digitemis 
Sécurité offensive
Gouvernance & conformité
Protection des données
En 2025, 34 % des ETI ont subi au moins une cyberattaque significative. Le chiffre peut sembler modéré en comparaison des grandes entreprises (50 %), mais il masque une réalité plus brutale : parmi les organisations touchées, 81 % ont constaté un impact direct sur leur activité – perturbation de la production, perte d’image, compromission de données stratégiques ou perte de chiffre d’affaires (sondage OpinionWay pour CESIN, janvier 2026).
Chez Digitemis, nous accompagnons de nombreuses entreprises de taille intermédiaire dans la structuration de leur démarche de sécurité. Ce que nous observons sur le terrain confirme les données du dernier baromètre du CESIN : la cybersécurité n’est plus un sujet « à traiter un jour ». C’est un programme en cours, porté par des équipes qui montent en compétence et par des directions qui commencent à intégrer le risque cyber dans leur réflexion stratégique.
Mais entre la prise de conscience et la maturité opérationnelle, le chemin reste semé d’arbitrages difficiles.
Une tendance de fond : moins d’attaques « réussies », mais des impacts plus lourds
Le nombre de cyberattaques significatives décroît d’année en année. Le baromètre OpinionWay pour CESIN montre que 40 % des entreprises françaises ont été touchées en 2025, contre 47 % en 2024, 49 % en 2023 et 65 % en 2019. La tendance est nette. Les investissements dans les dispositifs de protection commencent à porter leurs fruits : 95 % des répondants ont déployé un EDR, 94 % l’authentification multifacteur, 87 % un SIEM.
Pourtant, quand une attaque aboutit, les conséquences sont de plus en plus sévères. Le vol de données est désormais la première conséquence technique des cyberattaques (52 % des cas), devant le déni de service (28 %) et l’exposition de données (27 %). L’effacement ou l’altération de données a doublé en un an, passant de 6 % à 13 %. Ce chiffre interpelle : il traduit une évolution des tactiques des attaquants, qui ne se contentent plus d’exfiltrer – ils détruisent.
Pour les ETI, cette réalité impose de repenser la protection au-delà de la simple prévention. La capacité de détection, de réponse et surtout de reconstruction après attaque devient un enjeu majeur. Or, selon le baromètre, seulement 65 % des entreprises se disent prêtes en matière de reconstruction, et à peine 50 % ont défini des palliatifs métiers (PCA métiers). C’est un angle mort critique.
L’art de l’arbitrage : faire beaucoup avec des moyens ciblés
Là où les grands groupes peuvent déployer des programmes de sécurité couvrant l’ensemble de leur périmètre, les ETI doivent faire des choix. Elles disposent de moyens supérieurs aux PME, mais restent loin des capacités budgétaires et humaines des très grandes structures. La logique qui prévaut est donc celle du pragmatisme : évaluer les risques qui pèsent réellement sur l’activité, hiérarchiser les priorités, calibrer les investissements en conséquence.
Les données du baromètre confirment cette réalité budgétaire. En 2025, 42 % des entreprises consacrent 5 % ou plus de leur budget IT à la cybersécurité – un chiffre en recul par rapport à 2024 (48 %), et ce pour la première fois en trois ans. Plus révélateur encore : 69 % des répondants estiment ne pas disposer des ressources humaines et financières suffisantes pour répondre aux enjeux actuels. La pression est réelle, et les ETI – qui ne disposent ni des équipes dédiées des grands groupes ni de la souplesse budgétaire des structures très rentables – la ressentent particulièrement.
Dans la pratique, l’approche pragmatique se traduit par une stratégie fondée sur l’analyse de risques, où chaque euro investi doit produire un effet mesurable sur la posture de sécurité. Les difficultés apparaissent surtout quand il s’agit de rattraper un retard accumulé : une dette technique importante, des systèmes historiques jamais audités, ou une absence de formalisation des processus de sécurité. En revanche, lorsque la sécurité est intégrée dès les projets de transformation numérique – ce que nous recommandons systématiquement – l’effort financier reste maîtrisable.
Le risque tiers : un angle mort en passe de devenir la menace n° 1
L’un des enseignements les plus frappants du dernier baromètre concerne le risque lié aux tiers. 30 % des entreprises estiment que plus de la moitié de leurs incidents de cybersécurité sont imputables à des prestataires, fournisseurs ou partenaires. Les incidents liés aux tiers ont d’ailleurs fortement progressé : les cyberattaques exploitant un défaut de sécurité chez un tiers concernent 34 % des entreprises (contre 25 % l’année précédente), et les ransomwares chez un tiers perturbant l’activité par effet collatéral touchent 30 % d’entre elles (contre 18 %).
Pour les ETI, souvent positionnées comme fournisseurs de grands groupes, cette dynamique joue dans les deux sens. D’un côté, elles subissent les failles de leurs propres prestataires. De l’autre, elles sont de plus en plus soumises à des exigences de sécurité de la part de leurs donneurs d’ordre. Les clauses de sécurité dans les contrats sont désormais généralisées (85 % des répondants), les questionnaires de sécurité quasi systématiques (74 %) et les plans d’assurance sécurité en forte progression (64 %).
Ne pas répondre à ces attentes, c’est risquer de perdre des marchés. C’est d’ailleurs une problématique sur laquelle Digitemis intervient fréquemment, en aidant les ETI à structurer leur posture de sécurité de manière à démontrer leur conformité et à valoriser les investissements réalisés.
De la PME à l’ETI : un passage qui change la donne
Un cas de figure que nous rencontrons régulièrement mérite une attention particulière : celui de la PME en croissance qui accède progressivement au statut d’ETI. Cette transition modifie profondément les attentes en matière de cybersécurité.
En grandissant, l’entreprise attire de nouveaux clients – souvent des grands comptes – qui imposent des exigences contractuelles sur la sécurité des systèmes d’information. Elle entre dans le radar de régulateurs plus exigeants. Ses données se multiplient, ses interconnexions se complexifient, sa surface d’attaque s’élargit.
La gouvernance cyber doit alors évoluer en parallèle. Cela passe par la formalisation d’une stratégie alignée sur les objectifs de l’entreprise, la mise en place d’analyses de risques structurées, l’élaboration d’un schéma directeur de sécurité et, souvent, la gestion explicite du risque résiduel – notamment à travers l’assurance cyber. Sur ce dernier point, le baromètre montre que 71 % des entreprises ont désormais souscrit une cyberassurance, et la quasi-totalité d’entre elles comptent renouveler leur contrat.
Chez Digitemis, nous aidons ces organisations en transition à poser les bons jalons au bon moment, sans surdimensionner les dispositifs par rapport à la réalité opérationnelle.
L’agilité, un avantage compétitif souvent sous-estimé
Il serait tentant de ne voir que les contraintes. Pourtant, la position intermédiaire des ETI constitue un réel atout en matière de cybersécurité.
Les grandes organisations, malgré leurs moyens, se heurtent à des lourdeurs structurelles : circuits de décision longs, inertie organisationnelle, résistance au changement. Les ETI, elles, bénéficient de cycles de décision plus courts et d’une capacité de déploiement opérationnel nettement plus rapide. Le déploiement d’un EDR sur l’ensemble du parc, la mise en place de l’authentification multifacteur, ou encore la conduite d’une campagne de sensibilisation interne peuvent se faire en quelques semaines là où un grand groupe mettra des mois.
Cette agilité est un levier puissant, à condition que la direction ait véritablement intégré les enjeux cyber. Et sur ce plan, les signaux sont encourageants : 90 % des entreprises déclarent que le risque cyber fait l’objet d’un suivi régulier en CODIR ou en COMEX, et 64 % le positionnent dans leur top 3 des risques. Quand cette prise de conscience est ancrée, les progrès sont spectaculaires.
La cybersécurité comme levier de croissance
Un autre trait distinctif des ETI les plus matures : elles ne voient plus la cybersécurité comme un centre de coûts, mais comme un levier business. Et c’est un changement de paradigme considérable.
Confrontées à la nécessité de rassurer leurs clients, de répondre à des appels d’offres exigeants et d’accompagner leur croissance, ces entreprises positionnent la sécurité au service des métiers. Le rôle du RSSI évolue d’ailleurs en ce sens : selon le baromètre, 45 % des RSSI décrivent leur fonction comme « plus stratégique » qu’il y a quelques années, et 36 % la jugent « plus transversale ». Seulement 10 % estiment que leur rôle est devenu plus opérationnel.
Ce repositionnement rappelle l’évolution qu’ont connue les DSI il y a une quinzaine d’années : passer d’un rôle de support technique à un rôle de partenaire stratégique. La cybersécurité emprunte aujourd’hui le même chemin dans les ETI les plus avancées.
Réglementation, IA, shadow IT : les nouveaux défis à intégrer
Trois forces extérieures accélèrent la transformation des stratégies cyber des ETI.
La première est réglementaire. 59 % des entreprises se déclarent impactées par NIS 2, 32 % par DORA et 30 % par le Cyber Resilience Act (sondage OpinionWay pour CESIN). Les ETI qui anticipent ces obligations – plutôt que de les subir dans l’urgence – gagnent un avantage opérationnel et commercial significatif.
La deuxième concerne l’intelligence artificielle. L’IA est désormais utilisée en interne par 79 % des organisations, et l’accompagnement sécurisé de son usage est identifié comme le troisième enjeu prioritaire pour l’avenir de la cybersécurité (42 % des répondants). Mais le revers de la médaille est immédiat : le recours à des services d’IA non approuvés par les salariés – le « shadow IA » – est considéré comme le comportement le plus risqué, avec 75 % des entreprises qui le jugent à risque élevé ou très élevé. C’est un sujet sur lequel les ETI doivent cadrer rapidement l’usage avant que les habitudes ne s’ancrent.
La troisième est géopolitique. 53 % des entreprises jugent la menace d’origine étatique en augmentation, un constat qui s’ajoute à la pression classique des cybercriminels. Pour les ETI positionnées sur des secteurs sensibles – industrie, défense, énergie, santé – la question du cyberespionnage n’est plus anecdotique : 40 % des répondants estiment ce risque élevé.
Comment structurer sa démarche quand on est une ETI
Pour les ETI qui souhaitent passer à la vitesse supérieure, plusieurs leviers d’action se dégagent.
Le premier est de partir d’une analyse de risques solide, alignée sur les enjeux métier. Trop d’organisations investissent dans des outils sans avoir préalablement identifié ce qu’elles cherchent à protéger et contre quoi. Un audit de maturité – mené par un tiers de confiance qualifié – permet de poser un diagnostic objectif et de prioriser les actions. Le référentiel ISO 2700x reste le plus utilisé (68 % des entreprises), suivi des règles d’hygiène de l’ANSSI (51 %) et du NIST (41 %).
Le deuxième est de formaliser un schéma directeur de sécurité sur 2 à 3 ans, avec des jalons clairs et des indicateurs de suivi. Ce document devient l’outil de pilotage du RSSI et le support de dialogue avec la direction générale.
Le troisième est de ne pas tout faire seul. Les tests d’intrusion, la threat intelligence, le SOC et le CERT/CSIRT sont majoritairement gérés en externe – respectivement par 56 %, 40 %, 35 % et 45 % des entreprises selon le baromètre. Faire appel à des expertises externes permet de compenser le manque de ressources internes tout en bénéficiant d’un regard indépendant.
Enfin, le quatrième est d’investir dans la préparation à la crise. 67 % des entreprises ont mis en place un programme d’entraînement à la gestion de crise cyber en 2025, contre 62 % l’année précédente. C’est une progression notable, mais un tiers des organisations n’a toujours pas de dispositif en place – et c’est souvent dans les ETI que ce manque se fait le plus sentir.
Ce que Digitemis apporte aux ETI
En tant que cabinet qualifié PASSI LPM – Visa de Sécurité ANSSI, au niveau élevé sur l’ensemble des cinq portées d’audit, Digitemis est un tiers de confiance indépendant, positionné pour accompagner les ETI à chaque étape de leur montée en maturité.
Nos équipes interviennent sur les volets technique (tests d’intrusion, audits d’architecture, audits de configuration, audit de code source), organisationnel (ISO 27001, gestion de crise, PCA/PRA) et réglementaire (NIS 2, DORA, RGPD). Nous ne vendons pas de solutions logicielles : nous aidons nos clients à prendre les bonnes décisions et à les mettre en œuvre de manière opérationnelle.
Vous êtes RSSI, DSI ou dirigeant d’une ETI et vous souhaitez structurer votre démarche de cybersécurité ? Contactez-nous. Nos consultants sont à votre disposition pour un premier échange sur votre contexte et vos priorités.