Newsletters

Cybersécurité des PME : vulnérables face aux hackers et en retard sur la conformité

Alice Vitard
Clavier
Ayrus Hill/Unsplash
Clavier

A la Une

La cybersécurité des PME reste à deux vitesses. Alors qu'elles représentent l'essentiel du tissu économique, les petites et moyennes entreprises sont en retard en matière de cybersécurité. C'est le constat dressé par un sondage mené par l'entreprise américaine WatchGuard auprès de 123 prestataires de services managés en France. 

Les rançongiciels représentent la cyberattaque la plus redoutée par les PME, suivis des fuites de données et des usurpations d'identité. Les consignes ne sont pas encore totalement respectées puisqu'une PME sur quatre aurait déjà payé la rançon réclamée par les hackers. 

Autre constat alarmant : la mise en conformité des PME est loin d'être une réalité. 80% d'entre elles ne respectent pas totalement le Règlement général sur la protection des données (RGPD) et 86% ignorent la directive européenne NIS 2, dont la loi de transposition est en cours d'adoption en France.

Les MSP sont unanimes : le manque de moyens financiers, l'absence de compétences internes et la méconaissance des enjeux freinent les investissements en matière de cybersécurité. 

L'essentiel à savoir

Apple alerte des journalistes, militants et politiques visés par des logiciels espions sophistiqués. La firme à la pomme a envoyé plusieurs campagnes de notifications de menace en 2025, destinées à prévenir les utilisateurs ciblés par des logiciels espions, tels que Pegasus, Graphite ou Predator. Il s'agit de journalistes, de militants, d'avocats ou encore de personnalités politiques. 

SentinelOne rachète Observo AI pour améliorer l'exploitation des données de sécurité. Le géant américain de la cybersécurité mise sur l'expertise de la jeune pousse Observo AI pour repenser l'alimentation des centres de sécurité. Grâce à son approche basée sur l'IA, elle permet de filtrer et d'enrichir les informations en temps réel, afin d'accélérer la détection des menaces et de réduire les coûts.

Le groupe de luxe Kering victime d'une cyberattaque revendiquée par ShinyHunters. Le deuxième poids lourd français du luxe après LVMH a reconnu avoir constaté en juin que des pirates avaient temporairement accédé à ses systèmes informatiques, exposant ainsi les données personnelles de clients ayant fait des achats auprès de ses marques, comme Balenciaga, Gucci ou Alexander McQueen.

Le secteur public place le cloud souverain au cœur de sa stratégie numérique. Une enquête réalisée auprès de 257 décideurs du numérique du secteur public confirme l'essor des architectures hybrides et la montée en puissance du cloud souverain pour les usages critiques tels que l'IA générative.

Les jeunes adultes, plus exposés aux cyberattaques et moins préparés que leurs aînés. Alors que la population générale affiche une meilleure connaissance des risques liés à l'usage des outils numériques et adopte progressivement de bons réflexes, les jeunes adultes se distinguent par une plus grande vulnérabilité. Hyperconnectés mais moins préparés, les 18-34 ans apparaissent comme les principales victimes des cyberattaques.

"Cap ou pas cap" : Les filières cyber et cloud appellent à un sursaut pour la souveraineté. A l'occasion des Universités d'été de la cyber et du cloud de confiance, Jean-Noël de Galzain, le président d'Hexatrust, a appelé les acteurs français et européens du numérique à passer à l'échelle. Il plaide pour transformer le cercle vicieux de la dépendance aux technologies étrangères en cercle vertueux d'autonomie stratégique

Alerte cyber : La fuite de données de la semaine

Fuite massive de données en Suède. Une attaque informatique contre le fournisseur suédois Miljodata a entraîné l'exposition sur le dark net de données personnelles touchant 1,5 millions de Suédois (15% de la population). L'incident, révélé mi-septembre 2025, touche des centaines de municipalités, des autorités régionales et des entreprises. Les fichiers publiés contiennent noms, adresses, numéros de téléphone ainsi que des numéros d'identification nationaux. 

C'est le groupe Datacarry qui revendique cette attaque. Il exigeait le paiement d'une rançon d'environ 150 000 euros. A défaut, il menace de publier l'intégralité des informations dérobées. C'est désormais chose faite. Une enquête judiciaire est en cours. 

La levée de fonds de la semaine 

Glilot Capital lève 500 millions de dollars et mise sur la cyber. Le fonds israélien vient de boucler une opération d'un montant de 500 millions de dollars (422 millions d'euros environ), portant ses actifs sous gestion à plus d'un milliard de dollars. Le capital sera réparti entre son fonds Seed et dans Glilot Plus, afin de soutenir des start-up présentes dans le secteur de la cybersécurité. 

Le focus réglementaire et conformité

Comment concilier les obligations du règlement sur les services numériques (Digital Services Act) et celles issues du Règlement général sur la protection des données ? C'est la question sur laquelle s'est penchée le Comité européen de la protection des données dans un document récemment publié

L'organisme chargé de veiller à l'application harmonisée du RGPD rappelle plusieurs règles essentielles, telles que la minimisation des données. Point essentiel : les plateformes chargées d'appliquer le DSA ne doivent pas exiger plus de données qu'en impose le texte. Par ailleurs, le Comité a indiqué que les mécanismes de vérification de l'âge ne devaient pas conduire à des collectes excessives de données, comme l'usage systématique des documents d'identité. 

Le coin opérationnel 

La Cybersecurity and Infrastructure Security Agency (CISA) veut renforcer la qualité et la transparence du référentiel mondial des vulnérabilités (CVE), en modernisant l'infrastructure et en diversifiant la gouvernance. L'agence américaine insiste sur un principe central : les données CVE doivent rester un bien public gratuit et accessible, garantissant la confiance et l'innovation dans l'écosystème cyber. 

Pour rappel, une CVE est un identifiant unique attribué à une vulnérabilité connue. En pratique, lorsqu'une faille est trouvée, un numéro d'identifiant est demandé auprès d'une CNA (CVE Numbering Authority). Plus de 460 CNA sont répertoriés dans le monde, répartis entre des éditeurs, des CERT et des acteurs publics. 

Les plus lus : Cybersécurité
  1. Cybersécurité : L'Anssi lance l'enregistrement des entités soumises à NIS 2 pour préparer leur mise en conformité
  2. Digital Omnibus : Faut-il craindre la réforme qui bouscule le RGPD, l'encadrement de l'IA et la cybersécurité ?
  3. Google Cloud va fournir une infrastructure "air-gapped" à l'OTAN pour plusieurs millions de dollars
  4. Cyberattaque : Colis Privé signale un accès non autorisé à ses systèmes ayant exposé des données clients
  5. Cybersécurité : 55% des entreprises françaises de 50 à 500 salariés ont recours à des outils de Threat Intelligence
  6. A l'Urssaf, le service Pajemploi victime d'un vol de données concernant "jusqu'à 1,2 million de salariés"
Newsletter L'Usine Digitale
Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.
Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes…
Cherche talents numériques
Emploi numérique
Ingénieur planning H/F
ASSYSTEM - 17/04/2026 - CDI - Versailles, IDF, France
Architecte Technique H/F
ASSYSTEM - 17/04/2026 - CDI - Courbevoie, IDF, France
Tous les postes disponibles
Les webinars
Tout voir
Tech
Projets tech et carrière : découvrez le quotidien de deux experts chez Accenture
31 mars 2026 - 12h00
45 min
102 inscrit(s)
Contenu proposé par ACCENTURE
Voir le replay
Tech
[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités
18 novembre 2025 - 10h00
45 min
188 inscrit(s)
Contenu proposé par Salesforce
Voir le replay
Marketing
Performance et IA : les nouvelles priorités digitales du secteur des médias
5 juin 2025 - 09h00
45 min
402 inscrit(s)
Contenu proposé par Salesforce
Voir le replay