du jeu collectif. L’écosystème cyber est riche de ses expertises. L’organisation conjointe de cet événement par Numeum, Afnor Normalisation et le Clusif est l’exemple parfait illustrant cette force du « faire ensemble ». Cette dynamique fera la différence et a vocation à se prolonger notamment dans le cadre d’un Tour des Régions de la Résilience lancé par le MEDEF et Numeum, à partir de septembre 2026 pour accompagner, au plus près du terrain, les entreprises françaises sur leurs enjeux de cybersécurité.
Nous remercions le Clusif et Afnor Normalisation pour leur partenariat sur l’organisation de ce colloque ainsi que l’ensemble des intervenants pour leurs précieuses contributions.
