Dans la base industrielle et technologique de défense (BITD), la cybersécurité a changé de nature. Elle n'est plus une ligne budgétaire informatique. Elle est devenue un critère de qualification fournisseur, et donc une condition d'accès au carnet de commandes.
Ce déplacement est rarement analysé pour ce qu'il est : un changement de catégorie comptable et stratégique. Dans la plupart des PME industrielles, la cybersécurité continue d'être traitée comme une charge d'exploitation. Elle devrait être instruite comme un investissement de positionnement.
Cette confusion a un coût. Pas celui des dépenses engagées. Celui des financements qui ne seront plus mobilisables au moment où ils deviendront indispensables.
Le déplacement de risque, et sa logique économique
La menace cyber sur la BITD s'est déplacée vers les rangs 2, 3 et 4 de la chaîne de valeur. Selon le panorama des ingérences 2025 publié par la DRSD, environ 80 % des atteintes recensées contre la sphère Défense visent les sous-traitants des grands maîtres d'œuvre. Ces entreprises hébergent des données techniques sensibles, plans, procédés, données de qualification, sans disposer des ressources de sécurité des grands groupes.
Ce déplacement n'est pas conjoncturel. La DRSD le qualifie de structurel : il résulte de l'intensification de la compétition économique et technologique, pas de la guerre en Ukraine. Pour le dirigeant, la conséquence est immédiate : la cybersécurité ne se traite plus dans le registre du risque opérationnel. Elle se traite dans celui du risque de qualification commerciale.
Cette concentration du risque sur les acteurs de second rang coïncide avec une montée en cadence sans précédent du marché défense. La LPM 2024-2030 prévoyait 413,3 Md€ sur sept ans, en hausse de 40 % par rapport au cycle précédent. Les engagements pris à La Haye le 25 juin 2025 portent ce cadre à environ 100 Md€ annuels à horizon 2030. Pour les sous-traitants, l'équation est simple : les carnets de commandes s'élargissent, mais les exigences de qualification s'élèvent au même rythme. La sécurité des systèmes d'information en est la composante la plus filtrante.
Pourquoi le traitement en charge d'exploitation est une erreur d'instruction
La plupart des dirigeants instruisent la cybersécurité comme ils instruisent une prestation de maintenance ou un abonnement logiciel. La logique est compréhensible : les décaissements sont immédiats, les bénéfices diffus. Elle est cependant inexacte, et coûteuse.
Les maîtres d'œuvre, Dassault Aviation, Naval Group, Thales, Safran, ont intégré les exigences de sécurité des systèmes d'information dans leurs référentiels de qualification fournisseur. Un sous-traitant qui n'y répond pas n'est pas seulement exposé à un risque cyber technique. Il est exposé à un risque de déréférencement, indépendant de la qualité de ses produits.
Dit autrement : la cybersécurité conditionne désormais un flux de revenus futurs. Elle relève donc d'une logique d'investissement, pas de fonctionnement.
Ce que la requalification change concrètement
Traitée comme un investissement de positionnement, la mise à niveau cyber s'inscrit à l'actif du bilan lorsqu'elle répond aux critères d'immobilisation, se séquence sur plusieurs exercices, et s'articule avec les dispositifs publics dédiés. L'arbitrage du dirigeant ne se pose plus en termes de trésorerie à court terme, mais d'allocation de capital au regard d'un flux de revenus sécurisé. Cette requalification ouvre l'accès à des financements qui ne sont pas mobilisables pour une charge d'exploitation.
Encore faut-il que la requalification tienne au moment du contrôle. L'éligibilité à l'immobilisation se joue avant la signature, dans la rédaction des contrats. Une prestation de mise à niveau cyber facturée en forfait global, sans décomposition entre prestations de conception, développements spécifiques et maintenance, sera très probablement requalifiée en charge par le commissaire aux comptes ou l'administration fiscale. La même dépense, structurée dans un contrat distinguant explicitement la phase d'investissement immobilisable (paramétrage initial, développements spécifiques, licences perpétuelles) des frais de fonctionnement récurrents (abonnements, maintenance, support), conserve son traitement à l'actif. C'est un point de vigilance opérationnel : les contrats fournisseurs et licences logicielles doivent être rédigés en fonction du traitement comptable visé, pas l'inverse.
L'étude Bpifrance Lab indique que 43 % des PME et ETI françaises se déclarent prêtes à travailler pour le secteur défense. Être prêt commercialement ne suffit pas. La barrière d'entrée réelle est de nature financière et organisationnelle, pas industrielle.
L'effet ciseau, et la fenêtre de financement à ne pas manquer
La séquence à risque pour un sous-traitant BITD est connue. Perte de qualification fournisseur lors d'un cycle de revue. Érosion progressive du carnet de commandes défense sur 18 à 24 mois. Dégradation de la marge opérationnelle. Dégradation de la capacité d'autofinancement.
Au moment où l'entreprise voudrait financer sa mise à niveau pour reconquérir sa qualification, les ratios bancaires se sont déjà dégradés. Les dispositifs publics deviennent plus difficiles à mobiliser. L'arbitrage qui paraissait reportable devient une contrainte subie, dans des conditions de négociation défavorables.
C'est ce point qui justifie l'expression d'investissement de positionnement : la valeur financière de la démarche n'est pas dans la protection des systèmes, elle est dans la préservation d'un accès marché dont la perte est en grande partie irréversible.
Les dispositifs publics, et la logique de leur articulation
Depuis 2023, Bpifrance, la DGA et l'État ont structuré un continuum de financement spécifique aux PME de la BITD. L'articulation des trois dispositifs centraux importe davantage que leurs caractéristiques individuelles.
Diag Cybersécurité Défense, le point d'entrée
Opéré par Bpifrance et la DGA, ce diagnostic évalue la maturité des systèmes selon le Référentiel Maturité Cyber et définit un plan de remédiation priorisé. Pré-validation DGA sur l'éligibilité stratégique. Expert réglé directement par Bpifrance. Délai maximum : cinq mois. C'est le prérequis opérationnel d'accès aux autres outils.
Cyber PME Phase B, la subvention de mise en œuvre
Adossé à France 2030, ce dispositif finance la mise en œuvre du plan de sécurisation issu du diagnostic. Subvention jusqu'à 80 000 €, taux d'aide maximal de 70 % des dépenses éligibles. Délai de réalisation : dix-huit mois. Couvre l'acquisition de produits et services alignés sur les recommandations prioritaires.
Prêt DEF'FI, le complément de financement
Prêt sans garantie de 30 000 € à 1 M€, sur deux à sept ans. Finance les investissements immatériels (recrutement, formation, logiciels), le besoin en fonds de roulement et les équipements à faible valeur de gage. Cofinancement privé exigé, ce qui suppose une articulation amont avec les financements bancaires.
Ces outils sont conçus pour fonctionner en séquence. Le diagnostic ouvre l'accès à la subvention. La subvention couvre le cœur du plan. Le prêt DEF'FI complète les dépenses non éligibles et le BFR induit. Sans cadrage financier amont, le risque est double : un diagnostic sans suite opérationnelle, ou une mise en œuvre désajustée des exigences réelles des donneurs d'ordres.
La question n'est plus s'il faut investir, mais comment l'instruire
L'état actuel du financement de la BITD révèle l'écart à combler. Selon le dossier de presse du ministère de l'Économie de mars 2025, les entreprises du secteur bénéficient aujourd'hui de 37 Md€ de financements bancaires, 20 Md€ d'investissements des assureurs, 40 Md€ du groupe Caisse des dépôts, et seulement 1 Md€ de Bpifrance. La montée en cadence, amplifiée par les engagements OTAN, suppose entre 5 et 7 Md€ de financements nouveaux à cinq ans.
Ce n'est pas un ajustement marginal. C'est une recomposition du modèle de financement d'une industrie entière. Dans cette recomposition, la part affectée à la sécurisation des systèmes d'information détermine, en amont, la part des PME qui resteront qualifiées.
La question à instruire n'est plus celle du principe. Le marché et le cadre réglementaire l'ont tranchée. Elle est celle de la méthode : comment requalifier la dépense en investissement, comment séquencer la mise en œuvre avec les capacités opérationnelles, et comment articuler les financements avant que la fenêtre ne se referme. C'est, au fond, une question de gouvernance financière. La cybersécurité n'en est que le terrain d'application.
Sous-traitant BITD : structurer la décision avant qu'elle ne soit subie
ECHN Corporate Finance accompagne les dirigeants de PME industrielles dans la structuration de leurs décisions financières et l'accès aux dispositifs adaptés à leur secteur et à leur situation.
Sources
Direction du renseignement et de la sécurité de la Défense (DRSD), Panorama des ingérences à l'encontre de la sphère Défense 2025, defense.gouv.fr.
Bpifrance, communiqué de presse, Bpifrance renforce son soutien aux entreprises stratégiques françaises du secteur de la défense, 20 mars 2025, presse.bpifrance.fr.
Ministère de l'Économie, des Finances et de la Souveraineté industrielle et numérique, dossier de presse, Financement de la Base Industrielle et Technologique de Défense, 20 mars 2025, economie.gouv.fr.
DGA / Bpifrance, fiche PEPS, Diag Cybersécurité Défense, mai 2025, armement.defense.gouv.fr.
Bpifrance, cahier des charges, Appel à projets Dispositif Cyber PME, Phase B, bpifrance.fr.
Bpifrance Lab, Les PME et ETI françaises face à l'effort de défense, lelab.bpifrance.fr.
La Banque Postale, La défense, un secteur entre hypercroissance et consolidation, expertise sectorielle, labanquepostale.fr, consulté mai 2026.
Les situations décrites dans cet article sont inspirées de cas rencontrés dans le cadre des missions des consultants d'ECHN Corporate Finance. Elles ne constituent pas des cas réels identifiables. ECHN Corporate Finance ne réalise pas de conseil en investissement au sens réglementaire du terme.