Cyberattaques plus de 70% des PME ont une cybersécurité en dessous des normes ANSSI : Les PME françaises sont devenues les cibles prioritaires des cybercriminels. Alors que les grands groupes ont massivement investi dans leur protection, les structures de taille moyenne restent souvent démunies face à des attaques de plus en plus sophistiquées. Le baromètre 2025 réalisé par Docaposte et Cyblex Consulting auprès de 518 décideurs met en lumière un paradoxe préoccupant : 74 % des répondants estiment fournir des efforts suffisants en matière de cybersécurité, alors que dans les faits, 74 % d’entre eux se situent en dessous du niveau « Essentiel » défini par l’ANSSI.
Un décalage dangereux entre perception et réalité
Si 55 % des organisations interrogées ont augmenté leur budget cybersécurité et qu’un tiers appliquent désormais les recommandations de l’ANSSI (contre 16 % l’année précédente), la progression reste insuffisante. Plus inquiétant : la part d’organisations ne disposant d’aucune ressource dédiée à la cybersécurité a progressé de 8 points en 2025, atteignant 12 %. Un chiffre qui traduit la difficulté des entreprises de taille moyenne à structurer leur défense.
Ce décalage a des conséquences directes. La cybercriminalité s’est industrialisée : des outils d’attaque accessibles via l’intelligence artificielle permettent à des non-experts de mener des opérations sophistiquées. Les conséquences d’une cyberattaque vont bien au-delà de la perte financière immédiate : paralysie de l’activité pendant plusieurs jours, vol de données clients ou fournisseurs, atteinte durable à la réputation et impact humain sur les équipes mobilisées en urgence.
La cybersécurité comme critère de sélection commercial
Les grands donneurs d’ordre ont identifié leur talon d’Achille : leurs fournisseurs. Les PME moins protégées sont devenues la porte d’entrée privilégiée des cybercriminels pour atteindre des cibles stratégiques par rebond. En conséquence, les appels d’offres intègrent désormais des exigences de cybersécurité strictes. Une PME incapable de prouver son niveau de protection se trouve de facto exclue de certains marchés.
Cette pression commerciale se double d’un durcissement réglementaire. La directive européenne NIS2, en cours de transposition en droit français, va contraindre des milliers d’entreprises supplémentaires à renforcer leurs dispositifs de sécurité. Les investisseurs, banquiers et clients sensibles à la protection des données scrutent désormais le niveau de cybersécurité de leurs partenaires.
Les obligations au regard du RGPD
Pour les PME qui traitent des données personnelles, les obligations sont claires. L’article 32 du RGPD impose de mettre en place des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Ne pas investir dans la cybersécurité lorsqu’on traite des données clients, salariés ou fournisseurs constitue un manquement potentiel à cette obligation.
En cas de violation de données consécutive à une cyberattaque, le responsable de traitement doit notifier la CNIL dans un délai de 72 heures (article 33) et informer les personnes concernées si le risque est élevé (article 34). La CNIL peut prononcer des sanctions allant jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros.
Par où commencer pour une PME ?
La première étape consiste à réaliser un diagnostic de sécurité pour identifier les vulnérabilités : configurations obsolètes, accès mal sécurisés, données critiques non protégées. Ce diagnostic doit adopter le point de vue d’un attaquant pour repérer ce qu’un cybercriminel pourrait exploiter.
La sensibilisation des équipes est tout aussi essentielle. La majorité des cyberattaques commencent par un e-mail frauduleux sur lequel un collaborateur clique. Des campagnes de tests de phishing régulières et des fiches réflexes permettent de réduire considérablement ce risque. Le remplacement des antivirus classiques par des solutions de détection comportementale (EDR), la mise en place de sauvegardes automatisées et le renforcement de la politique de mots de passe complètent le dispositif minimal de protection.
Des offres de cybersécurité packagées, adaptées aux budgets des PME, rendent désormais accessibles des technologies autrefois réservées aux grands groupes. Pour les PME françaises, se protéger n’est plus une option technique : c’est une condition de pérennité commerciale et réglementaire.
Source : Wavestone – Benchmark de la cybersécurité en France (édition 2026)
Questions fréquentes
Pourquoi 74 % des PME françaises sont-elles sous le niveau de sécurité ANSSI ?
La plupart des PME manquent de ressources dédiées à la cybersécurité, n’ont pas de RSSI et considèrent encore la sécurité informatique comme un coût plutôt qu’un investissement. L’absence de budget dédié et de sensibilisation des équipes explique ce retard.
Quelles sont les premières mesures de cybersécurité pour une PME ?
Activez l’authentification multifactorielle sur tous les accès, mettez en place des sauvegardes automatiques testées régulièrement, formez vos collaborateurs au phishing et appliquez les mises à jour de sécurité sans délai.
La directive NIS2 concerne-t-elle les PME ?
Oui, NIS2 élargit son périmètre aux entreprises de plus de 50 salariés ou réalisant plus de 10 millions d’euros de chiffre d’affaires dans les secteurs couverts. De nombreuses PME sous-traitantes d’entités essentielles sont également concernées.
