PME et ETI : comment structurer une politique de cybersécurité ?

Malgré des ressources contraintes et l'absence de référentiels adaptés, les PME et ETI placent la cybersécurité au cœur de leurs priorités stratégiques. En posant les bons fondamentaux - cartographie des actifs, formation continue des équipes, gouvernance claire et allocation raisonnée des moyens -, ces entreprises peuvent bâtir une approche pragmatique de leur sécurité informatique.

Selon une étude menée par IDC auprès de PME réparties dans le monde entier, le principal défi que les petites et moyennes entreprises doivent relever pour atteindre leurs objectifs commerciaux est de « mettre en œuvre de nouvelles technologies en toute sécurité » (47 % des répondants). Cela signifie que les PME investissent dans la technologie, mais qu’elles continuent de faire de la sécurité une de leurs priorités. 50 % des PME citent d’ailleurs l’amélioration de la cybersécurité comme l’une des principales priorités d’investissement technologique pour leur activité au cours de l’année 2025.

Qui plus est, 23 % des entreprises employant entre 500 et 999 collaborateurs déclarent que la sécurité et la conformité représentent les domaines les moins touchés en 2025 par les coupes budgétaires (réponse n°1 sur 11 options possibles), selon l’enquête « IDC Future Enterprise Resiliency and Spending ». Cet investissement se justifie pleinement : parmi les organisations victimes d’une cyberattaque, 62 % déclarent avoir subi une perturbation de leurs activités pendant plusieurs jours, ce temps d’indisponibilité pouvant aller jusqu’à une semaine dans certains cas.

Pourtant, malgré ces intentions claires et ces investissements croissants, une large majorité de PME avouent ne pas savoir par où commencer, ni comment structurer une politique de cybersécurité efficace. L’absence de référentiel adapté à leur taille, le manque de ressources humaines qualifiées, ainsi qu’une méconnaissance des bonnes pratiques à appliquer au quotidien freinent considérablement la mise en œuvre de dispositifs réellement opérationnels. Faute d’une stratégie lisible, ces entreprises peinent à transformer leur volonté en plan d’action concret, se limitant souvent à des solutions ponctuelles ou à des achats de logiciels sans véritable cohérence globale.

Piloter la cybersécurité par la connaissance de son parc

Avant toute chose, une politique de cybersécurité pragmatique commence par la connaissance approfondie de son environnement numérique. Beaucoup de PME ou ETI sous-estiment en effet encore largement l’importance de la cartographie de leurs actifs. Un inventaire exhaustif des serveurs, ordinateurs, logiciels, objets connectés et flux réseau reste pourtant une condition sine qua non de toute stratégie défensive cohérente.

« La première étape consiste à identifier précisément ce que l’entreprise souhaite sécuriser. Cela implique de disposer d’une connaissance exhaustive du parc machine connecté au réseau. L’objectif est de réaliser un inventaire complet de l’ensemble des actifs numériques, qu’il s’agisse de postes de travail, de serveurs, d’objets connectés ou de systèmes industriels. Or, dans la réalité, de nombreuses petites et moyennes entreprises ne disposent pas de cette visibilité, souvent par manque de ressources ou parce que ces équipements se sont accumulés au fil du temps sans réelle gouvernance », déclare Stéphane Brovadan, Superviseur équipe SE francophone chez Bitdefender.

Cette méconnaissance du parc expose les PME et ETI à de nombreuses vulnérabilités non identifiées. Ces failles peuvent par exemple venir du cabinet comptable de l’entreprise qui accède à distance à une partie du réseau, de ports ouverts pour faciliter certains échanges de données, ou encore d’objets connectés non répertoriés. C’est pourquoi l’évaluation des points de contact, internes comme externes, reste un préalable incontournable à toute protection sérieuse.

Une vigilance collective à construire dans la durée

Mais la technologie, à elle seule, ne peut garantir une cybersécurité efficace. L’humain, fréquemment perçu comme le maillon faible dans les dispositifs de protection des PME et ETI, en est pourtant l’un des piliers essentiels. En sensibilisant, formant et responsabilisant les équipes, les entreprises peuvent anticiper de nombreux risques avant même qu’ils n’atteignent les systèmes. L’enjeu est de faire émerger une vigilance collective, ancrée dans les comportements quotidiens et partagée par l’ensemble des collaborateurs.

Selon une étude menée fin 2024 par le Clusif, les salariés français – bien que largement conscients des risques de cybersécurité – font état d’un fort besoin d’information et de formation continue. 55 % des répondants déclarent ainsi ne pas avoir été formés aux enjeux liés à la cybersécurité, alors qu’ils sont 67 % à penser que cette formation leur serait utile. « La cybersécurité n’est pas l’affaire d’une seule personne, mais le travail de tous. Il existe des dizaines, voire des centaines d’exemples où les violations sont liées à une erreur ou une méconnaissance humaine », rappelle Stéphane Brovadan.

Cet effort de formation ne doit pas être ponctuel, mais inscrit dans le « temps long ». Une politique de cybersécurité efficace repose en effet sur une logique d’actualisation continue. Les menaces évoluent, les modes opératoires des attaquants se transforment et les outils techniques eux-mêmes changent rapidement. Dans ce contexte, former une fois pour toutes revient à laisser les collaborateurs sans défense face aux menaces futures. La sensibilisation doit donc être régulière, adaptée aux profils métiers et étroitement intégrée aux processus RH. Les modules de formation, tout comme les tests de simulation (phishing, gestion de crise), doivent être renouvelés chaque année, et la communication interne doit se structurer autour des bons réflexes.

Des responsabilités partagées, un budget ciblé

Une fois la cartographie établie et le plan de formation conçu, il est ensuite nécessaire de clarifier les rôles de chacun dans l’organisation. Dans une PME, les moyens sont souvent contraints, mais cela n’exclut pas la nécessité de structurer la politique de cybersécurité. Définir qui fait quoi, désigner des référents pour chaque domaine clé, documenter les procédures : autant d’actions qui évitent la panique le jour où une attaque survient.

« Entre la direction générale, le DSI / RSSI s’il existe et les éventuels prestataires en charge de la cybersécurité, les rôles doivent être répartis de façon explicite. Chaque acteur doit connaître précisément l’étendue de ses responsabilités au sein de la structure. Cela concerne le choix et le déploiement de solutions, la mise en place de sauvegardes, la gestion d’une éventuelle cybercrise », souligne Stéphane Brovadan.

Bien entendu, la question du budget consacré à la cybersécurité est un sujet sensible au sein des PME et ETI, dont les moyens sont par définition contraints. L’arbitrage entre investissements humains et technologiques dépend en réalité du niveau de risque, mais aussi de la maturité de l’entreprise. « Sur un budget de 100 % dédié à la cybersécurité, au moins 50 % doivent être dédiés à la formation des équipes. Le reste est consacré aux solutions technologiques, que ce soit sur la partie détection, prévention et sauvegarde », propose-t-il.