Secu

Cybersécurité : les TPE-PME plus lucides, mais encore désarmées

Par Thierry Derouet, publié le 07 octobre 2025

Présenté aux Assises de la Sécurité 2025, le deuxième baromètre national de la maturité cyber des TPE-PME, réalisé par OpinionWay pour Cybermalveillance.gouv.fr, dresse un constat sans détour : la conscience du risque s’installe, mais la préparation reste lacunaire. Si les dirigeants semblent enfin mesurer la menace, leurs entreprises n’ont pas encore franchi le cap de la sécurisation effective.

Elles se sentent concernées, mais pas encore prêtes. C’est en substance ce que révèle le baromètre 2025, mené auprès de 588 entreprises de moins de 250 salariés en France métropolitaine et dans les régions d’Outre-mer. Les chiffres traduisent une progression mesurable : 44 % des dirigeants estiment désormais leur entreprise fortement exposée aux cyberattaques (contre 38 % en 2024), et 58 % jugent bénéficier d’un bon ou très bon niveau de protection — ils n’étaient que 39 % un an plus tôt.

« Les TPE-PME sont un peu plus conscientes des risques cyber, et leur niveau de protection progresse », constate Franck Gicquel, directeur des partenariats de Cybermalveillance.gouv.fr. Mais il nuance aussitôt : « Cela ne veut pas dire qu’elles sont effectivement mieux protégées ; disons qu’elles commencent à se poser les bonnes questions. »

Cybersécurité TPE-PME. Une lucidité croissante. En un an, la part des dirigeants jugeant leur entreprise “fortement exposée” à la menace cyber est passée de 38 % à 44 %. La conscience du risque s’installe, mais la préparation reste en retard.
Une lucidité croissante. En un an, la part des dirigeants jugeant leur entreprise “fortement exposée” à la menace cyber est passée de 38 % à 44 %. La conscience du risque s’installe, mais la préparation reste en retard.

L’étude confirme une amélioration du socle de protection : 84 % des entreprises disposent d’un antivirus, 78 % de sauvegardes, 69 % d’un pare-feu. Le nombre moyen de dispositifs installés progresse de 3,6 à 4,1 en un an, soutenu par la mise en place plus fréquente de politiques de mots de passe (+11 points), de gestionnaires de mots de passe (+8 points) et de solutions de double authentification (+6 points).

Cybersécurité TPE-PME. Des réflexes techniques en hausse. Antivirus (84 %), sauvegardes (78 %) et pare-feu (69 %) restent le trio de tête, mais la double authentification ne concerne encore qu’un quart des entreprises.
Des réflexes techniques en hausse. Antivirus (84 %), sauvegardes (78 %) et pare-feu (69 %) restent le trio de tête, mais la double authentification ne concerne encore qu’un quart des entreprises.

Mais la réalité du terrain reste fragile : 80 % des dirigeants assurent encore seuls la fonction de responsable informatique, et 65 % des entreprises ne disposent d’aucun collaborateur dédié à ces sujets.

La préparation reste le grand angle mort

Derrière cette montée en vigilance, la préparation demeure le point faible. 65 % des TPE-PME n’ont aucune procédure de réaction en cas d’incident, et 49 % reconnaissent qu’elles ne sont pas prêtes à faire face à une attaque. « Près de six entreprises sur dix reconnaissent qu’elles ne sauraient pas évaluer les conséquences d’une cyberattaque », observe Jérôme Notin, directeur général de Cybermalveillance.gouv.fr. « C’est un point de bascule : tant qu’un dirigeant ne mesure pas l’impact réel d’un incident sur son activité, il ne peut pas en faire une priorité. » Et Franck Gicquel d’ajouter : « La maturité commence quand on matérialise le risque. Tant qu’on ne l’a pas vécu ou chiffré, on le sous-estime. »

Des budgets encore symboliques

Les chiffres sont parlants : 77 % des entreprises consacrent moins de 2 000 € par an à leur sécurité informatique, et 15 % seulement envisagent de l’augmenter. « On parle d’à peine 280 euros par mois pour sécuriser plusieurs postes, parfois l’ensemble du système », relève Franck Gicquel. L’effort reste marginal, même si 19 % des répondants déclarent avoir accru leur budget informatique global (contre 13 % en 2024). « C’est un progrès, mais on reste loin du compte, reconnaît Gicquel. Tant qu’une entreprise n’a pas été attaquée, elle ne voit pas l’ampleur du risque. C’est un peu le syndrome du parcmètre : tant que je n’ai pas pris d’amende, je ne paye pas. »

Autre point faible : 58 % des entreprises utilisent encore des équipements personnels à des fins professionnelles, souvent les smartphones des dirigeants eux-mêmes (91 %). Une porosité risquée, dans un contexte où la mobilité multiplie les vecteurs d’exposition.

Des diagnostics utiles, mais sans suite

Les programmes de diagnostic se multiplient, souvent financés au niveau régional. Mais leur impact reste limité. « Le diagnostic, c’est une bonne porte d’entrée : il sensibilise, il alerte, il établit un plan d’action », note Franck Gicquel. « Mais dans la pratique, peu d’entreprises vont plus loin. Pourquoi ? Parce que le diagnostic est financé, la sécurisation beaucoup moins. »

Les besoins exprimés par les dirigeants sont pourtant explicites : 57 % demandent des outils de protection, 49 % du conseil spécialisé, 37 % une aide financière, et 40 % des actions de sensibilisation. Des chiffres qui témoignent d’un réel appétit pour un accompagnement structuré, à condition qu’il soit accessible.

Un écosystème d’accompagnement qui s’étoffe

Le baromètre révèle aussi une meilleure connaissance de l’écosystème : 39 % des TPE-PME se tournent vers leur prestataire informatique pour s’informer ou se faire aider, 31 % vers Cybermalveillance.gouv.fr, 19 % vers l’ANSSI, et 7 % citent désormais le 17Cyber, dispositif lancé cette année. Un signe encourageant, mais encore insuffisant : une entreprise sur quatre ne fait appel à aucun acteur spécialisé, faute de moyens ou de repères.

Cybersécurité TPE-PME. Un écosystème encore fragmenté. Les prestataires de proximité restent le premier réflexe (39 %), loin devant les dispositifs publics. Un quart des entreprises n’a toutefois aucun interlocuteur cyber identifié.
Un écosystème encore fragmenté. Les prestataires de proximité restent le premier réflexe (39 %), loin devant les dispositifs publics. Un quart des entreprises n’a toutefois aucun interlocuteur cyber identifié.

Pour combler ce déficit, Cybermalveillance.gouv.fr mise sur une approche pragmatique avec le dispositif Mon Expert Cyber, qui met en relation les entreprises avec des prestataires labellisés ExpertCyber. « C’est un label d’expertise complémentaire à ce que fait l’ANSSI, mais adapté à la réalité des TPE-PME », souligne Franck Gicquel. « Et ce n’est pas un label symbolique : son taux de réussite n’est que de 67 %. ». Le réseau compte aujourd’hui environ 200 prestataires labellisés en France, dont 70 % en Île-de-France, capables d’intervenir au plus près du terrain et de parler le langage des dirigeants, non celui des experts.

De la prévention à la culture du risque

Si la préparation opérationnelle reste faible, la sensibilisation progresse : 59 % des entreprises ont mené au moins une action de prévention en 2025 (+14 points). Les dirigeants n’ignorent plus le danger : 93 % redoutent le vol ou la destruction de données, 89 % une perte financière ou une interruption d’activité, 80 % une atteinte à leur image.

Cybersécurité TPE-PME : Neuf dirigeants sur dix redoutent la perte ou le vol de données, et près de neuf sur dix une interruption d’activité. La menace est identifiée, mais reste abstraite tant qu’elle ne frappe pas.
La peur du chaos numérique. Neuf dirigeants sur dix redoutent la perte ou le vol de données, et près de neuf sur dix une interruption d’activité. La menace est identifiée, mais reste abstraite tant qu’elle ne frappe pas.

Mais le défi reste de transformer cette vigilance en culture durable.

« Tant qu’un dirigeant n’aura pas entendu un autre patron dire : “J’ai perdu mes données, j’ai mis la clé sous la porte”, la cyber restera une abstraction », prévient Franck Gicquel. Un constat qui résume à lui seul l’enjeu de cette édition 2025 : la prise de conscience progresse, mais la prévention demeure le vrai point de bascule. Car en cybersécurité, comme en médecine, mieux vaut prévenir que réparer.

À LIRE AUSSI :

MSSP et partenaires de proximité : la première ligne de défense

Pour 39 % des dirigeants de TPE-PME, le premier réflexe en cas de question ou d’incident reste leur prestataire informatique, loin devant les services publics. Viennent ensuite Cybermalveillance.gouv.fr (31 %), l’ANSSI (19 %) et le 17Cyber (7 %), selon l’étude OpinionWay. « Ce sont eux les bons interlocuteurs, mais ils ne sont ni assez nombreux, ni assez formés », regrette Franck Gicquel. Ces prestataires de proximité — revendeurs, intégrateurs, MSSP — constituent pourtant la première ligne de confiance des entreprises.

Cybermalveillance.gouv.fr mise sur le label ExpertCyber pour structurer ce maillage et donner de la visibilité à ces acteurs du quotidien. Car « le dirigeant de TPE n’a pas besoin qu’on lui parle d’EDR ou de firewall », rappelle Frank Gicquel. « Il a besoin d’un partenaire de confiance, capable de parler son langage et de lui proposer des solutions proportionnées. ». Mais la ressource manque. « Si demain la moitié des TPE décident de se mettre à niveau, nous n’aurons tout simplement pas assez de prestataires qualifiés pour les accompagner », alerte-t-il. Faute de filière de formation spécifique, nombre d’entre eux apprennent encore “sur le tas”, en combinant certifications constructeurs et formations généralistes. Sans eux pourtant, aucune politique nationale de cybersécurité des TPE-PME ne pourra réellement tenir.

Méthodologie de l’étude

Cybersécurité TPE-PME. Une photographie nationale. Étude réalisée en ligne du 2 juin au 7 juillet 2025 auprès de 588 TPE-PME françaises selon la méthode CAWI, en métropole et Outre-mer.
Une photographie nationale. Étude réalisée en ligne du 2 juin au 7 juillet 2025 auprès de 588 TPE-PME françaises selon la méthode CAWI, en métropole et Outre-mer.

Dans l'actualité

Verified by MonsterInsights