Dans une étude menée par Wavestone l’environnement français des start-ups en cybersécurité reste actif cette année. Il se concentre dans plusieurs domaines GRC, protection des données, IAM, sensibilisation, …. avec une intégration plus prononcée de l’IA. La concentration du secteur est toujours aussi forte, ainsi que l’extension vers l’international.
L’écosystème français des start-up de cybersécurité poursuit son expansion. Selon la huitième édition du Radar des start-up cybersécurité françaises publié par le cabinet Wavestone en partenariat avec Bpifrance, la France compte désormais 234 start-up cyber et 43 scale-up. L’étude, dévoilée lors du salon VivaTech 2026, met en évidence un record de créations avec 105 entreprises intégrées au radar cette année, contre 44 un an plus tôt.
Cette accélération est largement attribuée à la démocratisation des outils IA et du « vibe coding », qui réduisent les barrières à l’entrée et raccourcissent les délais de mise sur le marché. Les domaines les plus dynamiques concernent la gouvernance et la conformité (GRC), la gestion des vulnérabilités (avec Tacit, OpenCVE , Cybi,…), la protection des données (Plalar, Daspren, Ugloo,…), la gestion des identités et des accès (IAM) avec des acteurs comme Cloud IAM, ShareID, Cryptr ainsi que la sensibilisation à la cybersécurité (SecDojo, CyberLudik, Kamae). À elles seules, ces cinq catégories concentrent la majorité des récentes entreprises recensées en 2026.
L’IA devient omniprésente dans les offres de cybersécurité
L’IA ne se contente plus d’être un sujet de recherche. Elle devient un composant central des produits en cybersécurité. Wavestone estime que 70 % des start-up françaises du secteur ont désormais intégré l’IA dans leurs offres, contre 53 % un an plus tôt. Cette intégration se traduit par l’automatisation de la détection des menaces, l’analyse comportementale, l’investigation des incidents ou encore la classification des données sensibles. Mais un segment émerge également : celui de la sécurisation de l’IA elle-même.
Le radar recense 22 entreprises spécialisées dans la protection des modèles IA, des agents autonomes ou encore dans la sécurisation des usages métiers basés sur l’IA. Elles n’étaient que 15 en 2025 et 11 en 2024. Les sujets liés aux agents IA, à leurs accès aux systèmes d’information et à la maîtrise de leurs comportements figurent désormais parmi les priorités des entreprises.
Une croissance qui ne se transforme pas encore en champions
Malgré cette effervescence entrepreneuriale, le passage à l’échelle reste difficile. Le nombre de scale-up cyber françaises recule légèrement, passant de 46 à 43 entreprises cette année. Une évolution qui contraste avec la croissance observée depuis 2020, où le nombre de ces sociétés progressait en moyenne de six unités par an. Les auteurs du rapport soulignent que la multiplication des acteurs rend plus complexe la différenciation commerciale. Les jeunes entreprises doivent désormais démontrer davantage leur valeur ajoutée, obtenir des références clients solides et construire des avantages technologiques durables pour espérer franchir les différentes étapes de croissance. Le marché reste par ailleurs composé d’entreprises de très petite taille. Plus de la moitié des start-ups recensées comptent moins de cinq salariés, contre 32 % seulement l’année précédente. À l’inverse, seules 3 % dépassent le seuil des vingt employés. Cette fragmentation illustre les difficultés rencontrées par les jeunes entreprises pour transformer leurs innovations en croissance commerciale durable.
Sur le plan financier, l’écosystème continue de démontrer sa résilience. Entre juin 2025 et mai 2026, il a levé 304 M€, contre 289 M€ l’année précédente. Cette stabilité masque toutefois une évolution notable. Les investisseurs ont réalisé 36 opérations de financement, contre seulement 19 l’année précédente. Les capitaux sont donc répartis entre davantage d’entreprises, avec une multiplication des tours de montant intermédiaire plutôt que de très grandes levées. Le trio de tête des levées de fonds affiche néanmoins des montants conséquents : 50 M€ pour Filigran, et Gitguardian et 49 M€ pour Zama. Aucune entreprise n’a toutefois dépassé le seuil symbolique des 100 M€, depuis le record établi par Ledger en 2023. Selon Wavestone, cette situation témoigne d’un marché encore prudent dans un contexte économique et technologique marqué par les incertitudes.
La consolidation du marché s’accélère
Autre enseignement, la consolidation du secteur se poursuit. Quarante-neuf entreprises ont quitté le radar cette année, contre 33 en 2025. Parmi elles, huit ont été rachetées, onze ont cessé leur activité et vingt-quatre ne répondent plus aux critères du radar en raison de leur ancienneté. Les opérations de fusion-acquisition demeurent largement nationales. Huit des neuf rachats recensés sur la période ont été réalisés par des groupes français.
Pour Wavestone, les entreprises les plus prometteuses restent celles capables de développer des innovations technologiques profondes et difficiles à reproduire. Les technologies de chiffrement avancé, les approches post-quantiques, la protection des données sensibles ou encore les infrastructures de confiance constituent les principaux vecteurs de différenciation. Cette tendance est illustrée par l’émergence de la société Zama parmi les entreprises à fort potentiel. Elle est spécialisée dans le chiffrement homomorphe et les technologies compatibles avec le monde post-quantique.
L’internationalisation reste un levier essentiel
Face à la taille limitée du marché français, l’expansion internationale demeure un passage obligé. Selon l’étude, 61 % des entreprises exportent déjà leurs solutions hors de France, une proportion qui atteint 95 % parmi les scale-up. Les marchés nord-américains et asiatiques gagnent même légèrement en importance cette année. Pour les auteurs du radar, cette capacité à s’internationaliser, combinée à une forte différenciation technologique, constituera l’un des principaux facteurs pour transformer le foisonnement entrepreneurial en véritables champions mondiaux de la cybersécurité.