NicoElNino - stock.adobe.com

Actualites

Les PME et la cybersécurité : attention, fragile

Les PME constituent 90 % de l'économie française. Si une prise de conscience de leur fragilité cyber a eu lieu, leur vulnérabilité structurelle ne peut se résoudre d’un coup de baguette magique.

par
Publié le: 03 déc. 2025

La fragilité intrinsèque et la vulnérabilité des PME aux cyberattaques est un sujet critique depuis longtemps. « La complexité des menaces, le coût, le manque de personnel et de temps, sont autant d’arguments pour justifier un moindre intérêt porté à la sécurité informatique », écrivait déjà Guillaume Poupard, en 2017, alors qu'il pilotait l'Agence nationale de la sécurité des systèmes d'information (Anssi) et annonçait la naissance de cybermalveillance.gouv.fr.

Huit ans plus tard, le constat n'a guère changé : les PME restent vulnérables, même si elles sont sans doute plus conscientes de la menace. Or, l'impact d'une menace, lorsqu'elle se matérialise, varie notamment selon la taille et la solidité financière de l'organisation affectée, mais pas uniquement. Par ricochet, c'est aussi tout un éco-système, qui peut être affecté. Même s'il ne s'agit pas d'une PME, cette potentielle dimension systémique a été récemment illustrée par Jaguar-Land Rover (JLR), outre-Manche.

Mais les actes de cyber-malveillance auxquelles sont confrontées les PME sont parfois d'une banalité déconcertante. Comme l’arnaque au faux support technique qui conduira un malheureux collaborateur vers un numéro de support technique totalement bidon où la vraie voix d’un faux technicien referme le piège en rassurant l’utilisateur et en lui dictant des commandes… « Ce n’est pas une attaque élaborée, mais elle est efficace », explique un prestataire technique : « elle peut permettre de dérober entre quelques centaines… et quelques milliers d’euros ». A multiplier par le nombre de ceux qui se seront faits piéger…. 

Faire un maximum de victimes en un minimum de temps

« Ca fait partie des techniques d'attaques actuelles. Le but recherché n’est pas de cibler, mais de ratisser large, pour faire un maximum de victimes en un minimum de temps. C’est malheureusement très rentable », soupire Jérôme Notin, directeur général de cybermalveillance.gouv.fr. 

L’étude de mesure de notoriété et de maturité en matière de cybersécurité auprès des TPE/ PME réalisée par Opinion Way en juillet 2025 auprès de 288 entreprises de moins de 250 salariés pour l'institution donne à cet égard des informations très intéressantes. Et peut-être d'autant plus que 92 % des  entreprises répondantes en juillet 2025 comptent moins de 10 salariés.

Selon ce baromètre, « 16 % des répondants ont été victimes d’un ou plusieurs incidents, avec comme mode d'attaque du hameçonnage à 43 %, en nette augmentation par rapport à 2024 (24%) ; une faille des sécurité non corrigée à 18 %, le téléchargement d’un virus à 13 %, la consultation d’un site Internet vérolé à 11 % ».

Plus préoccupant, mais significatif de l’ampleur du travail de sensibilisation et de renfort dont ces PME ont besoin face aux menaces de cybersécurité, 30 % ne savent pas expliquer la cause des attaques. Et 26 % des entreprises interrogées n’ont aucune politique der gestion de la sécurité informatique. 

Ces attaques ont comme conséquences parfois dramatiques une interruption des activités et services à 29 %; un vol de données à 22 %, une destruction de données pour 16 %, une atteinte a l’image de l’entreprise pour 11 % et tout de même une perte financière pour 11 %.

Or, c’est l’organisation intrinsèque de ces PME qui les rend vulnérables. C‘est le plus souvent le chef d’entreprise - d’autant qu'il est pénalement responsable en cas d’attaque informatique si des données sont dérobées ou des dommages sont causés à des tiers - qui s’en charge… en plus de tout le reste. Pour 80 % des entreprises interrogées, c’est lui qui est responsable de la sécurité informatique de l’entreprise, et la secrétaire de direction dans 5 % des cas. Un salarié dédié est chargé de l’informatique dans à peine 4 % des cas… 

Un budget informatique minimal et surtout minimaliste 

Les chiffres parlent d’eux mêmes : les postes informatiques sont peu nombreux et, surtout, sont souvent des terminaux personnels des salariés de l’entreprise : 78 % des entreprises répondantes ont moins de 5 postes ; 91 % des entreprises ont des salariés qui utilisent leur téléphone personnel, 43 % leur ordinateur personnel, 27 % une messagerie personnelle, et 23 % une clé USB personnelle.

Le budget informatique des entreprises concernées est de moins de 5000 euros pour 78 % des entreprises, et de moins de 1000 euros pour 44 % des entreprises. Le budget consacré a la sécurité informatique est de moins ce 2000 euros pour 77 % des entreprises, et 92 % des entreprises répondantes ne prévoient pas de recruter des ressources humaines en cybersécurité l’an prochain. 

La protection de ces terminaux, pour la plupart propriété personnelle du salarié de l'entreprise donc, lui est aussi, du coup, déléguée, sans jamais aucune vraie supervision ni contrôle de ce qui est fait. Encore moins de politique de cybersécurité coordonnée et organisée !

A ce stade, ces entreprises apparaissent comme de véritables « passoires ». Manquant cruellement de protection adaptée et de capacités défensive, elles offrent aux pirates une surface d’attaque inégalée et facile à piéger… 49 % estiment ne pas être préparées en cas d’attaque et 65 % n’ont pas de procédure de réaction… 

Et pourtant… 

Ces chiffres pourraient donner le sentiment d’une situation quasi désespérée : ce n’est pourtant pas le cas. Car, de plus en plus exposées, les entreprises sont aussi bien plus sensibilisées qu’avant au sujet et commencent à prendre, sinon le taureau par les cornes – ce qu’il faudrait pourtant faire – au moins le sujet très au sérieux. 58 % estiment  avoir un bon niveau de protection (mais 42 % faible ou ne sachant pas l’évaluer…).

Bonne nouvelle, 9 entreprises sur 10 ont installé un outil de cybersécurité (un anti-virus le plus souvent), des sauvegardes,  (87%), un pare-feu (69%). Plus de la moitié (51 %) ont mis en place une politique de mots de passe, 56 % un gestionnaire de mots de passe, et, fait significatif, une double authentification pour se connecter au réseau pour une entreprise sur 5.

Ce qui suggère, bien au-delà des chiffres alarmants, une réelle prise en compte avec pragmatisme et maturité du risque cyber par les PME.  En clair, elles sont au plus près et au plus concret des solutions d’« hygiène informatique » prônées depuis des années : un anti-virus à jour, des sauvegardes régulières, un pare-feu, une politique de mots de passe.

Et la sensibilisation, pierre angulaire d’une vraie prévention, et donc réduction – des risques cyber ? Les intentions sont là, mais elles restent le fait des structures de 50 salariés et plus, qui peuvent prendre un recul que n’arrivent pas à prendre les TPE, toujours le nez sur le guidon et rivé sur l’opérationnel. 49 % des entreprises de 59 salariés en plus ont un budget alloué à la sensibilisation des utilisateurs et ont prévu d’augmenter ce poste en 2025. 

De manière générale, 91 % des entreprises ont prévu d’investir dans des solutions techniques de cybersécurité, et 36 % sur la sensibilisation des collaborateurs.

Parmi ces réponses, « la mutualisation constitue souvent une bonne alternative », souligne Benoît Grünemwald, directeur ders affaires publiques de l’anti-virus Eset. Car, si on manque de moyens, les mutualiser peut être une bonne approche. Certaines CCI en région, notamment à Brest, ont ainsi proposé des moyens mutualisés aux différentes communes avec lesquelles elles travaillent pour gérer leur cybersécurité, les municipalités étant aussi un terrain de chasse fleurissant des attaquants.

«  En fait », précise Jérôme Notin, « on essaie, via ce type d’analyse, d’évaluer au plus près les risques pour les PME et de mettre en place les solutions les plus adaptées : des MOOC de sensibilisation pour les collaborateurs, des contacts via des prestataires labellisés et, depuis décembre 2024, un numéro dédié, le 17cyber, qui, à l’instar du 17, permet à une victime d’une attaque cyber de déclencher une réponse et une mobilisation d’urgence de la part de toutes les forces de l’ordre présentes dans son environnement immédiat ». Ce numéro sert aussi a signaler des attaques.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)