Le budget n’est plus l’excuse. La formation progresse, l’IA s’installe sous surveillance, le MDR grignote du terrain. Et pourtant, 44 % des entreprises continuent d’encaisser des incidents évitables, une proportion qui frôle une sur deux dans les structures de 500 à 1 000 endpoints. C’est le tableau que dresse le dernier baromètre d’ESET consacré aux PME françaises, mené auprès de 500 décideurs cyber entre février et mars 2026.
Le budget n’est plus le problème, l’exécution si
Fini le temps où l’on pouvait mettre les manquements sur le dos des finances. 80 % des organisations françaises jugent désormais leur budget cybersécurité suffisant, voire plus que suffisant, et 42 % s’apprêtent même à l’augmenter l’an prochain. L’argent circule. Le résultat, lui, reste en retrait : 44 % des entreprises ont subi au moins un incident sur les douze derniers mois, un chiffre qui grimpe à 49 % chez les structures de 500 à 1 000 endpoints. Les portes d’entrée n’ont, elles, rien d’exotique. Hameçonnage (31 %), vulnérabilités non corrigées (24 %) et gestion défaillante des accès (20 %) trustent le podium des causes.
Pour Benoit Grunemwald, directeur des affaires publiques d’ESET France, le déni n’est plus de mise.
« Les entreprises françaises ne sont plus dans le déni face aux risques. Elles savent que la survenance d’un incident d’origine numérique est fort probable »
Benoit Grunemwald, directeur des affaires publiques d’ESET France
Reste l’arbitrage, plus délicat : entre cases à cocher réglementaires et résilience réellement opérationnelle, sous la pression conjointe des budgets et de technologies toujours plus imbriquées.
Le véritable défi se déplace désormais vers l’efficacité des solutions déployées. Les principaux obstacles cités sont la complexité et les difficultés d’intégration (21 %), ainsi que la pénurie de compétences (20 %). Suivre le rythme des menaces devient un métier à part entière : 35 % des équipes peinent à s’informer sur les dernières attaques, 33 % sur les technologies de cybersécurité telles que l’IA.
L’IA s’installe, sous conditions
Deux tiers des PME françaises (66 %) utilisent déjà l’intelligence artificielle dans leurs activités. Mais la France ne signe pas un chèque en blanc à la technologie : 72 % des répondants considèrent qu’elle génère de nouveaux risques de sécurité, et 62 % ont déjà posé un cadre pour restreindre les usages non approuvés. Vitesse d’adoption et volonté de contrôle avancent donc de concert, ce qui n’empêche pas les malwares dopés à l’IA de s’imposer comme la menace la plus redoutée (36 %), devant le vol d’identifiants (34 %) et le phishing ciblé (23 %).
Cette vigilance technologique s’accompagne d’un pari sur l’humain. 87 % des décideurs jugent la formation à la cybersécurité importante ou critique, et c’est justement le premier poste d’investissement prévu pour les douze prochains mois, cité par 41 % des organisations. Les simulations de phishing gagnent également du terrain, avec 45 % des entreprises qui déclarent déjà y avoir recours. Une conviction que Michal Jankech, vice-président chargé des grandes entreprises, des PME et des MSP chez ESET, résume sans détour dans son édito : « Il n’y a qu’une seule solution : devenir plus résilient, en commençant par évaluer son propre niveau de préparation. »
Détection, souveraineté : les deux nouveaux réflexes
Sur le terrain de la détection, l’externalisation reste minoritaire, 14 % seulement des entreprises confient tout ou partie de leur cybersécurité à un tiers, mais elle se professionnalise. Parmi celles qui franchissent le pas, 58 % choisissent un service de type MDR, gage de détection et de réponse continues sans avoir à muscler les équipes internes. Un choix stratégique plutôt qu’un aveu de faiblesse, alors que seules 41 % des investigations post-incident se bouclent en moins de deux semaines en France, la majorité s’étalant jusqu’à six semaines.
La souveraineté, enfin, s’invite désormais dans les grilles d’arbitrage. 83 % des PME vérifient la localisation des serveurs qui hébergent leurs données, 79 % regardent le pays d’origine du fournisseur, et 77 % affichent une préférence pour des solutions développées par des entreprises européennes. C’est, plus largement, le constat que dresse Benoit Grunemwald pour conclure l’étude : « Les entreprises françaises ne se demandent plus si elles seront ciblées, mais comment elles pourront résister lorsqu’une attaque surviendra. » La maturité progresse. La marche vers une résilience réellement pilotée, elle, ne fait que commencer.




