Introduction
La cybersécurité est aujourd’hui un sujet stratégique incontournable pour toutes les entreprises, et particulièrement pour les très petites entreprises (TPE) et petites et moyennes entreprises (PME). En France, le deuxième baromètre national de la maturité cyber des TPE-PME, publié par Cybermalveillance.gouv.fr en partenariat avec la CPME, le MEDEF et l’U2P, met en lumière des chiffres inquiétants qui montrent que, malgré des progrès visibles, beaucoup reste à faire.
Cet article explore en détail les résultats de ce baromètre 2025, expose les forces et les faiblesses des TPE-PME françaises en matière de cyberprotection, examine les principaux défis qu’elles rencontrent, et propose des orientations pour mieux les préparer. Le mot d’ordre : éviter que la menace cyber ne s’impose comme une catastrophe prévisible.
Partie I : Ce que montrent les chiffres récents
1. Amélioration de la perception des risques
Les données du baromètre révèlent un changement important dans la conscience des dirigeants de petites entreprises vis-à-vis des cybermenaces.
- 44 % des dirigeants considèrent désormais que leur entreprise est fortement exposée aux menaces numériques, contre 38 % en 2024.
- Cette prise de conscience se traduit aussi dans une confiance accrue dans les dispositifs de protection : 58 % des entreprises sondées estiment avoir une sécurité « bonne ou très bonne », contre seulement 39 % l’année précédente.
2. Équipements et pratiques techniques : des progrès, mais encore insuffisants
Parmi les signes encourageants :
- En moyenne, chaque entreprise dispose de 4,06 solutions de protection en 2025, contre 3,62 en 2024.
- Parmi ces solutions figurent les antivirus, les sauvegardes, les pare-feux. Par exemple, l’antivirus est présent dans un fort pourcentage d’entreprises, les sauvegardes externes (y compris cloud) également.
- Les bonnes pratiques progressent :
- Une politique de gestion des mots de passe est formalisée dans 51 % des structures (augmentation d’environ 11 points).
- Utilisation de gestionnaires de mots de passe : 46 %.
- Double authentification adoptée par 26 % des entreprises
- Sur les incidents cyber : 16 % des entreprises déclarent avoir subi au moins une attaque au cours des douze derniers mois. Parmi les vecteurs : hameçonnage (phishing), failles de sécurité non corrigées, sites Internet infectés.
3. Les conséquences des cyberattaques
Les attaques ont des effets concrets, parfois graves, même si pour certaines entreprises les dégâts sont partiellement contenus.
- Parmi les entreprises touchées :
- 29 % ont subi une interruption de leur activité (systèmes ou services bloqués).
- 22 % ont eu des données volées.
- 16 % rapportent une perte définitive de données.
- 11 % déclarent des pertes financières directes.
- 15 % signalent une atteinte à leur réputation
- En comparaison avec 2024, certains types de dégâts diminuent légèrement : les interruptions de service, par exemple, sont un peu moins nombreuses.
4. Budget, procédures et accompagnement : toujours des lacunes majeures
Le baromètre met aussi en évidence des faiblesses dans la préparation organisationnelle, le financement, et l’accès à des ressources.
- Budget :
- Trois entreprises sur quatre dépensent moins de 2 000 euros par an pour la cybersécurité.
- Seules 15 % prévoient d’accroître leur budget dédié à la cybersécurité.
- Procédures :
- Beaucoup ne disposent pas de procédure écrite pour réagir en cas d’attaque. 65 % des entreprises n’en ont pas.
- Près de 6 entreprises sur 10 (≈ 60 %) ne savent pas évaluer précisément les conséquences potentielles d’une attaque.
- Accompagnement :
- 39 % des entreprises contactent leur prestataire informatique pour de l’aide ou des conseils en cybersécurité.
- 31 % se tournent vers Cybermalveillance.gouv.fr.
- 19 % vers l’ANSSI.
- 7 % citent 17Cyber, dispositif plus récent.
- Ces chiffres montrent une amélioration par rapport à l’année précédente, mais aussi que près d’un quart des entreprises ne savent pas à qui s’adresser en cas de besoin.
Partie II : Comparaison avec d’autres enquêtes et contexte plus large
Pour bien comprendre ce que révèle le baromètre 2025 de Cybermalveillance, il est utile de le comparer avec d’autres enquêtes récentes, dont le baromètre France Num sur la transformation numérique des TPE-PME, et des études sectorielles plus spécifiques.
1. Baromètre France Num 2025
Le baromètre France Num, piloté par la Direction Générale des Entreprises (DGE), mesure chaque année la maturité numérique des TPE-PME, leurs usages, leurs préoccupations, leurs investissements.
Points saillants :
- En 2025, 52 % des dirigeants expriment des inquiétudes liées au piratage de données.
- 84 % des entreprises disposent désormais d’au moins une solution de cybersécurité. Parmi elles, 96 % ont un antivirus, 82 % une sauvegarde externe (cloud ou autre), 81 % une protection physique des locaux/matériel.
- L’utilisation de l’intelligence artificielle (IA) progresse fortement : 26 % des entreprises interrogées l’utilisent en 2025, le double de ce qu’il était l’année précédente.
L’étude France Num montre donc des tendances parallèles au baromètre Cybermalveillance : une conscience du risque en hausse, une mise en œuvre technique plus fréquente, mais des disparités selon les secteurs, les tailles d’entreprise, et les ressources disponibles.
2. Études sectorielles et défis spécifiques
- L’enquête de la CPME met en évidence l’adaptation progressive mais lente des entreprises à l’IA, tout en soulignant que la cybersécurité reste souvent reléguée au second plan.
- Dans certains secteurs comme la technologie de l’information, les services spécialisés ou la finance, les investissements numériques — y compris en sécurité — sont plus élevés que dans l’agriculture, le BTP, ou l’hébergement-restauration.
3. Tendances internationales et meilleures pratiques inspirantes
Lorsque l’on regarde au-delà de la France, les défis des TPE/PME en cybersécurité sont similaires dans beaucoup de pays développés :
- Manque de budget dédié, manque de compétences internes, priorisation insuffisante de la prévention.
- Adoption progressive des meilleures pratiques : authentification forte, sauvegarde externe, sensibilisation des collaborateurs, audits réguliers.
- Soutien gouvernemental ou institutionnel variable, selon les régulations, les incitations fiscales ou les subventions disponibles.
Partie III : Les freins structurels et les risques majeurs
Malgré les progrès, plusieurs limites structurelles menacent la capacité des TPE-PME à se protéger efficacement.
1. Freins internes : compétences, temps, priorisation
- Manque de compétences techniques : 63 % des entreprises citent ce facteur comme un obstacle principal.
- Contraintes budgétaires : 61 % des dirigeants estiment ne pas disposer de moyens financiers suffisants.
- Manque de temps : 59 % déclarent qu’ils n’ont pas le temps nécessaire pour se préoccuper pleinement de la cybersécurité.
- Priorités mal établies : 28 % des dirigeants considèrent que la cybersécurité n’est pas une priorité — ce taux a augmenté de 11 points depuis 2024.
Ces obstacles combinés génèrent un cercle vicieux : sans compétence ni temps, le budget alloué reste faible ; sans budget ni procédures établies, les entreprises restent vulnérables, et les incidents s’avèrent plus coûteux.
2. Absence ou insuffisance de procédures
- Peu de TPE-PME possèdent une procédure écrite de réponse aux incidents. 65 % n’en disposent pas.
- Très peu savent précisément ce qu’une attaque pourrait leur coûter, en termes d’interruption d’activité, de perte de données ou de réputation. Cette incapacité à évaluer les conséquences réduit la motivation à investir dans des mesures préventives.
3. Vulnérabilités techniques persistantes
- Hameçonnage est identifié comme le vecteur numéro un des cyberattaques déclarées : 43 % des incidents signalés.
- Failles de sécurité non corrigées : 18 % des entreprises rapportent que ces failles ont joué un rôle dans des incidents.
- Sites Internet vérolés (consultation de sites infectés) : intervenant pour environ 11 % des incidents.
4. Risques de conformité réglementaire et ignorance des cadres légaux
- La directive NIS2 (Network and Information Security directive) de l’Union européenne impose de nouvelles obligations pour certaines entreprises, notamment dans les secteurs critiques (énergie, santé, transports, numérique, etc.). Beaucoup d’entreprises concernées ne savent pas que cette directive peut les imposer à se conformer.
- Ignorance des obligations : seuls 9 % des entreprises se savent concernées et travaillent déjà à leur mise en conformité.
Ne pas se conformer peut exposer à des sanctions ou à des responsabilités accrues, sur fond de jurisprudence qui tend à considérer le non-respect des normes de sécurité comme une faute en cas de dommages.
5. Risques économiques, réputationnels, opérationnels
- L’interruption d’activité peut coûter très cher, particulièrement pour des petites structures où la marge de sécurité est faible.
- Le vol ou la perte de données sensibles peut entraîner perte de confiance des clients, obligations légales (RGPD), risques de sanctions financières.
- La réputation, souvent sous-estimée, peut être fortement endommagée, avec des effets durables.
- Les pertes financières directes (fraudes, rançons) bien qu’elles concernent un pourcentage moindre, peuvent être catastrophiques pour une TPE.
Partie IV : Ce qu’il faut faire – outils, stratégies et orientations
Pour éviter que les risques ne deviennent irréversibles, voici des pistes d’amélioration, à différents niveaux : entreprise, secteur, et politique publique.
1. Stratégies internes pour les TPE-PME
a) Sensibilisation et formation
- Former les dirigeants et salariés aux risques numériques, aux techniques de phishing, aux bonnes pratiques de gestion des mots de passe.
- Intégrer des modules de sensibilisation réguliers : ne pas laisser la sécurité comme un projet ponctuel.
- Encourager une culture de la cybersécurité : chaque salarié doit comprendre son rôle.
b) Mise en place de procédures écrites
- Créer un plan de réponse aux incidents : définir qui fait quoi en cas d’attaque.
- Simuler des scénarios (ex : cyberattaque, vol de données, rançongiciel) pour tester la réactivité de l’équipe ou du prestataire.
- Évaluer régulièrement les conséquences potentielles (financières, légales, réputationnelles) d’une attaque pour disposer d’une vision claire.
c) Outils et protections techniques
- Adopter des mesures de sécurité de base : antivirus, pare-feux, sauvegardes externes, authentification forte (double authentification).
- Corriger rapidement les failles de sécurité (mises à jour régulières, patch management).
- Sécuriser les accès, limiter les droits utilisateurs, avoir des mots de passe complexes ou gestionnaires de mots de passe.
d) Budgétisation cohérente
- Allouer un budget spécifique à la cybersécurité, même s’il est modeste, mais le rendre visible dans les comptes de l’entreprise.
- Prioriser les investissements selon les risques identifiés : certains outils ou services (ex : sauvegarde, restauration, authentification forte) peuvent avoir un rapport coût/efficacité élevé.
- Rechercher des aides publiques, subventions, dispositifs fiscaux ou fonds régionaux dédiés à la sécurité numérique.
e) Choix d’accompagnement externe
- Identifier les prestataires fiables : ceux labellisés, ceux ayant des références dans le secteur.
- Utiliser les ressources institutionnelles : Cybermalveillance.gouv.fr, ANSSI, dispositifs publics.
- S’appuyer sur des partenariats sectoriels ou des réseaux professionnels, pour mutualiser certaines bonnes pratiques ou coûts.
2. Le rôle des pouvoirs publics et des institutions
- Renforcer les dispositifs d’accompagnement pour les TPE-PME : formation, information, subventions.
- Promouvoir la labellisation ou des certifications abordables pour les petites structures (prestataires validés, etc.).
- Clarifier le cadre réglementaire, informer sur les obligations de conformité (NIS2, RGPD, etc.), éventuellement proposer des périodes de transition.
- Encourager l’accès à des outils simples, des guides, des kits de démarrage pour les TPE.
- Sensibiliser dès la création de l’entreprise : intégrer la cybersécurité dans les parcours de formation ou les aides aux créateurs d’entreprises.
3. Priorités pour les secteurs particulièrement vulnérables
Certains secteurs sont structurellement plus exposés (agriculture, BTP, hébergement-restauration, transports, santé, etc.). Ils ont souvent moins de ressources numériques, de compétences internes, et moins de visibilité sur les obligations réglementaires.
- Adapter les offres de services de cybersécurité à leur réalité : outils simples, peu coûteux, avec accompagnement.
- Encourager la mutualisation : groupements professionnels, coopératives, ou syndicats qui proposent des services communs de sécurité numérique.
- Sensibiliser les clients ou usagers finaux : dans secteurs comme l’agriculture ou l’hôtellerie, les utilisateurs ou visiteurs finaux peuvent provoquer des vecteurs (réseaux Wi-Fi publics, accès externes, etc.)
Partie V : Plan d’action concret
Voici un plan d’action en plusieurs étapes que les TPE-PME peuvent suivre pour passer d’une posture de vulnérabilité à une logique de prévention et de résilience.
| Étape | Objectif | Actions concrètes |
|---|---|---|
| Étape 1 – Diagnostic et prise de conscience | Identifier les vulnérabilités et sensibiliser tous les niveaux | Réaliser un bilan simple : identifier les actifs critiques, les accès externes, les utilisateurs privilégiés, l’état des mises à jour. Organiser une session de sensibilisation pour dirigeants et collaborateurs. |
| Étape 2 – Priorisation des risques | Ne pas essayer de tout faire immédiatement mais attaquer les plus graves | Classer les risques selon leur impact potentiel (financier, réputationnel, interruption d’activité). Faire un plan d’action pluriannuel (par exemple : mois 1‑3 : sauvegardes externes + mise à jour des systèmes ; mois 4‑6 : authentification forte, politique mots de passe). |
| Étape 3 – Mise en place des protections de base | Se doter des outils essentiels | Installer antivirus, pare-feux, sauvegardes régulières et externes, gestionnaire de mots de passe, double authentification. Vérifier les accès des utilisateurs. |
| Étape 4 – Formalisation des procédures | Préparer la réponse aux incidents | Rédiger un plan de réponse aux incidents. Définir les rôles (qui alerte, qui isole, qui restaure). Prévoir les contacts externes (prestataires, assurance, autorités compétentes). Exécuter exercices ou simulations. |
| Étape 5 – Renforcement et veille continue | Maintenir la sécurité dans le temps | Mettre en place des revues régulières (audit, mise à jour, correction de failles). Surveiller l’actualité des menaces. Sensibiliser de manière périodique. Vérifier la conformité réglementaire. |
| Étape 6 – Accompagnement externe et ressources | Tirer parti de l’écosystème | Utiliser les ressources publiques : Cybermalveillance.gouv.fr, ANSSI, dispositifs régionaux. Choisir des prestataires qualifiés ou labellisés. Si possible, participer à des formations collectives ou à des mutualisations. |
Conclusion
Le baromètre 2025 de la maturité cyber des TPE-PME françaises révèle une double réalité :
- D’une part, des progrès clairs : meilleure conscience des risques, adoption accrue de protections techniques, montée de l’accompagnement et des initiatives publiques.
- D’autre part, des fragilités importantes : budgets souvent insuffisants, procédures peu formalisées, compétences manquantes, ignorance des obligations réglementaires pour beaucoup, et une part non négligeable de dirigeants qui ne font pas de la cybersécurité une priorité.
Le constat est donc sans appel : nous sommes face à une bombe à retardement. Si les petites entreprises ne renforcent pas rapidement leur niveau de protection, si elles ne passent pas de la prise de conscience à l’action structurée, les conséquences peuvent être désastreuses — non seulement pour elles, mais pour tout l’écosystème économique.