Proton a partagé une enquête effectuée auprès de 3 000 dirigeants et responsables informatiques dans six pays, dont la France. L'année dernière, si les PME ont bel et bien investi dans leur sécurité, une sur quatre a quand même subi une cyberattaque.
Dans les faits, le problème ne vient pas donc pas d'un manque d'outils, mais de la manière dont ces derniers sont utilisés (ou non) au quotidien et implémentés au sein de l'entreprise.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Investir ne protège pas si les outils restent mal appliqués
92% des PME interrogées ont investi dans des mesures de cybersécurité. La plupart ont coché les cases essentielles : 52% disposent d'un gestionnaire de mots de passe, 46% proposent des formations à leurs employés, 43% ont déployé l'authentification multifacteur.
Pourtant, 26% ont tout de même subi une cyberattaque ou une violation de données en 2025. Le rapport pointe un décalage net entre la possession d'un outil et son intégration réelle dans les habitudes de travail. Les entreprises "s'appuient sur des outils comme preuve de protection", sans vérifier pour autant que ceux-ci sont effectivement utilisés chaque jour. L'erreur est donc, encore une fois, humaine, et c'est ce fossé qui explique pourquoi les incidents persistent malgré les budgets engagés.
L'impact financier reste, lui, bien concret : perte de données (46% des cas), perturbation des opérations (38%), frais juridiques et informatiques (35%), perte de confiance des clients (30%). Les coûts peuvent dépasser 250 000 euros dans les situations les plus graves.
Erreurs humaines : la formation ne suffit pas
39% des PME déclarent avoir subi un cyberincident causé par une erreur humaine. D'après ce rapport, seulement 27% se sentent "complètement confiantes" que leurs employés sauraient reconnaître une tentative de phishing, c'est-à-dire un faux email ou message conçu pour piéger quelqu'un et lui soutirer ses identifiants. Il faut dire qu'avec l'IA et le typosquatting, il devient de plus en plus difficile de discerner un faux message.
Le rapport met aussi en évidence un comportement risqué très répandu : même parmi les PME équipées d'un gestionnaire de mots de passe, beaucoup continuent de partager des identifiants par email (29%), via des documents partagés (28%) ou des applications de messagerie (23%). Ce sont des canaux sans protection particulière, qui exposent des accès sensibles à qui sait les intercepter.
Les données vont toutes dans le même sens : plutôt que d'ajouter des couches de formation, il faut concevoir des systèmes qui rendent la sécurité plus naturelle à adopter au quotidien. Rendre l'authentification multifacteur obligatoire plutôt qu'optionnelle, par exemple, ou simplifier les processus de connexion pour que la bonne pratique devienne aussi le chemin le plus simple. Nous rapportions récemment le cas d'un attaquant ayant compromis une cinquantaine d'entreprises en exploitant des identifiants volés, sur des comptes n'ayant pas activé le MFA.
Cloud et IA : l'adoption sans la confiance
85% des PME utilisent des services cloud pour leur messagerie, leur stockage ou leur travail collaboratif. Mais seulement 14% se disent "complètement confiantes" dans la capacité de leurs fournisseurs à protéger leurs données. Les PME n'ont pas choisi le cloud par confiance envers ces prestataires, mais parce que maintenir une infrastructure interne est tout simplement hors de portée pour la plupart d'entre elles. Or avec les tensions géopolitiques actuelle et les discours autour de la souveraineté européenne, la confiance portée envers les hébergeurs américains a tendance à s'effriter.
24% des répondants estiment ne pas contrôler la façon dont leurs données sont gérées. Les raisons sont multiples : impossibilité de vérifier les pratiques du fournisseur de manière indépendante (43%), visibilité limitée sur l'emplacement géographique des données (35%), ou des contrats jugés insuffisamment protecteurs (33%). Ce dernier point a une dimension réglementaire directe : des données stockées dans certains pays tombent sous des législations étrangères, potentiellement moins protectrices.
Du côté de l'IA, 69% des PME utilisent des outils comme ChatGPT, Claude ou Grammarly, mais 30% d'entre elles n'ont pas confiance en ces plateformes pour protéger leurs données confidentielles. Les personnes interrogées pointent sansurprisese le manque de clarté sur la façon dont les données sont traitées (45% des cas), suivi de la crainte qu'elles soient partagées avec des tiers (35%), par exemple pour de lpublicitété ciblée.
La sécurité comme argument de vente
Le rapport soulève un point moins attendu : 66% des PME considèrent que démontrer une gestion sécurisée des données clients est "crucial" ou "très important" pour décrocher de nouveaux contrats. 76% citent le "partage sécurisé de fichiers" parmi leurs critères de confiance vis-à-vis d'un prestataire.
La cybersécurité n'est donc plus seulement une question de conformité ou de gestion du risque. Elle pèse directement dans la relation commerciale. Les PME capables d'apporter des preuves concrètes (via des audits indépendants, des certifications, le chiffrement des données) se retrouvent en meilleure position que celles qui se contentent d'affirmer être "sécurisées". En octobre 2025, nous rapportions un constat similaire dans le baromètre Cybermalveillance.gouv.fr. Ce dernier montrait que les PME françaises surestiment leur niveau de protection tout en admettant leur impréparation face à une attaque réelle.
