Présentés par l'éditeur européen de cybersécurité ESET et le Clusif, l'association de référence des professionnels de la cybersécurité en France, les résultats d'une enquête menée auprès de 6 000 entreprises dans le monde, dont 500 en France, dressent le portrait de PME désormais alertes sur le risque cyber. Mais cette prise de conscience ne s'accompagne pas toujours des bonnes décisions en matière de protection.

Paris, 25 juin. La capitale suffoque sous un ressenti de 45 degrés, mais rien n’a dissuadé les participants de se réunir pour ce déjeuner de presse consacré à la cybersécurité des PME. Deux ans après une première enquête du Clusif consacrée aux PME, ESET revient sur le sujet avec un regard différent. En 2024, les travaux du Clusif s’intéressaient à la perception des collaborateurs. Ce nouveau sondage donne cette fois la parole aux dirigeants et aux référents informatiques d’entreprises de 5 à 250 salariés, un échantillon où les fonctions dédiées à la cybersécurité restent encore rares. Dans ce périmètre, aucun répondant ne s’est déclaré RSSI ou spécialiste de la cybersécurité, signe que le sujet reste porté par des profils généralistes plutôt que par des fonctions dédiées.

Une prise de conscience des enjeux cyber qui ne dissipe pas les illusions

Les résultats de l’étude menée par ESET montrent que les PME ne se considèrent plus comme des cibles trop modestes pour attirer les cybercriminels. Près d’une entreprise interrogée sur deux déclare avoir subi une cyberattaque au cours des douze derniers mois. Les impacts redoutés concernent avant tout l’interruption d’activité, la perte de données et les conséquences financières, preuve que le risque est désormais perçu comme un enjeu business autant que technique.

Pour autant, près de sept répondants sur dix estiment que leur organisation est capable de faire face à un incident. « Le paradoxe, c’est que les entreprises savent qu’elles peuvent être attaquées, beaucoup l’ont déjà été, mais elles restent assez confiantes sur leur capacité à repartir et à être résilientes », observe Benoît Grünemwald, porte-parole d’ESET France. Selon lui, ce sentiment de sécurité s’explique en partie par une perception incomplète des menaces réellement rencontrées sur le terrain : les entreprises citent en premier lieu les logiciels malveillants dopés à l’IA, alors que le hameçonnage, l’exploitation de vulnérabilités et la mauvaise gestion des accès restent, dans les faits, les vecteurs d’attaque les plus fréquemment observés.

Des investissements qui ne ciblent pas toujours les bons risques

Ces travaux montrent que les entreprises françaises sont prêtes à poursuivre leurs efforts. Elles sont 42 % à prévoir une hausse de leur budget cybersécurité, tandis que 48 % comptent le maintenir à son niveau actuel. Dans le même temps, le budget reste le principal frein évoqué pour renforcer leur protection.

Les futurs investissements porteront en priorité sur la sensibilisation des collaborateurs, la sécurité des environnements cloud et les services de supervision. Pour Benoît Grünemwald, cette orientation va dans le bon sens, mais elle ne répond pas à tous les défis : « Si l’on ne sait pas comment on se fait attaquer, on ne va pas mettre les moyens dans les bonnes protections », résume-t-il. Derrière les inquiétudes suscitées par l’intelligence artificielle, les attaques continuent en effet de s’appuyer principalement sur le phishing, le vol d’identifiants ou l’exploitation de vulnérabilités insuffisamment corrigées.

L’IA et la souveraineté gagnent du terrain

Cette étude met également en évidence l’émergence de nouveaux sujets de gouvernance. Les dirigeants interrogés considèrent majoritairement que l’intelligence artificielle crée de nouveaux risques, même si peu d’entre eux ont déjà mis en place un véritable cadre d’usage au sein de leur organisation. « Il y a urgence à adapter l’encadrement », insiste le porte-parole d’ESET France, tout en reconnaissant que l’IA générative s’est imposée massivement en seulement deux ans, ce qui laisse encore peu de recul aux petites structures pour en cerner les usages.

La souveraineté numérique s’impose également dans les réflexions. De nombreuses PME déclarent privilégier les fournisseurs européens et accorder davantage d’importance à la localisation de leurs données. Un intérêt qui devra néanmoins se traduire dans les choix technologiques, alors que les contraintes budgétaires et les environnements cloud déjà en place continuent de peser dans les arbitrages. « La souveraineté est un sujet qui ne se refermera pas rapidement », conclut notre expert.

Au-delà des chiffres, cette photographie révèle surtout une évolution des mentalités. Les PME françaises savent désormais qu’elles sont des cibles et que la cybersécurité conditionne la continuité de leur activité. Le défi consiste désormais à faire coïncider cette prise de conscience avec une meilleure compréhension des menaces et des priorités de protection.

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.