La majorité des TPE-PME restent vulnérables face aux cybermenaces selon le dernier baromètre cyber des TPE-PME, présenté par Cybermalveillance.gouv.fr aux Assises de la cybersécurité. Manque de temps, contraintes budgétaires et déficit d’accompagnement… sont les principales raisons.
“16 % des entreprises interrogées déclarent avoir été victimes d’un ou plusieurs incidents au cours des douze derniers mois” révèle l’étude.Les entreprises interrogées cette année sont plus nombreuses à penser qu’elles sont fortement exposées. Près d’une sur deux le croit (44 % contre 38 % en 2024). La perception de leur protection est également meilleure en 2025, avec 58 % des TPE-PME estimant bénéficier d’un bon ou très bon niveau de protection (39 % l’an passé).
Les investissements dans des solutions de base se généralisent. Elles ont acquis des antivirus (84 %), réalisent des sauvegardes (78 %) et paramètrent des pares-feux (69 %). La moyenne de dispositifs de sécurité installés par entreprise augmente, passant de 3,6 à 4.
Un besoin criant en gestion de crise
Cependant, les entreprises ne se considèrent toujours pas prêtes à affronter une cyberattaque. “Près de six TPE-PME sur dix reconnaissent qu’elles ne sauraient toujours pas évaluer les conséquences d’une cyberattaque. Or cela fait partie des étapes clés à franchir pour décider de se sécuriser et se préparer. Force est de constater que nombre d’entreprises sont encore réticentes à la mise en place de mesures préventives et ne font pas de la cybersécurité une priorité, d’où l’importance de poursuivre la sensibilisation et de les convaincre plus que jamais de se sécuriser en amont”, explique Jérôme Notin, Directeur général de Cybermalveillance.gouv.fr.
Les principales inquiétudes des dirigeants
Les TPE-PME identifient clairement les menaces :
La perte ou le vol de données (94 %)
Les répercussions financières (88 %)
L’interruption d’activité (87 %)
L’atteinte à la réputation (82 %)
Les priorités pour les responsables de la sécurité et du numérique, qu’ils soient internes, mutualisés ou prestataires seront de renforcer la formation et la pédagogie. Malgré les progrès observés, la sensibilisation reste insuffisante.
Par ailleurs, l’offre d’accompagnement pourrait être mieux structurée. En effet, un quart des TPE-PME ne font appel à aucun acteur spécialisé. Les dispositifs publics (ANSSI, Cybermalveillance.gouv.fr, 17Cyber) restent méconnus ou perçus comme complexes. Il apparait nécessaire de clarifier les parcours d’aides avec des référents régionaux, guichets uniques, kits opérationnels et accompagnements personnalisés…
Un manque de pertinence des solutions proposées
Deux entreprises sur trois connaissent les solutions techniques du marché, mais seule une sur deux les juge réellement adaptées. Pourquoi ? Le coût, la complexité, le manque de temps sont les principaux freins. Les prestataires ont ainsi tout intérêt à concevoir des offres “clé en main” et de proposer des solutions d’IA adaptées pour les accompagner.
Faire de la communication de crise un pilier de la résilience
82 % des dirigeants redoutent des conséquences sur leur réputation. Or seuls 24 % disposent d’une procédure de réaction. Les RSSI et DSI doivent collaborer avec des prestataires spécialisés, les directions de la communication et les dirigeants pour préparer les messages, scénarios et outils permettant la gestion de la crise et de maitriser la communication interne et externe dès les premières heures d’une crise. Une bonne préparation à la communication de crise peut réduit significativement les pertes de confiance et la durée de la crise.
Bien que les budgets consacrés à la cybersécurité devraient évoluer à la hausse (15%), ils demeurent généralement faibles atteignant moins de 2 000 €. Or, la cybersécurité des PME conditionne pourtant la résilience économique, comme le montre l’exemple de Jaguar Land Rover et de ses 1 000 entreprises dépendantes du constructeur, mais aussi participe à la souveraineté numérique de tout un écosystème.
