Les PME et ETI, piliers de l’économie française
Les petites et moyennes entreprises ainsi que les entreprises de taille intermédiaire jouent un rôle central dans l’économie du pays, générant environ 900 milliards d’euros, ce qui représente près de la moitié de la valeur ajoutée nationale. En incluant les microentreprises, elles emploient 71,9% des travailleurs en équivalent temps plein, formant ainsi le fondement de l’activité économique en France.
Cependant, c’est précisément ce fondement qui se trouve en première ligne face aux menaces cybernétiques, souvent sans en mesurer pleinement le danger ou les conséquences. L’impact d’une cyberattaque sur une entreprise est direct et se manifeste par un ralentissement de l’activité, une désorganisation interne et, dans certains cas, l’arrêt de certaines opérations, affectant immédiatement l’entreprise concernée.
Malgré cela, de nombreuses entreprises ont du mal à percevoir l’ampleur de ces risques. Elles pensent souvent être trop petites ou trop peu visibles pour attirer l’attention des cybercriminels. Cette perception est erronée et crée une division nette entre les entreprises. D’un côté, celles qui ont pris conscience du risque et qui renforcent leur sécurité ; de l’autre, celles qui demeurent passives avec une protection minimale. Les investissements en sécurité sont en hausse mais bénéficient principalement à celles qui sont déjà alertes. Ainsi, la vulnérabilité des PME et des ETI se transforme en un enjeu économique critique.
Une cybersécurité à deux vitesses : une fracture évidente
Dans la moitié des PME et ETI françaises, l’équipement de base en matière de cybersécurité se résume souvent à un simple pare-feu et un antivirus, à condition qu’ils soient mis à jour et bien configurés. Cela révèle un niveau de préparation insuffisant face aux cybermenaces, bien loin de ce que l’on pourrait espérer.
Le défi n’est pas seulement technique. De nombreuses entreprises continuent de traiter la cybersécurité comme un sujet périphérique, bien que les risques ne cessent de croître. Selon une étude que nous avons menée avec Opinion Way, 49% des PME employant de 100 à 249 salariés ont été victimes d’une cyberattaque, et 29% d’entre elles ont subi un impact direct sur leur activité, entraînant des perturbations ou des arrêts d’exploitation.
Il est fréquent que les entreprises ne prennent conscience du danger qu’après avoir été attaquées, lorsque la menace devient concrète. Cela crée une dynamique à deux vitesses entre les entreprises proactives et celles qui subissent. Le fossé s’élargit, d’autant plus que les investissements se concentrent sur les entreprises déjà conscientes du risque, laissant les autres vulnérables et souvent ignorantes de leur situation.
Des attaques opportunistes devenues systématiques
Les PME ne sont généralement pas ciblées spécifiquement : elles sont atteintes. Les cyberattaquants exploitent les cibles les plus accessibles avec une méthodologie implacable : tester, pénétrer, extorquer. Ce processus est devenu industriel et est d’autant plus efficace que certaines entreprises restent mal protégées.
L’utilisation croissante de l’intelligence artificielle favorise l’émergence d’attaques plus sophistiquées et ciblées. Le phishing évolue vers des formes plus élaborées comme le spear phishing, où les messages frauduleux sont personnalisés pour leurs cibles, rendant leur détection plus complexe. Les entreprises les moins préparées subissent souvent des conséquences sévères. Sur les trois dernières années, elles sont en décalage avec l’évolution de la menace.
Néanmoins, on assiste à un réveil et à des changements significatifs. La disponibilité de technologies autrefois réservées aux grandes entreprises commence à répondre aux besoins structurels des PME-ETI en termes de ressources. Les services gérés de sécurité, tels que les solutions MDR (Managed Detection and Response), gagnent en popularité et commencent à établir le niveau de protection nécessaire.
De plus, la prise de conscience sur la nécessité de sécuriser les environnements de travail mobiles regagne de l’importance, tout comme l’approche Zero Trust, qui préconise de ne faire confiance à aucun utilisateur, application ou périphérique. Ces initiatives sont de plus en plus intégrées alors que les entreprises commencent à établir les bases de leur protection.
Ce réveil, bien que tardif, ne peut se faire sans le soutien des partenaires et des fournisseurs de services gérés, qui jouent un rôle essentiel mais doivent également renforcer leurs compétences en cybersécurité. Avec un taux de confiance de 97% selon notre étude avec Opinion Way, ils accompagnent les entreprises, clarifient les enjeux techniques et contribuent directement à l’amélioration du niveau de sécurité, un aspect crucial à une époque où la réglementation devient également plus stricte.
La dynamique est lancée, mais elle reste insuffisante face à la rapidité avec laquelle la menace évolue. Le défi dépasse maintenant celui de la cybersécurité seule. En effet, lorsque une PME est compromise, ce n’est pas seulement son activité qui est menacée, mais aussi l’économie dans son ensemble.
