🔎 Réalisez votre Auto-Diagnostic Robustesse gratuitement ➡️ (en 15 minutes)

  • Accueil
  • Blog
  • Cyberattaque dans une TPE/PME : pourquoi vous êtes plus exposé que vous ne le pensez

Cyberattaque dans une TPE/PME : pourquoi vous êtes plus exposé que vous ne le pensez

Image de Mathieu Maréchal

Mathieu Maréchal

Temps de lecture : 8 minutes

Cyberattaque dans une TPE/PME : pourquoi vous êtes plus exposé que vous ne le pensez

« On est trop petits pour intéresser les hackers. »

C’est sans doute la phrase la plus fréquente lorsqu’on aborde la cybersécurité avec un dirigeant de TPE ou de PME. Elle paraît raisonnable et elle est pourtant fausse.

Les chiffres officiels disent l’inverse. Selon le Panorama de la cybermenace 2025 publié par l’ANSSI en mars 2026, les TPE, PME et ETI représentent 48 % des victimes de rançongiciels traités par l’Agence. C’est de loin la catégorie la plus touchée, devant les collectivités territoriales (11 %) et les établissements de santé (8 %).

Cette réalité a un nom : vous êtes ciblés non pas malgré votre taille, mais à cause d’elle. Les attaquants savent que vos défenses sont plus faibles, que vos délais de réaction sont plus longs et que vous êtes plus susceptibles de payer rapidement pour reprendre votre activité.

Cet article propose un état des lieux factuel, suivi de leviers concrets et accessibles pour réduire fortement le risque cyber dans votre entreprise, sans budget de grand groupe. Et un éclairage sur les assurances cyber, qui se sont structurées récemment pour les petites structures.

Un risque qui n'est plus marginal

Le baromètre 2025 de Cybermalveillance.gouv.fr, réalisé par OpinionWay sur un échantillon de 588 entreprises de moins de 250 salariés, livre des chiffres précis.

16 % des TPE et PME interrogées déclarent avoir été victimes d’une cyberattaque dans l’année. Et ce chiffre est sans doute sous-estimé : beaucoup d’incidents ne sont jamais signalés, par méconnaissance ou par crainte de la réputation.

Les vecteurs d’attaque les plus fréquents en 2025 sont identifiés :

  • L’hameçonnage (phishing) arrive très largement en tête : 43 % des cas en 2025, en forte progression (24 % en 2024)
  • Les failles de sécurité non corrigées : 18 % des cas (14 % en 2024)
  • Les consultations de sites Internet vérolés : 11 % des cas (5 % en 2024)

L’évolution est claire : les attaques se diversifient et s’intensifient. L’arrivée de l’IA générative donne aux attaquants des outils nouveaux pour produire des messages d’hameçonnage très crédibles, dans un français impeccable, voire personnalisés à partir de données publiques sur LinkedIn ou votre site web.

Le coût d'une attaque, mesuré et documenté

Quand une cyberattaque réussit, l’addition est lourde. Une étude conduite par Groupama en juillet 2025 chiffre le coût moyen d’une cyberattaque à 466 000 euros pour une TPE ou PME, soit 5 à 10 % du chiffre d’affaires d’une PME française moyenne.

Ce montant se décompose globalement comme suit :

  • 50 % de pertes d’exploitation (activité paralysée durant la remise en route)
  • 20 % de prestations externes (forensic, restauration et conseil juridique)
  • 20 % de remise en état et investissements informatiques
  • 10 % de dégradation de l’image et perte de clients

D’autres sources convergent sur des ordres de grandeur similaires. Le rapport Astérès 2024, commandé par le MEDEF, estime à 50 000 euros le coût médian d’une cyberattaque pour une PME. Les écarts entre les études tiennent surtout au type d’attaque et à la taille de l’entreprise.

Un autre chiffre, plus rarement cité, attire l’attention. Selon les analyses convergentes de plusieurs acteurs du marché et de SFR Business reprenant des données ANSSI, une PME victime d’une cyberattaque majeure a environ 50 % de risque de défaillance dans les six mois qui suivent. Une autre source professionnelle (Orange Cyberdefense, 2023) avance même un taux compris entre 50 et 60 % à 18 mois.

Ces chiffres sont à manier avec précaution : ils incluent les défaillances pour des causes multiples (commerciales, financières, etc.) qui s’ajoutent au choc cyber. Mais l’ordre de grandeur est confirmé par les retours de terrain : pour une petite structure, une cyberattaque sérieuse peut être la goutte de trop.

Le scénario d’effondrement post-cyberattaque ressemble d’ailleurs beaucoup à celui que nous avons analysé dans le cas d’un fournisseur clé en faillite ou en rupture : un événement brutal, des semaines de désorganisation, des clients qui partent et parfois la spirale qui ne se rattrape plus.

Pourquoi les TPE et PME sont des cibles privilégiées

Trois facteurs convergent pour faire des petites structures les cibles préférées des attaquants.

Premier facteur : le niveau de protection est faible. Selon l’étude Cyber Impact 2024 de Cybermalveillance.gouv.fr, 68 % des TPE et PME allouent moins de 2 000 euros par an à leur sécurité informatique. Près de 8 entreprises sur 10 ont un budget informatique total annuel inférieur à 5 000 euros.

Deuxième facteur : la conscience du risque reste limitée. Toujours selon le baromètre 2025 de Cybermalveillance, 80 % des TPE et PME reconnaissent ne pas être préparées à une cyberattaque (49 %) ou ignorent l’être (31 %). Près de 6 entreprises sur 10 admettent ne pas savoir évaluer les conséquences d’une cyberattaque sur leur activité.

A lire aussi :  GAFAM : à quand la fin de l'empire ? Épisode 4 - C'est quoi au fait, une solution numérique éthique et responsable ?

Troisième facteur : la dépendance aux outils numériques a explosé. En quelques années, les TPE et PME se sont massivement numérisées : SaaS de gestion, outils collaboratifs en ligne, paiement en ligne, télétravail et IA générative. Chaque nouveau service est aussi une nouvelle porte d’entrée potentielle.

Cette accumulation de dépendances numériques rejoint d’ailleurs la problématique plus large de la dépendance fournisseur que nous avons détaillée dans notre article sur les 6 signaux d’alerte : un éditeur de SaaS est un fournisseur comme un autre, dont la défaillance peut paralyser votre activité.

Pour les attaquants, c’est une équation rationnelle : pour un coût d’attaque équivalent, les TPE et PME représentent un retour plus rapide qu’une grande entreprise mieux protégée. Et les rançons demandées, plus modestes (en moyenne 25 000 euros payés par les PME françaises en 2025 selon plusieurs sources sectorielles), sont calibrées pour être « payables ».

La cybersécurité comme pilier de robustesse, pas comme sujet de DSI

L’approche classique de la cybersécurité présente le sujet comme une affaire technique, à confier à un prestataire informatique. Cette vision est partielle. Elle entretient l’idée que la sécurité est « faite » dès lors qu’un antivirus est installé.

La réalité est différente. Selon l’ANSSI et plusieurs études convergentes, le facteur humain est au cœur de la quasi-totalité des cyberattaques. Une équipe non sensibilisée reste la principale faille, même avec les meilleurs outils techniques.

Aborder la cybersécurité comme un pilier de robustesse organisationnelle change la posture. Il ne s’agit plus seulement d’installer des dispositifs. Il s’agit de réduire les dépendances critiques de votre entreprise à ses systèmes informatiques et de préparer la reprise quand l’incident survient.

Cette logique recoupe directement la distinction entre résilience et robustesse que nous avons développée dans un précédent article : la résilience cherche le retour à la normale après un choc, la robustesse cherche à maintenir l’activité malgré les fluctuations. La cybersécurité bien comprise relève bien davantage de la seconde que de la première.

C’est exactement la même logique que celle appliquée à un fournisseur critique ou à un salarié-clé : on ne peut pas garantir le risque zéro, mais on peut s’organiser pour ne pas s’effondrer quand le problème arrive.

Les gestes accessibles qui réduisent fortement le risque

L’ANSSI publie depuis 2021 un guide La cybersécurité pour les TPE/PME en 13 questions, disponible gratuitement, qui détaille les mesures à portée d’une petite structure. Synthétisons les plus impactantes.

Authentification multifacteur (MFA) sur tous les outils critiques. Activer la double authentification sur la messagerie, les outils bancaires, les SaaS métiers et les accès distants. Un mot de passe seul, même complexe, ne suffit plus. La MFA réduit drastiquement l’efficacité du vol d’identifiants, principal vecteur d’intrusion selon le rapport Verizon DBIR 2025.

Sauvegardes régulières, isolées et testées. La règle dite « 3-2-1 » : trois copies des données, sur deux supports différents, dont une copie hors ligne ou hors site. Sans cela, en cas de ransomware, vos sauvegardes peuvent être chiffrées en même temps que vos systèmes. Une sauvegarde non testée n’est pas une sauvegarde : la restauration doit être vérifiée au moins une fois par an.

Mises à jour systématiques. Selon l’ANSSI, plus de 6 200 équipements en France restent affectés fin 2025 par des vulnérabilités majeures identifiées depuis 2023 et 2024. Un correctif non installé est une porte laissée ouverte. Activez les mises à jour automatiques quand c’est possible.

Sensibilisation régulière des équipes. Une demi-journée par an de sensibilisation au phishing, à la gestion des mots de passe et aux gestes en cas de doute change radicalement le niveau de vigilance d’une équipe. L’ANSSI propose des modules de formation gratuits via MesServicesCyber.

Politique de mots de passe et gestionnaire dédié. Un gestionnaire de mots de passe (Bitwarden, KeePass, 1Password…) permet à chaque salarié d’utiliser des mots de passe complexes et différents pour chaque service, sans avoir à les retenir.

Plan de réaction en cas d’incident. Qui appeler ? Quoi débrancher ? Comment communiquer aux clients ? Préparer ces réponses à froid évite des heures, parfois des jours de paralysie en situation de crise. Le site cybermalveillance.gouv.fr propose des trames gratuites.

Ces mesures ne demandent ni budget important, ni expertise interne. Elles sont à la portée de n’importe quelle entreprise de moins de 50 personnes. Et elles couvrent une partie majoritaire des vecteurs d’attaque les plus courants.

A lire aussi :  Polyvalence, double référent et transmission : rendre votre équipe robuste sans la surcharger

L'assurance cyber : un complément utile, pas une protection

Un mot sur les assurances cyber, dont le marché s’est structuré récemment pour les petites structures.

Selon le rapport LUCY de l’AMRAE, le marché français de la cyberassurance représentait 317 millions d’euros de primes en 2024. Une nouveauté : pour la première fois, les primes ont reculé (en particulier sur les segments ETI) et le nombre de souscriptions par les PME et TPE a fortement augmenté.

Pour une TPE ou une PME de moins de 50 salariés et moins de 10 millions d’euros de chiffre d’affaires, les primes annuelles observées en 2025-2026 se situent dans une fourchette de 1 000 à 5 000 euros par an, pour des garanties typiques comprises entre 1 et 5 millions d’euros. Certaines offres entrée de gamme démarrent autour de 500 euros par an pour les structures les plus petites et les moins exposées.

Ces contrats couvrent généralement : les frais de remédiation (forensic, restauration des systèmes), la perte d’exploitation, les frais de notification aux clients, la gestion de crise, la défense juridique et parfois la rançon (avec des limites de plus en plus strictes).

Trois points méritent une attention particulière avant de souscrire :

Les exclusions. Les contrats excluent généralement les attaques étatiques, les vulnérabilités connues non corrigées depuis plus de 30 jours ou les négligences avérées (absence de sauvegardes, pas de MFA). Lisez donc attentivement cette partie !

Les prérequis techniques. Les assureurs exigent désormais un niveau minimum de sécurité avant de couvrir : MFA, sauvegardes, antivirus et sensibilisation des équipes. Sans ces prérequis, vous ne serez pas couvert ou serez fortement surfacturé.

Les plafonds et les franchises. Vérifiez que le plafond couvre les coûts réels potentiels d’une attaque dans votre activité (au minimum 1 million d’euros pour une PME standard). Vérifiez aussi la franchise et les sous-limites.

L’assurance cyber n’est pas une alternative à la prévention. C’est un complément, qui ne fonctionne que si la prévention est elle-même sérieuse. Les assureurs eux-mêmes vous y poussent.

Aller plus loin : les ressources publiques gratuites

L’écosystème français de soutien aux TPE et PME sur la cybersécurité est l’un des plus développés d’Europe. Plusieurs ressources gratuites existent et sont sous-utilisées.

17Cyber est le guichet unique d’assistance lancé fin 2024, accessible 24h/24 et 7j/7. Il met en contact avec un policier ou un gendarme spécialisé (ou un prestataire qualifié) selon la nature de l’incident.

Cybermalveillance.gouv.fr propose un diagnostic en ligne, des fiches pratiques, des trames de plan de réaction et un annuaire de prestataires labellisés ExpertCyber.

MesServicesCyber, plateforme lancée par l’ANSSI au printemps 2025, regroupe l’ensemble des services et ressources gratuits autour des grands besoins cyber, dont un test de maturité anonyme.

MonAideCyber est une communauté d’aidants cyber bénévoles, déployée par l’ANSSI sur tout le territoire, qui peut réaliser gratuitement un premier diagnostic dans votre entreprise.

Les CCI proposent depuis 2024 des ateliers collectifs et des accompagnements à destination des TPE et PME. En 2024, 20 000 entreprises ont été sensibilisées via ce réseau.

Une dépendance critique parmi d'autres

La cybersécurité n’est pas un sujet à part. C’est une composante de la robustesse globale de votre entreprise, au même titre que la dépendance aux fournisseurs, la trésorerie ou la solidité de votre équipe.

Le facteur humain est aussi central côté défense que côté attaque. Une équipe sensibilisée, informée des bons gestes et qui sait quoi faire en cas de doute, c’est déjà la moitié du chemin. Les outils techniques font le reste.

Pour situer la place du risque cyber dans l’ensemble de vos dépendances critiques (fournisseurs, outils, données, finances et équipe), vous pouvez réaliser gratuitement l’auto-diagnostic Robustesse de Fertilidée. En 15 minutes, vous obtenez une vue d’ensemble des risques qui méritent votre attention en premier, dont la part cyber.

La question n’est plus de savoir si votre entreprise sera ciblée, mais quand. Et surtout, dans quel état vous serez le jour où cela arrivera.

Pour aller plus loin

  • ANSSI, Panorama de la cybermenace 2025, mars 2026
  • Cybermalveillance.gouv.fr, Baromètre de la maturité cyber des TPE-PME, édition 2025, décembre 2025
  • ANSSI / DGE / CPME, La cybersécurité pour les TPE/PME en 13 questions, 2023 (mise à jour)
  • AMRAE, Rapport LUCY 2025 sur le marché français de la cyberassurance
  • Groupama, Étude sur le coût des cyberattaques pour les TPE/PME, juillet 2025
  • Astérès pour le MEDEF, Coût des cyberattaques en France, 2024
  • Verizon, Data Breach Investigations Report 2025
  • Ressources gratuites : MesServicesCyber, 17Cyber, MonAideCyber, Cybermalveillance.gouv.fr
Votre auto-diagnostic gratuit en ligne