Une PME française sur deux a subi une cyberattaque en 2024. Un tiers de celles qui subissent un ransomware significatif ne s’en remettent pas. Ce n’est plus un risque abstrait réservé aux grandes entreprises ou aux secteurs stratégiques — c’est une réalité concrète qui touche des cabinets comptables, des restaurants, des artisans, des agences de communication.

Pourtant, la grande majorité des attaques qui réussissent exploitent des failles connues et évitables. Ce guide couvre ce que vous devez savoir pour protéger votre entreprise, sans budget de grande entreprise ni équipe dédiée.

Le paysage des menaces en 2026

Les ransomwares : la menace numéro un

Un ransomware est un logiciel malveillant qui chiffre les données d’une organisation et exige une rançon (souvent en cryptomonnaie) pour les restituer. Les attaquants ont professionnalisé leur modèle : il existe aujourd’hui des plateformes de Ransomware-as-a-Service (RaaS) qui permettent à n’importe quel criminel, sans compétences techniques, de lancer une attaque moyennant un pourcentage de la rançon.

Le montant moyen d’une rançon demandée à une PME européenne : entre 50 000 € et 500 000 €. Et payer ne garantit pas la récupération des données — dans 30 % des cas, les victimes paient et ne récupèrent rien.

Le phishing : la porte d’entrée principale

Le phishing (hameçonnage) consiste à tromper un employé pour qu’il divulgue des identifiants, clique sur un lien malveillant ou télécharge une pièce jointe infectée. C’est la méthode d’entrée initiale dans plus de 80 % des cyberattaques réussies.

L’IA a radicalement amélioré la qualité des emails de phishing : ils sont désormais personnalisés, grammaticalement parfaits, et imitent avec précision le style de vrais correspondants. Le « spear phishing » cible spécifiquement un employé ou un dirigeant avec des informations récoltées sur LinkedIn, le site web de l’entreprise et les réseaux sociaux.

Les attaques sur la chaîne d’approvisionnement

Plutôt que d’attaquer directement une grande entreprise bien protégée, les attaquants ciblent ses sous-traitants, fournisseurs et prestataires moins bien défendus. Une fois dans le réseau d’un fournisseur, ils se servent de la relation de confiance établie pour pénétrer dans la cible principale.

Pour une PME, être prestataire d’une grande entreprise implique aujourd’hui des exigences croissantes en matière de cybersécurité de la part des donneurs d’ordre.

Les attaques BEC (Business Email Compromise)

L’arnaque au président, l’arnaque au faux fournisseur : un attaquant usurpe l’identité d’un dirigeant ou d’un fournisseur pour demander un virement urgent. Pas de logiciel malveillant, pas de code — juste de la manipulation. En France, ces arnaques causent des pertes moyennes de 100 000 € par incident.

Les vulnérabilités les plus exploitées

Les mots de passe faibles et réutilisés

Des bases de données contenant des milliards d’identifiants issus de fuites de données circulent librement sur le dark web. Les attaquants testent automatiquement ces combinaisons sur des milliers de services (credential stuffing). Si un employé utilise le même mot de passe sur LinkedIn et sur l’outil de comptabilité de l’entreprise, et que LinkedIn a été piraté, l’outil de comptabilité est compromis.

Les logiciels non mis à jour

Les mises à jour de sécurité corrigent des vulnérabilités connues. Une entreprise qui tarde à les appliquer offre une fenêtre d’exploitation aux attaquants. La majorité des attaques de ransomware exploitent des vulnérabilités pour lesquelles un correctif existait depuis des semaines ou des mois.

Le manque de segmentation réseau

Dans de nombreuses PME, tous les équipements sont sur le même réseau. Si un ordinateur est compromis, l’attaquant peut se déplacer latéralement vers les serveurs, les sauvegardes, les autres postes. Une segmentation minimale (réseau employés, réseau invités, réseau serveurs séparés) limite considérablement les dégâts en cas d’intrusion.

L’absence de sauvegardes testées

Avoir des sauvegardes est nécessaire mais insuffisant. Des sauvegardes non testées peuvent être corrompues ou incomplètes. Des sauvegardes connectées en permanence au réseau principal peuvent être chiffrées en même temps que le reste. La règle 3-2-1 est le standard minimal : 3 copies des données, sur 2 supports différents, dont 1 hors site (et idéalement déconnecté du réseau).

Les mesures prioritaires selon la taille de l’entreprise

Pour les TPE (1-10 personnes)

Avec des ressources limitées, la priorisation est essentielle. Ces 5 mesures couvrent la majorité des risques courants :

1. Activer l’authentification à deux facteurs (2FA) partout Sur la messagerie, les outils cloud (Google Workspace, Microsoft 365), les accès distants, les outils financiers. La 2FA rend inutilisables des identifiants volés dans une grande majorité des cas. C’est gratuit et prend 10 minutes à mettre en place.

2. Utiliser un gestionnaire de mots de passe Bitwarden (gratuit), 1Password, Dashlane : ces outils génèrent et stockent des mots de passe uniques et complexes pour chaque service. Fini la réutilisation, fini les mots de passe faibles.

3. Sauvegardes automatiques hors ligne Activez les sauvegardes automatiques sur un disque externe déconnecté (branché uniquement pour la sauvegarde) ou sur un service cloud séparé de votre environnement principal (Backblaze, par exemple, séparé de votre Google Drive ou OneDrive).

4. Mises à jour automatiques Activez les mises à jour automatiques sur Windows/macOS et sur tous les logiciels. En particulier : navigateurs, suites bureautiques, antivirus.

5. Former les employés au phishing Une session d’une heure sur la reconnaissance des emails suspects suffit pour réduire drastiquement le risque. Les signaux d’alerte : urgence anormale, demande inhabituelle, lien vers un domaine légèrement différent du domaine officiel, expéditeur inconnu demandant des informations sensibles.

Pour les PME (10-250 personnes)

À cette taille, les enjeux augmentent et des investissements supplémentaires se justifient :

EDR (Endpoint Detection and Response) Au-delà des antivirus classiques, les solutions EDR (SentinelOne, CrowdStrike, Microsoft Defender for Business) surveillent en temps réel le comportement des postes de travail et détectent les activités suspectes avant qu’elles ne causent des dégâts majeurs. Compter entre 5 et 15 € par poste et par mois.

Plan de réponse aux incidents Avant qu’une attaque arrive, définissez le processus : qui appelle-t-on en premier ? Quels systèmes isole-t-on immédiatement ? Qui communique en externe (clients, fournisseurs, CNIL si données personnelles impactées) ? Un plan documenté et connu de l’équipe réduit le chaos et les mauvaises décisions dans le stress de l’incident.

Audit de sécurité externe Un prestataire spécialisé (MSSP — Managed Security Service Provider) peut réaliser un audit de votre infrastructure pour identifier les vulnérabilités avant les attaquants. Des offres accessibles existent entre 2 000 € et 10 000 € pour une PME standard.

Assurance cyber Le marché de l’assurance cyber s’est structuré en France. Les polices couvrent typiquement : les frais de gestion de crise, les pertes d’exploitation, les frais de notification RGPD, et parfois la rançon. Les assureurs exigent désormais un niveau minimal de mesures de sécurité pour accorder la couverture — ce qui pousse les entreprises à s’organiser.

Les obligations légales en France

Le RGPD et les obligations de notification

Si votre entreprise traite des données personnelles (ce qui est le cas de quasiment toutes les entreprises), une violation de données (fuite, accès non autorisé) doit être notifiée à la CNIL dans les 72 heures si elle présente un risque pour les droits des personnes concernées. Les amendes pour manquement sont significatives — même si la CNIL tient compte de la bonne foi et des mesures mises en place.

NIS2 : les nouvelles obligations européennes

La directive NIS2 (Network and Information Security), transposée en droit français, élargit considérablement le périmètre des entreprises soumises à des obligations de cybersécurité. Si vous opérez dans les secteurs de l’énergie, des transports, de la santé, des services numériques, ou si vous êtes prestataire critique d’entités importantes, vous pourriez être concerné. La mise en conformité implique notamment un SMSI (Système de Management de la Sécurité de l’Information) formalisé.

Les ressources disponibles en France

L’ANSSI

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) publie des guides pratiques gratuits, notamment le Guide d’hygiène informatique — un document de référence accessible aux non-spécialistes qui couvre les 42 mesures prioritaires recommandées pour les entreprises françaises. Disponible sur ssi.gouv.fr.

Cybermalveillance.gouv.fr

La plateforme nationale d’assistance aux victimes de cyberattaques. En cas d’incident, c’est le premier réflexe : la plateforme oriente vers des prestataires référencés et fournit des fiches pratiques sur les types d’attaques les plus courants.

Le dispositif MonAideCyber

Lancé par l’ANSSI, ce programme met en relation les TPE/PME avec des aidants cyber formés et certifiés pour un premier diagnostic gratuit. Une porte d’entrée accessible pour les entreprises qui ne savent pas par où commencer.

Ce qu’il faut retenir

La cybersécurité n’est pas un état à atteindre — c’est une pratique continue. Les attaquants évoluent constamment, les outils progressent des deux côtés. Mais la majorité des attaques réussies exploitent des négligences basiques.

Commencer par l’authentification à deux facteurs, les mots de passe uniques, les sauvegardes hors ligne et la sensibilisation des équipes au phishing permet d’éliminer la grande majorité du risque courant avec un investissement minimal. Ces quatre mesures seules feraient chuter de façon significative le nombre de PME françaises victimes chaque année.

La question n’est pas si votre entreprise sera ciblée — à une époque où les attaques sont automatisées et volumétriques, tout le monde est ciblé. La question est si votre entreprise représente une cible facile ou difficile. Être difficile suffit souvent à ce que les attaquants passent à la suivante.