Les petites et moyennes entreprises françaises (PME) continuent de faire face à de fortes vulnérabilités en matière de sécurité informatique. C'est ce que révèle un sondage mené par WatchGuard, entreprise américaine de cybersécurité, auprès de 123 prestataires de services managés (MSP), acteurs en première ligne auprès de leurs clients.
Les PME passent à l'action une fois attaquées
"On retrouve exactement le constat que nous avions fait à l'époque, qui a l'air partagé par les MSP, c'est que la PME est un monde à deux vitesses, commente Pascal Le Digol, directeur France de WatchGuard. Il y a celles qui sont très mal protégées, qui ne sont pas sensibilisées et qui n'ont pas fait les efforts, et puis celles qui, pour beaucoup, ont subis une attaque et ont investi."
D'après les MSP interrogés, les rançongiciels représentent la menace la plus redoutée par les PME, suivis des fuites de données ainsi que les usurpations d'identités et les fraudes au président. Dans ce cadre, l'impact des cyberattaques est particulièrement critique pour les structures de petite taille. "Renault peut se permettre d'avoir une usine à l'arrêt pendant des semaines et s'en sortir, donne Pascal Le Digol comme exemple. Mais une PME qui perd sa production et ses clients faute de trésorerie risque d'y laisser sa peau".
Une PME sur 4 aurait déjà payé une rançon
Ce qui expliquerait l'un des chiffres marquants du sondage : une PME sur quatre aurait déjà payé une rançon pour récupérer les données chiffrées lors d'une attaque par ransomware. "Une sur quatre, c'est énorme. Cela montre qu'entre la théorie - de ne jamais payer - et la réalité économique, les dirigeants arbitrent. Si payer 5000 euros peut leur permettre de repartir, beaucoup le feront", analyse le directeur. Or, rappelons que rien ne garantit que les hackers délivrent la clé de chiffrement promise en l'échange de la somme d'argent. C'est la raison pour laquelle la doctrine majoritaire recommande de ne jamais payer la rançon.
De plus, les MSP sont unanimes : le manque de moyens financiers, l'absence de compétences internes et la faible compréhension des enjeux freinent les investissements. "On demande à des PME de jauger un niveau de cybersécurité qu'elles n'ont pas la compétence d'évaluer, explique-t-il. Elles se reposent sur leurs prestataires, mais cela génère des niveaux de protection très disparates."
Des lacunes en matière de conformité
Autre point : les PME ne sont pas conformes aux réglementations en vigueur, 80% d'entre elles ne le sont pas au Règlement général sur la protection des données (RGPD). Mais, d'après l'expert, l'enjeu dépasse la seule mise en conformité. "Si l'article 32 du RGPD, qui impose des mesures de sécurité adaptées, était appliqué, il n'y aurait pas autant de cyberattaques en France. Mais tant que les dirigeants d'entreprise ne seront pas formés, le problème restera. C'est l'un des apports de la directive NIS 2 : instaurer une culture cyber au niveau des décideurs."
Malgré ce tableau préoccupant, le rôle des MSP apparaît comme un levier de progrès. "Le sondage de 2024 montrait que 97% des PME estimaient avoir confiance en leur MSP. C'est un signe très positif", souligne le directeur. Puis, il ajoute : "la cyber ne doit plus être vue comme un coût mais comme un investissement".
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
