Wavestone est un cabinet de conseil en management et technologie fondé en 1990, siège à Paris-La Défense. Fusion en 2023 avec Q_PERIOR pour former un acteur européen majeur. Plus de 6000 collaborateurs dans 17 pays. Qualifications ANSSI PASSI et PRIS. Expertise cybersécurité, transformation digitale, data & IA, conseil CIO/CTO. Présence forte en finance, énergie, secteur public, industrie.
- Publie un benchmark annuel de maturité cyber depuis 7 ans, basé sur l'analyse de plus de 200 organisations
- Moyenne de maturité cyber des grandes organisations en 2026 : 55,3% (secteur financier leader à 67,6%)
- 76% des organisations ont défini des règles pour l'IA, mais la maturité globale en sécurité IA n'est que de 38%
- Aucune entreprise n'est encore pleinement conforme à NIS2 (maturité moyenne de 60% pour les grandes organisations)
Qualifications ANSSI détenues
Prestataire d'Audit de la Sécurité des Systèmes d'Information
Audit de SI selon le référentiel PASSI (architecture, configuration, code source, tests d'intrusion, organisationnel et physique).
Prestataire de Réponse aux Incidents de Sécurité
Réponse à incident.
Portées PASSI couvertes
Le référentiel PASSI distingue 5 portées d'audit. Ce cabinet en couvre 5/5.
- Audit d'architecture
- Audit de configuration
- Audit de code
- Audit organisationnel et physique
- Test d'intrusion
Réseau et écosystème
Adhésions à des fédérations professionnelles cybersécurité françaises.
Secteurs d'intervention
Secteurs régulés NIS2 que ce prestataire mentionne servir (estimation depuis sources publiques).
Spécialités cyber
Cas clients publics
Clients cités publiquement par le cabinet sur son site (2 études de cas).
Actualité récente
- 2026·Recrutement clé
Wavestone annonce la promotion de nouveaux Partners et Associate Partners lors de la Spring Promotion 2026.
Source ↗ - 2026·Certification
Wavestone reconnu comme top employer en Suisse et en Pologne par Great Place to Work en 2026.
Source ↗ - 2026·Lancement produit
Wavestone publie son benchmark cyber 2026, révélant un ralentissement des progrès en maturité cyber (55,3% en moyenne) et des écarts sectoriels persistants.
Source ↗ - 2026·Recrutement clé
Wavestone prévoit de recruter plus de 1 000 talents en 2026, porté par une croissance liée à l'IA.
Source ↗
« We apply our full range of capabilities and implement cutting-edge technology. »
Présentation
Wavestone naît le 11 juillet 2016 de la fusion entre le cabinet Solucom (fondé en 1990) et les activités européennes de Kurt Salmon, rapprochement finalisé le 7 janvier 2016. Le cabinet est coté à la Bourse de Paris et fait partie de l'indice CAC Mid & Small. En décembre 2023, Wavestone finalise sa fusion avec Q_PERIOR, cabinet allemand, pour former un cabinet de conseil européen de premier plan ; pour l'exercice 2024/25, le groupe enregistre un chiffre d'affaires consolidé de 943,7 millions d'euros et emploie plus de 6 000 collaborateurs.
Selon le site officiel, le cabinet accompagne les organisations dans des environnements de menaces complexes depuis plus de 30 ans, avec un positionnement de conseil indépendant. Au 31 décembre 2025, Wavestone comptait 6 064 collaborateurs.
Qualifications ANSSI et positionnement
Wavestone a reçu de l'ANSSI le Visa de Sécurité pour la qualification PASSI RGS et PASSI LPM le 1er août 2017 et le 14 novembre 2017 (décisions n°20004 et n°5698) pour ses activités d'audit de processus et sécurité physique, d'audit de configuration des systèmes, d'audit d'architecture, d'audit de code et de tests d'intrusion.
Le cabinet a reçu le 29 juin 2020 la qualification PRIS (Prestataire de Réponse aux Incidents de Sécurité) de l'ANSSI pour ses prestations de réponse à incident de sécurité (décision n°1443), devenant la première structure qualifiée PRIS. Selon le site de Wavestone, le CERT-Wavestone fournit un service d'urgence disponible 24/7/365. En 2025, l'équipe de Réponse à Incident (CERT) a été mobilisée sur plus de 20 crises significatives, touchant des organisations de tailles et de secteurs variés.
Offres et expertises
Le portail cybersécurité du cabinet décrit une approche couvrant la gouvernance, l'audit, la réponse à incident, la sécurité OT/ICS et le SOC managé. Wavestone aide à sécuriser les technologies opérationnelles et produits connectés en intégrant la cybersécurité aux processus d'ingénierie, de production et de maintenance, en garantissant que les systèmes OT sont conformes à la gouvernance globale de sécurité, correctement segmentés et protégés contre les menaces évolutives.
Le programme de formation Cyber-OT, conçu pour offrir une compréhension complète de la cybersécurité des environnements industriels et des technologies opérationnelles (OT), a obtenu le label SecNumedu-FC de l'ANSSI, selon un communiqué de février 2026.
Publications et outils de référence
Wavestone publie plusieurs études annuelles de référence. Le rapport Cyber Benchmark 2024 révèle un niveau de maturité cyber globale de 53%, en hausse de 1%. Pour la 7ème année consécutive, Wavestone en partenariat avec Bpifrance publie son Radar de l'innovation cybersécurité français, dont les résultats ont été dévoilés le 11 juin sur le salon Vivatech.
Le cabinet a développé une base de données propriétaire issue de plus de 100 clients mondiaux, permettant d'évaluer le niveau de cybersécurité d'une organisation par rapport à ses pairs du secteur. Le CyberLab de Wavestone est à la fois une équipe et une plateforme dédiée à l'innovation technique, dont les capacités R&D et outils maison sont reconnus lors de conférences internationales de sécurité (RSAC, Defcon, Blackhat).
Écosystème et engagements
Gérôme Billois, Partner Cybersecurity and Digital Trust chez Wavestone, siège au jury de l'Accélérateur Hexatrust, programme soutenant les startups françaises du numérique souverain.
Wavestone et le Campus Cyber ont développé une méthodologie pour calculer les émissions de gaz à effet de serre liées à la cybersécurité, dans le cadre du groupe de travail « Cyber4Tomorrow », rejoints récemment par l'ADEME. Cette démarche, documentée sur le site, vise à proposer des stratégies de réduction de l'empreinte environnementale de la cybersécurité.
Actualité récente
En août 2024, le lot conseil et formation en cybersécurité des ministères (sauf celui des Armées) a été attribué au français Wavestone et au canadien CGI, selon Le Monde Informatique.
Wavestone observe un redémarrage dynamique début 2026, avec une activité liée à l'IA qui représentera bientôt 14 % de son chiffre d'affaires (contre 8 % l'an dernier) ; le cabinet prévoit d'intégrer plus d'un millier de nouveaux collaborateurs en 2026, annonce d'avril 2026.
Sources de cette fiche
- https://fr.wikipedia.org/wiki/Wavestone
- https://www.wavestone.com/fr/nos-expertises/cybersecurite/
- https://www.wavestone.com/fr/regul-information/amelioration-de-lactivite-au-3eme-trimestre-chiffre-daffaires-en-progression-de-1-sur-9-mois-stable-en-organique/
- https://www.wavestone.com/en/north-america/
- https://www.wavestone.com/fr/nos-expertises/cybersecurite/cert-wavestone/
- https://www.wavestone.com/fr/insight/rapport-cert-wavestone-2025/
- https://www.wavestone.com/fr/news/cyber-ot-formation-labellisee-secnumedu-fc-anssi/
- https://www.wavestone.com/fr/perspectives/cybersecurite/
- https://www.wavestone.com/fr/insight/radar-des-startups-cybersecurite-francaises-2025/
- https://wwa.wavestone.com/en/capabilities/cybersecurity-operational-resilience/
- https://www.hexatrust.com/hexatrust-devoile-les-trois-laureats-de-son-accelerateur-2024/
- https://www.wavestone.com/fr/insight/cyber-sustainability-solutions/
- https://www.wavestone.com/fr/insight/cyber-sustainability-methodologie/
- https://www.lemondeinformatique.fr/actualites/lire-appels-d-offres-sur-la-cybersecurite-des-ministeres-la-souverainete-attendra-94523.html
- https://www.wavestone.com/fr/news/wavestone-recrute-1000-talents-2026/
Alternatives à Wavestone
Autres prestataires qualifiés ANSSI avec un profil proche (mêmes qualifications, mêmes secteurs servis, ou même région).
Questions fréquentes sur Wavestone
En quelle année Wavestone a-t-il été fondé ?
Wavestone a été fondé en 1990, soit 36 ans d'activité dans la cybersécurité, avec un siège à PUTEAUX. Catégorie INSEE : ETI.
Quelles qualifications ANSSI Wavestone détient-il ?
Wavestone est qualifié PASSI, PRIS par l'ANSSI et couvre 5/5 portées PASSI (audit d'architecture, configuration, code, organisationnel, tests d'intrusion). Données issues du catalogue officiel cyber.gouv.fr.
Pour quels secteurs Wavestone intervient-il ?
Wavestone déclare intervenir pour les secteurs secteur-bancaire, infrastructures-marche-financier, energie, administration-publique, transports, sante. Cible typique : Grandes organisations, Secteur financier, Secteurs régulés (DORA, NIS2), Entreprises internationales.
Quels clients publics Wavestone référence-t-il ?
Selon son site officiel, Wavestone cite parmi ses clients : Accor, Helvetia Group.
Comment contacter Wavestone via nis2-pro.fr ?
Vous pouvez remplir le formulaire de mise en relation comparator en haut de cette fiche. Wavestone et 2 cabinets qualifiés ANSSI au profil similaire (mêmes qualifications, secteur, région) vous recontactent sous 48 h. La sélection des alternatives est faite par nis2-pro.fr — annuaire indépendant, aucun lien capitalistique avec les prestataires.
Comment contacter ce prestataire qualifié ANSSI ?
Deux options. Soit vous contactez le prestataire directement via son site officiel listé en haut de la fiche — la voie la plus rapide si vous savez déjà que c'est lui que vous voulez. Soit vous passez par le formulaire nis2-pro : votre demande est transmise à ce prestataire plus 2 cabinets qualifiés ANSSI au profil similaire (mêmes qualifications, secteur d'intervention, région), pour vous permettre de comparer 3 angles commerciaux avant de décider. La sélection des alternatives est faite par nis2-pro selon votre profil — pas par le prestataire de la fiche.
Comment vérifier que la qualification ANSSI de ce prestataire est toujours valide ?
Les qualifications ANSSI sont attribuées pour une durée limitée (généralement 3 ans pour PASSI, PRIS, PDIS) avec audit de surveillance tous les 18 mois. Le catalogue officiel sur cyber.gouv.fr/produits-services-qualifies liste en temps réel les prestataires dont la qualification est active, le périmètre exact (auditeur, code, architecture, configuration, intrusion pour PASSI), et la date d'expiration. nis2-pro synchronise ce catalogue mensuellement. Toute qualification retirée entre deux syncs apparaît sur le site officiel ANSSI en premier.
Quel est le délai pour démarrer une mission avec un prestataire qualifié ?
Compter typiquement 2 à 6 semaines entre premier contact et démarrage opérationnel : 1 semaine de qualification du besoin, 1 à 2 semaines de proposition commerciale et négociation, 1 à 2 semaines de contractualisation et mobilisation des auditeurs qualifiés. Pour une réponse à incident PRIS, les délais sont contractuels et courts (24-72h selon l'engagement signé). Pour les missions PASSI lourdes (audit d'architecture, tests d'intrusion sur SI critique), prévoir 4 à 8 semaines avant kickoff selon la disponibilité des auditeurs qualifiés.
Combien coûte une mission avec un prestataire qualifié ANSSI ?
Les TJM varient typiquement de 1 200 € HT (consultant junior) à 2 500 € HT (auditeur senior PASSI ou expert PRIS). Un audit PASSI complet (architecture + configuration + intrusion) sur un périmètre moyen coûte entre 30 et 80 k€ HT. Un audit de gap NIS2 ciblé sur les 10 mesures de l'article 21 : 15 à 40 k€ HT selon la taille. Une mission de RSSI externalisé : 4 à 8 k€ HT par mois. Les prestataires ne publient pas leurs grilles publiquement — demander un devis cadré sur votre périmètre exact.
Faut-il obligatoirement un prestataire qualifié ANSSI pour la mise en conformité NIS2 ?
Non, la directive NIS2 ne rend pas obligatoire le recours à un prestataire qualifié pour la mise en conformité elle-même. En revanche, pour certains audits réglementaires (OIV au titre de la LPM, opérateurs de services essentiels sur certains référentiels sectoriels), seuls les prestataires PASSI peuvent émettre des rapports opposables à l'ANSSI. Pour la conformité NIS2 standard (article 21, gouvernance, gestion des risques), un prestataire non qualifié peut intervenir — mais la qualification ANSSI reste un gage de compétence et un facilitateur en cas de contrôle ANSSI.
Inclus dans cet annuaire
Ce prestataire figure dans l'annuaire nis2-pro suite à sa présence dans les sources suivantes : catalogue ANSSI. Date d'ajout : 2026-04-01.
Sources d'enrichissement
- www.wavestone.com/fr ↗
- fr.wikipedia.org/wiki/Wavestone ↗
- www.pharow.com/organigramme/wavestone ↗
- wwa.wavestone.com/en/capabilities/cybersecurity-operational-resilience ↗
- Catalogue officiel ANSSI — qualification confirmée au cyber.gouv.fr
Dernière mise à jour : 12 mai 2026 · qualification ANSSI vérifiée, fiche enrichie via recherche web