Cybersécurité des PME : 92 % se pensaient armées, 1 sur 4 a pourtant été attaquée

PME, Une

Une enquête menée par Proton auprès de 3 000 dirigeants et responsables informatiques dans six pays, dont la France, révèle un paradoxe inquiétant : malgré des investissements massifs en cybersécurité, 26 % des PME ont subi une cyberattaque en 2025. En cause, moins l’absence d’outils que leur mauvaise intégration dans les pratiques quotidiennes.

Des outils présents, une protection illusoire

Les chiffres pourraient rassurer au premier regard. Selon l’étude publiée par Proton, 92 % des petites et moyennes entreprises interrogées affirment avoir investi dans des solutions de cybersécurité. Gestionnaires de mots de passe, authentification multifacteur, formations internes : les dispositifs de base sont largement déployés.

Dans le détail, 52 % des PME disposent d’un gestionnaire de mots de passe, 46 % proposent des sessions de sensibilisation à leurs collaborateurs et 43 % ont mis en place l’authentification multifacteur (MFA). Sur le papier, la majorité coche donc les cases jugées essentielles.

Pourtant, la réalité est plus brutale : 26 % des entreprises interrogées ont subi une cyberattaque ou une violation de données au cours de l’année 2025. Le décalage est net entre l’investissement consenti et l’efficacité réelle des mesures.

Le rapport souligne un problème structurel : les outils sont souvent utilisés comme gage symbolique de protection, sans s’assurer qu’ils sont réellement intégrés aux habitudes de travail. Installer une solution ne garantit pas qu’elle soit activement utilisée ni correctement paramétrée. La cybersécurité devient alors une ligne budgétaire plus qu’un réflexe organisationnel.

Des conséquences financières lourdes

Les impacts des incidents ne se limitent pas à une simple frayeur technique. Dans 46 % des cas, les attaques ont entraîné une perte de données. 38 % des entreprises ont subi des perturbations opérationnelles, ralentissant voire bloquant leur activité. Les frais juridiques et informatiques ont concerné 35 % des victimes, tandis que 30 % évoquent une perte de confiance de leurs clients.

Dans les situations les plus graves, la facture peut dépasser 250 000 euros. Pour une PME, un tel montant peut fragiliser durablement la trésorerie, voire compromettre la pérennité de l’entreprise.

Le constat est clair : investir ne suffit pas si les pratiques quotidiennes ne suivent pas.

L’erreur humaine au cœur des failles

Près de 39 % des PME déclarent avoir subi un incident lié à une erreur humaine. La formation, pourtant largement adoptée, ne semble pas combler le fossé. Seules 27 % des entreprises se disent totalement confiantes dans la capacité de leurs employés à identifier une tentative de phishing.

Or, ces attaques deviennent de plus en plus sophistiquées. L’intelligence artificielle permet de produire des messages crédibles, exempts de fautes, personnalisés. Les techniques comme le typosquatting – qui consistent à imiter des noms de domaine légitimes – compliquent encore la détection.

Plus préoccupant encore : même parmi les PME équipées d’un gestionnaire de mots de passe, les mauvaises pratiques persistent. 29 % continuent de partager des identifiants par email, 28 % via des documents partagés et 23 % par messagerie instantanée. Autant de canaux vulnérables qui exposent des accès sensibles.

Le rapport plaide pour une approche plus structurelle : plutôt que multiplier les formations, il faut concevoir des systèmes où la sécurité devient le chemin par défaut. Rendre le MFA obligatoire plutôt qu’optionnel, simplifier les procédures d’authentification, automatiser les bonnes pratiques. Les experts rappellent d’ailleurs qu’un attaquant a récemment compromis une cinquantaine d’entreprises en exploitant des comptes dont le MFA n’était pas activé.

Cloud : usage massif, confiance limitée

Le recours au cloud est désormais la norme : 85 % des PME utilisent des services en ligne pour la messagerie, le stockage ou la collaboration. Pourtant, seules 14 % se disent totalement confiantes dans la capacité de leurs fournisseurs à protéger leurs données.

Le choix du cloud relève souvent d’une contrainte économique. Maintenir une infrastructure interne sécurisée est hors de portée pour beaucoup de structures. Mais cette dépendance s’accompagne d’un sentiment de perte de contrôle.

Ainsi, 24 % des répondants estiment ne pas maîtriser la gestion de leurs données. Les raisons évoquées sont multiples : impossibilité de vérifier indépendamment les pratiques des prestataires (43 %), manque de visibilité sur la localisation des données (35 %), contrats jugés insuffisamment protecteurs (33 %).

La question de la souveraineté numérique, accentuée par les tensions géopolitiques, nourrit également les doutes vis-à-vis de certains hébergeurs étrangers.

L’IA, nouvel outil, nouvelles inquiétudes

L’adoption des outils d’intelligence artificielle est rapide : 69 % des PME utilisent des plateformes comme ChatGPT, Claude ou Grammarly. Mais 30 % déclarent ne pas faire confiance à ces services pour protéger leurs informations sensibles.

Les inquiétudes portent principalement sur le manque de transparence quant au traitement des données (45 %) et la crainte d’un partage avec des tiers (35 %), notamment à des fins publicitaires.

La généralisation de ces outils sans cadre clair accroît la surface d’exposition des données confidentielles.

La cybersécurité devient un argument commercial

Au-delà du risque technique, la cybersécurité s’impose désormais comme un levier stratégique. 66 % des PME considèrent que prouver une gestion sécurisée des données clients est crucial ou très important pour remporter de nouveaux contrats. 76 % citent le partage sécurisé de fichiers parmi leurs critères de confiance envers un prestataire.

La sécurité n’est plus seulement un enjeu défensif : elle influence directement la relation commerciale. Les entreprises capables de fournir des preuves tangibles — audits indépendants, certifications, chiffrement systématique — disposent d’un avantage concurrentiel.

Un constat similaire apparaissait déjà dans le baromètre de Cybermalveillance.gouv.fr en octobre 2025 : les PME françaises ont tendance à surestimer leur niveau de protection tout en reconnaissant leur manque de préparation face à une attaque réelle.

L’étude de Proton met ainsi en lumière une réalité persistante : la cybersécurité n’est pas qu’une question d’outillage. Elle repose sur la cohérence entre technologie, organisation et comportement humain. Sans cette articulation, même les entreprises les mieux équipées restent vulnérables.

Laisser un commentaire ,

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.