À l’occasion des Assises de la cybersécurité, Cybermalveillance.gouv.fr dévoile la seconde édition de son baromètre national dédié aux TPE-PME. Un panorama précieux qui éclaire l’évolution des pratiques et des vulnérabilités d’un tissu économique où 95 % des entreprises comptent moins de 10 salariés.
Entre prise de conscience accrue et fragilités persistantes, 2025 confirme que la maturité cyber progresse… mais reste encore loin d’un niveau réellement rassurant.
Une maturité qui progresse, portée par une meilleure perception des risques
Les entreprises interrogées affichent une compréhension plus fine de leur exposition : 44 % estiment être fortement menacées, contre 38 % l’an dernier. La confiance envers leurs propres dispositifs suit la même courbe, avec 58 % d’entre elles qui jugent leur niveau de protection satisfaisant, une progression notable par rapport à 2024.
Cette évolution s’explique en partie par une hausse concrète de l’équipement. Les dispositifs essentiels — antivirus, sauvegardes, pare-feu — restent les plus répandus, mais les pratiques se diversifient. Les politiques de mots de passe, les gestionnaires dédiés et la double authentification gagnent du terrain.
Sur l’ensemble des répondants, le nombre moyen de mesures de sécurité passe ainsi de 3,62 à 4,06 en un an, un signe clair que les TPE-PME s’arment davantage, même modestement.
On vous parle nous-même régulièrement du gestionnaire de mot de passe, intuitif, open source et parfaitement adapté à la flexibilité attendu dans les TPE/PME, KeePass !
Plus intéressant encore : les entreprises victimes d’incidents semblent mieux en comprendre l’origine. L’hameçonnage, par exemple, est aujourd’hui reconnu comme source principale des attaques (43 %, presque le double de 2024), signe que les mécanismes d’attaque sont mieux identifiés.
Des avancées qui masquent encore une préparation largement insuffisante
Malgré ces progrès, une large majorité du tissu économique demeure encore très vulnérable. Près d’une entreprise sur deux admet ne pas être prête en cas de cyberattaque. Les procédures de réaction sont largement absentes : 65 % des TPE-PME n’en ont aucune, et plus d’une sur deux ne saurait pas réellement évaluer les conséquences d’un incident sur son activité.
Cette difficulté à se projeter dans un scénario d’attaque est un marqueur important. Elle reflète autant un manque de temps qu’un déficit d’expertise, deux freins cités massivement par les entreprises non préparées. À cela s’ajoute un enjeu budgétaire omniprésent, qui continue de limiter l’adoption de solutions plus robustes.
Si la perception des risques évolue, l’intégration de la cybersécurité dans le fonctionnement quotidien reste encore secondaire pour beaucoup : près de trois entreprises sur dix considèrent le sujet comme non prioritaire — une proportion en nette hausse cette année.
Des budgets IT qui progressent… mais trop timidement pour changer la donne
Le baromètre met en lumière des investissements encore très contraints. Près de huit entreprises sur dix consacrent moins de 5 000 € par an à leur informatique globale — et, dans ce total, la part dédiée à la cybersécurité dépasse rarement 2 000 €.
Ces montants demeurent très faibles au regard des risques encourus, surtout pour des structures dont l’activité dépend souvent du bon fonctionnement de quelques postes informatiques.
Une frange des répondants envisage néanmoins une hausse de leur budget l’an prochain (15 %, contre 10 % en 2024), principalement pour renforcer les équipements techniques. La sensibilisation progresse aussi, mais reste encore loin derrière dans les arbitrages financiers, sauf dans les plus grandes PME où elle est davantage considérée comme un levier déterminant.
Un besoin clair d’accompagnement, de pédagogie et de solutions accessibles
Le baromètre met en lumière un point essentiel : les entreprises ne manquent pas uniquement d’outils, elles manquent aussi de repères.
Si 57 % expriment un besoin d’équipements de protection, près de la moitié attend aussi des diagnostics, des conseils et un accompagnement plus lisible. Les aides financières et la sensibilisation — notamment des dirigeants — émergent également comme des leviers prioritaires.
Malgré un marché de la cybersécurité riche en solutions, une entreprise sur quatre n’a recours à aucun acteur spécialisé. Les raisons évoquées sont récurrentes : complexité perçue, manque de clarté, coûts jugés inadaptés ou difficulté à identifier le bon interlocuteur.
Pourtant, lorsque les entreprises sont accompagnées — que ce soit par un prestataire informatique, Cybermalveillance.gouv.fr ou l’ANSSI — leur niveau de préparation s’améliore nettement. C’est la preuve qu’un écosystème plus structuré, plus accessible et plus lisible ferait rapidement progresser le niveau global de protection.
Nous vous aidons à intégrer la cybersécurité dans votre entreprise de façon fluide et adaptée à votre activité.
Que ce soit à travers de la formation, un accompagnement ou un diagnostic de vos pratiques, on vous aide à sécuriser vos process, données, appareils numériques professionnels.
Des attaques fréquentes aux conséquences concrètes
Derrière les chiffres, les réalités opérationnelles rappelent la dureté du terrain : 16 % des entreprises interrogées déclarent avoir subi une ou plusieurs attaques dans les douze derniers mois.
L’hameçonnage reste le vecteur principal, mais les failles non corrigées et les téléchargements malveillants complètent cette typologie d’incidents.
Les conséquences ne sont pas théoriques : interruptions d’activité, pertes de données, atteinte à l’image, voire impacts financiers. Les TPE-PME restent particulièrement sensibles à ces perturbations, car elles disposent rarement des ressources nécessaires pour absorber un arrêt de production de plusieurs heures ou la reconstruction d’un système compromis.
La peur de ces scénarios est d’ailleurs très présente : plus de neuf entreprises sur dix redoutent la destruction ou le vol de données, et près d’autant craignent une perte financière ou une interruption d’activité. Le risque réputationnel, souvent sous-estimé, est également cité comme un enjeu majeur.
Ce qu’il faut retenir
2025 confirme une dynamique encourageante : les TPE-PME prennent mieux conscience des enjeux et déploient davantage de solutions qu’auparavant. Mais cette montée en maturité reste encore insuffisante face à la rapidité et à la sophistication des attaques.
Entre budgets restreints, manque de temps et déficit d’expertise, beaucoup d’entreprises avancent encore à découvert.
Pour franchir un cap, la cybersécurité doit sortir de la logique du “si un jour ça arrive” et devenir un sujet de pilotage quotidien. Un enjeu transversal, à la fois technique, humain et organisationnel.
Les chiffres le montrent clairement : lorsqu’une entreprise est accompagnée, sensibilisée et équipée, sa capacité à se protéger et à réagir progresse immédiatement.
Vous souhaitez structurer votre démarche cybersécurité de manière progressive et alignée avec vos contraintes ?
Nous accompagnons les TPE-PME à évaluer leurs pratiques et à mettre en place des mesures simples, adaptées et réalistes.
