Le nouveau baromètre de Cybermalveillance.gouv.fr montre que si les petites entreprises françaises estiment être bien protégées en 2025, elles sont une immense majorité à admettre leur impréparation face aux cyberattaques.
La deuxième édition du baromètre de la maturité cyber des TPE-PME, dévoilée ce mardi 7 octobre 2025 par Cybermalveillance.gouv.fr, en dit long sur la sécurité informatique très paradoxale des acteurs économiques, le tout à la veille des Assises de la cybersécurité. Les entreprises montrent certes une conscience accrue des risques, et elles renforcent même leurs équipements de protection. Pourtant, la réalité est inquiétante, puisque huit TPE-PME sur dix admettent ne pas être suffisamment armées face aux cyberattaques. Un paradoxe révélateur du fossé entre l'intention et l'action.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une meilleure perception des menaces cyber chez les petites entreprises
Commençons par le positif. Nous savions déjà que la cybersécurité des petites et moyennes entreprises se faisait à deux vitesses. L'enquête OpinionWay conduite auprès 588 entreprises de moins de 250 salariés pour Cybermalveillance.gouv.fr est d'abord le témoin d'un réveil salutaire. La perception du danger évolue, avec 44% des dirigeants qui considèrent désormais leur structure fortement exposée aux menaces numériques, c'est six points de plus sur un an. En parallèle, la confiance dans les protections mises en place a bondi. Plus de la moitié des répondants (58%) évaluent leur niveau de sécurité comme satisfaisant, contre moins de quatre sur dix l'année précédente.
On retrouve cette dynamique dans les équipements déployés. Chaque entreprise dispose en moyenne de 4,06 solutions de protection, contre 3,62 l'année précédente. Au-delà du trio classique antivirus-sauvegardes-pare-feu, les bonnes pratiques gagnent du terrain. Les politiques internes qui encadrent la création et le renouvellement des mots de passe progressent de onze points, pour atteindre 51% des structures. Les gestionnaires spécialisés, qui permettent de stocker de manière sécurisée les identifiants, équipent désormais 46% des entreprises. Quant à la double authentification, elle conquiert 26% du panel.
Cette montée en compétence porte ses fruits dans l'analyse des incidents. Lorsqu'une attaque survient, sept victimes sur dix parviennent à en identifier la source, contre une minorité auparavant. Le phishing ou hameçonnage concentre 43% des cas signalés, c'est presque le double par rapport à 2024. À noter que les failles de sécurité non corrigées et la consultation de sites piégés complètent le podium des vecteurs d'infection les plus courants.
Le petit patron français cumule souvent toutes les casquettes, y compris celle de responsable informatique
Cette prise de conscience a nécessité des efforts budgétaires. Près d'une entreprise sur cinq a justement augmenté son enveloppe informatique globale en 2025, contre une sur huit l'exercice précédent. Concernant spécifiquement la cybersécurité, 15% prévoient d'investir davantage, soit 5 points de plus qu'en 2024. Ces investissements supplémentaires sont surtout dédiés à l'acquisition de logiciels et solutions techniques, au détriment des actions de sensibilisation humaine, pourtant cruciales.
Malgré cette progression, les budgets restent dérisoires. Trois entreprises sur quatre dépensent moins de 2 000 euros par an pour leur cybersécurité, sans compter les éventuels salaires de personnes dédiées. Pour contextualiser, cette somme représente à peine le coût de deux ou trois logiciels basiques. Cette faiblesse des investissements s'explique évidemment par la taille minuscule des structures concernées, puisque 95% des répondants comptent moins de dix salariés. Dans ces toutes petites entreprises, le dirigeant doit jongler entre le commercial, la comptabilité, la gestion des stocks... et la cybersécurité. Sans formation spécifique ni temps disponible, il gère l'informatique « à la débrouille », faute de moyens pour embaucher un expert.
Côté accompagnement, le bilan reste insuffisant. Quand elles cherchent de l'aide en cybersécurité, 39% des entreprises contactent d'abord leur prestataire informatique habituel. La plateforme Cybermalveillance.gouv.fr arrive en deuxième position avec 31% de mentions, c'est dix points de plus en un an. L'ANSSI, l'agence nationale spécialisée dans la sécurité informatique, complète le trio de tête avec 19%. Mais le problème, c'est qu'un quart des entreprises ne sait tout simplement pas vers qui se tourner.
Des failles béantes qui persistent dangereusement
Huit entreprises sur dix, soit 80%, admettent ne pas être prêtes en cas de cyberattaque. Le constat est terrible, mais dans le détail, 49% reconnaissent ouvertement ce manque de préparation, tandis que 31% ne savent même pas si elles sont vulnérables ou non actuellement. Pire encore, 58% des dirigeants seraient incapables d'estimer les conséquences d'un piratage informatique sur leur activité. Auraient-ils perdu quelques heures de production ? Plusieurs jours ? Des données clients sensibles ? Ils n'en ont aucune idée. Le comble, c'est que 65% ne disposent d'aucune procédure écrite expliquant quoi faire si une attaque survient.
Cette impréparation a des conséquences bien réelles. Sur l'année écoulée, 16% des entreprises interrogées ont subi au moins une cyberattaque. Parmi ces victimes, les dégâts se répartissent ainsi : 29% ont connu des interruptions de leur activité (systèmes informatiques bloqués, impossibilité de travailler), 22% ont vu leurs données volées (fichiers clients, documents internes), et 16% ont perdu définitivement des informations. Au-delà des aspects techniques, 15% des entreprises piratées déplorent une atteinte à leur réputation, tandis que 11% comptabilisent des pertes d'argent directes (virements frauduleux, rançons payées).
Les freins s'accumulent et s'aggravent les uns les autres. Des entreprises qui ne se sentent pas prêtes, elles sont 63% à reconnaître leur manque de compétences techniques sur le sujet. Elles ne savent tout simplement pas comment s'y prendre. Viennent ensuite les problèmes d'argent pour 61%. Enfin, le manque de temps est cité par 59% des dirigeants déjà débordés par leurs tâches quotidiennes. Mais le chiffre le plus inquiétant reste celui-ci : 28% des patrons estiment que la cybersécurité n'est pas une priorité pour leur entreprise, un pourcentage qui bondit de onze points par rapport à 2024. Autrement dit, de plus en plus de dirigeants mettent ce sujet au second plan, malgré la multiplication des attaques. Une vraie bombe à retardement.
Le dernier point noir est l'ignorance des nouvelles règles européennes. La directive NIS2, texte qui oblige désormais certaines entreprises à renforcer leur cybersécurité sous peine de sanctions, reste totalement inconnue de 64% des dirigeants interrogés. Même si elle ne concerne pas toutes les TPE-PME, mais uniquement celles qui opèrent dans des secteurs jugés critiques (santé, énergie, transports, numérique...), seules 9% des entreprises se savent concernées et travaillent à se mettre en règle. Jérôme Notin, le directeur général de Cybermalveillance.gouv.fr, constate que « beaucoup d'entreprises restent réticentes aux mesures préventives et ne font pas de la cybersécurité une priorité. Il faut absolument poursuivre la sensibilisation pour les convaincre de se protéger avant qu'il ne soit trop tard. » De sages paroles, qu'on ne demande qu'à encourager.
