Cyberattaques et PME : le guide pour se protéger sans exploser son budget
En 2025, 43 % des entreprises françaises ont subi une attaque de phishing. Le chiffre a presque doublé en un an. Et les PME ne sont pas épargnées – bien au contraire. L’ANSSI a traité plus de 4 386 événements de sécurité sur la même période, soit 15 % de plus qu’en 2024.
Le problème, c’est que beaucoup de dirigeants de PME pensent encore passer sous les radars. Trop petits, trop discrets, pas assez intéressants pour les hackers. La réalité est tout autre : 40 % des attaques par rançongiciel visent des TPE et PME. Les pirates ont automatisé leurs outils, et une entreprise de 15 salariés avec un mot de passe faible est plus facile à attaquer qu’un grand groupe bardé de pare-feux.
Ce guide passe en revue les menaces concrètes, les actions prioritaires (y compris avec un budget serré), et un sujet que peu d’articles abordent : l’assurance cyber.
Pourquoi les PME sont les cibles préférées des pirates en 2026
Les cybercriminels ne cherchent pas forcément la cible la plus riche. Ils cherchent la plus facile.
Une PME cumule souvent deux faiblesses majeures : pas d’expert sécurité en interne, et des logiciels qui n’ont pas été mis à jour depuis des mois. Ajoutez-y des mots de passe partagés entre collègues, et le tableau est complet. Selon le rapport Verizon DBIR 2025, 43 % des cyberattaques ciblent des structures de moins de 250 salariés.
Il y a aussi l’effet supply chain. Votre PME travaille peut-être avec un grand groupe comme sous-traitant. Pour un pirate, compromettre votre réseau est une porte d’entrée vers des systèmes bien plus lucratifs. C’est exactement ce qui s’est passé avec l’attaque SolarWinds – sauf qu’aujourd’hui, le même schéma se reproduit à l’échelle locale, avec des cabinets comptables, des sous-traitants industriels, des prestataires logistiques.
Le coût moyen d’une cyberattaque pour une PME tourne autour de 25 000 € selon Hiscox. Mais ce chiffre ne raconte pas tout. Il faut ajouter l’arrêt d’activité (parfois plusieurs semaines), la perte de clients, les potentielles sanctions RGPD, et l’atteinte à la réputation. 55 % des TPE victimes d’une attaque déposent le bilan dans les 18 mois.
Les trois menaces qui frappent le plus en 2026
Le phishing dopé à l’intelligence artificielle
91 % des cyberattaques commencent par un e-mail. Ça reste le vecteur numéro un, et la situation empire avec l’IA générative. Les emails frauduleux ne contiennent plus de fautes grossières. Ils imitent le style de votre fournisseur, reprennent le bon logo, mentionnent un numéro de facture plausible.
Les deepfakes vocaux constituent une menace émergente. Un appel téléphonique imitant la voix du PDG qui demande un virement urgent – ce scénario n’est plus de la science-fiction. Plusieurs cas ont été documentés en France en 2025, avec des montants dérobés allant de 15 000 à 200 000 €.
Les rançongiciels (ransomware)
Vos fichiers sont chiffrés, votre activité paralysée. On vous demande entre 5 000 et 50 000 € pour récupérer vos données. Et payer ne garantit rien : 30 % des entreprises qui versent la rançon ne récupèrent pas l’intégralité de leurs fichiers.
Les ransomwares ont évolué. Les versions récentes pratiquent la double extorsion : vos données sont chiffrées ET exfiltrées. Si vous ne payez pas, elles sont publiées en ligne. Pour une PME qui gère des données clients sensibles (cabinet médical, comptable, RH), c’est la catastrophe réputationnelle en plus de la perte financière.
La compromission de comptes
Un mot de passe volé – souvent réutilisé entre plusieurs services – donne accès à votre messagerie, votre CRM, vos factures. Le pirate observe pendant des semaines, repère les habitudes, puis intervient au moment le plus rentable (par exemple en modifiant un RIB sur une facture fournisseur).
Ce type d’attaque est silencieux. Vous ne vous en rendez compte que quand un client vous appelle pour dire qu’il a viré 40 000 € sur un compte inconnu.
Les 7 actions prioritaires pour protéger sa PME
1. Activer l’authentification multifacteur (MFA) partout
C’est la mesure qui offre le meilleur rapport effort/protection. La MFA bloque 99,9 % des attaques automatisées selon Microsoft. Même si un pirate obtient votre mot de passe, il est bloqué sans le deuxième facteur.
Par où commencer :
- Gmail / Google Workspace : Paramètrès, Sécurité, Validation en 2 étapes. Cinq minutes chrono.
- Microsoft 365 : Admin, Sécurité, MFA. Activable pour tous les utilisateurs d’un clic.
- Banque en ligne, logiciel comptable, CRM : vérifiez que la MFA est active sur chaque outil qui contient des données sensibles.
La messagerie professionnelle est la porte d’entrée de 62 % des piratages (source CNIL). C’est là qu’il faut commencer.
2. Appliquer la règle de sauvegarde 3-2-1
Trois copies de vos données. Deux supports différents. Une copie hors site, déconnectée du réseau.
Concrètement, pour une PME de 10 à 50 postes :
- Sauvegarde automatique sur un cloud professionnel (OneDrive, Google Drive, ou solution dédiée type Acronis)
- Un disque dur externe branché une fois par semaine, puis débranché et rangé
- Si le budget le permet, un NAS (Synology, QNAP) avec réplication vers un datacenter distant
Et surtout, testez vos sauvegardes. Au moins une fois par trimestre, lancez une restauration de fichiers pour vérifier que tout fonctionne. Une sauvegarde non testée ne vaut rien.
3. Former les collaborateurs (le vrai premier rempart)
La sensibilisation régulière au phishing réduit les incidents de 70 %. Le calcul est vite fait : une session de 30 minutes par trimestre coûte quelques heures de temps. Une attaque réussie coûte 25 000 €.
Les cinq réflexes à ancrer :
- Vérifier l’adresse e-mail réelle de l’expéditeur (pas seulement le nom affiché)
- Ne jamais communiquer un mot de passe par e-mail ou téléphone
- Signaler immédiatement tout e-mail suspect au responsable informatique
- Verrouiller son poste en quittant son bureau, même pour deux minutes
- Survoler un lien avec la souris avant de cliquer pour voir l’URL réelle
Les campagnes de phishing simulées sont un bon complément. Plusieurs outils existent pour les PME (Gophish en open source, ou des solutions managées comme Mailinblack). Vous envoyez de faux emails de phishing à vos équipes, puis vous mesurez qui clique. Ça marche bien pour créer des réflexes.
4. Mettre à jour systématiquement les logiciels
60 % des brèches exploitent des vulnérabilités connues mais non corrigées. Autrement dit, le correctif existait – il n’a juste pas été installé.
Activez les mises à jour automatiques sur tous les postes (Windows, macOS, navigateurs). Pour les applications métier (logiciel de facturation, ERP, CRM), planifiez une vérification mensuelle. Et n’oubliez pas les équipements réseau : votre box internet, votre NAS, vos imprimantes connectées – ce sont des angles morts fréquents.
5. Installer un pare-feu et un antivirus professionnel
Un antivirus grand public ne suffit plus. Les solutions EDR (Endpoint Detection and Response) détectent les comportements suspects en temps réel, pas seulement les signatures connues. Pour une PME, des solutions comme Sophos Intercept X ou ESET Protect offrent un bon compromis qualité/prix (entre 3 et 8 € par poste et par mois).
Côté pare-feu, les solutions UTM (Unified Threat Management) comme Fortinet FortiGate ou Sophos XG intègrent filtrage web, VPN, détection d’intrusion et antimalware dans un seul boîtier. Comptez 500 à 2 000 € pour un boîtier adapté à une PME de 20 à 100 postes, plus l’abonnement aux mises à jour.
6. Segmenter le réseau et sécuriser les accès distants
Si un pirate entre dans votre réseau, la segmentation l’empêche de se déplacer librement. Séparez au minimum le réseau bureautique du réseau invité (Wi-Fi) et isolez les serveurs critiques.
Avec la généralisation du télétravail, les accès distants sont devenus un vecteur d’attaque majeur. Un VPN professionnel est le strict minimum. Mieux encore : le modèle Zero Trust, qui vérifie l’identité et le contexte de chaque connexion, même depuis le réseau interne.
7. Préparer un plan de réponse aux incidents
La question n’est pas « si » votre PME sera attaquée, mais « quand ». Avoir un plan préparé réduit le temps de réaction de plusieurs jours à quelques heures.
Votre plan doit contenir :
- Qui appeler en premier (prestataire IT, direction, assureur, CNIL si données personnelles compromises)
- Comment isoler les machines infectées (débrancher le réseau, pas éteindre – on veut conserver les traces)
- Où trouver les sauvegardes et comment lancer la restauration
- Le numéro de cybermalveillance.gouv.fr pour déclencher le parcours d’assistance
Imprimez ce plan et gardez une copie papier. Si votre réseau est chiffré par un ransomware, vous n’aurez pas accès au PDF stocké sur le serveur.
Quel budget cybersécurité pour une PME en 2026 ?
La bonne nouvelle : les premières mesures ne coûtent presque rien. La MFA est gratuite. Les mises à jour aussi. La sensibilisation des équipes demande du temps, pas d’argent.
| Mesure | Coût estimé | Priorité |
|---|---|---|
| MFA sur tous les comptes | Gratuit | Haute |
| Mises à jour automatiques | Gratuit (temps de vérification) | Haute |
| Sensibilisation phishing (sessions internes) | Quelques heures/trimestre | Haute |
| Gestionnaire de mots de passe (Bitwarden) | Gratuit à 3 €/mois/utilisateur | Haute |
| Antivirus EDR professionnel | 3 à 8 €/poste/mois | Moyenne |
| Pare-feu UTM (Fortinet, Sophos) | 500 à 2 000 € + abonnement | Moyenne |
| Sauvegarde cloud professionnelle | 5 à 15 €/poste/mois | Haute |
| Audit de cybersécurité | 3 000 à 10 000 € (selon périmètre) | Moyenne |
| Assurance cyber | 500 à 3 000 €/an | Recommandée |
Pour une PME de 20 postes, un budget annuel de 5 000 à 15 000 € couvre l’essentiel : EDR, pare-feu, sauvegardes, sensibilisation et assurance cyber. Ça représente entre 250 et 750 € par poste et par an. Rapporté au coût moyen d’une attaque (25 000 €), le calcul est simple.
L’assurance cyber : le filet de sécurité que la plupart des PME ignorent
C’est un sujet encore peu abordé dans les guides cybersécurité, et pourtant l’assurance cyber devient un outil de gestion des risques à part entière pour les PME.
Une police d’assurance cyber couvre généralement :
- Les frais de gestion de crise (experts forensiques, communication, avocats)
- Les pertes d’exploitation liées à l’interruption d’activité
- Les frais de restauration des données et systèmes
- La responsabilité civile si des données clients sont compromises
- Parfois le paiement de la rançon (selon les contrats et les recommandations de l’ANSSI, qui déconseille de payer)
Les tarifs varient selon la taille de l’entreprise, le secteur d’activité et le niveau de protection déjà en place. Pour une PME de 20 à 50 salariés avec un CA inférieur à 5 M€, comptez entre 500 et 3 000 € par an. Les assureurs comme Hiscox, AXA, Generali ou Stoïk proposent des offres adaptées aux PME.
Un point à savoir : la plupart des assureurs exigent un niveau minimum de protection (MFA activée, sauvegardes en place, antivirus professionnel) pour accepter de vous couvrir. Autrement dit, souscrire une assurance vous pousse à mettre en place les bonnes pratiques. C’est un cercle vertueux.
Stoïk, un assureur 100 % cyber lancé en France, inclut même un scan de vulnérabilité et des outils de prévention dans son contrat. Le modèle se développe vite : le marché de l’assurance cyber en France a crû de 49 % en 2023.
RGPD et NIS2 : les obligations légales des PME
Au-delà de la protection technique, il y à des obligations légales. Et elles se renforcent.
Le RGPD impose de protéger les données personnelles de vos clients, prospects et salariés. En cas de fuite, vous devez notifier la CNIL dans les 72 heures. Les sanctions peuvent aller jusqu’à 4 % du chiffre d’affaires annuel. La CNIL a prononcé plus de 89 millions d’euros d’amendes cumulées en 2023 – et les contrôles s’intensifient chaque année.
La directive NIS2, transposée en droit français, élargit les obligations de cybersécurité bien au-delà des seuls opérateurs critiques. Si votre PME est sous-traitante d’une entreprise concernée, vous devez vous conformer à des exigences de sécurité renforcées. Ça concerne la gestion des risques, la notification des incidents, et la gouvernance de la sécurité.
Concrètement, pour se mettre en conformité sans y consacrer des semaines :
- Cartographiez vos données : quelles informations personnelles vous traitez, où elles sont stockées, qui y a accès
- Tenez un registre des traitements (modèle gratuit sur le site de la CNIL)
- Désignez un référent sécurité, ou faites appel à un DPO externalisé si votre volume de données le justifie
- Documentez votre plan de réponse aux incidents
Les dispositifs publics pour accompagner les PME
L’État a lancé en janvier 2026 la Stratégie Nationale de Cybersécurité 2026-2030, avec un volet spécifique pour les PME et collectivités.
Ce qui existe concrètement :
Cybermalveillance.gouv.fr reste le guichet central. En cas d’attaque, le site propose un parcours d’assistance guidé qui vous met en relation avec des prestataires référencés près de chez vous. Le diagnostic de maturité cyber (gratuit, 10 minutes) vous donne un état des lieux de votre niveau de protection.
L’ANSSI publie régulièrement des guides pratiques. Le guide de cybersécurité pour les TPE/PME, rédigé avec le MEDEF, liste 13 questions pour évaluer votre posture de sécurité. C’est un bon point de départ avant de lancer un audit formel.
Les CCI (Chambres de Commerce et d’Industrie) proposent des ateliers de sensibilisation et parfois des diagnostics cyber gratuits ou subventionnés. Renseignez-vous auprès de votre CCI locale.
Des dispositifs régionaux existent aussi. Certaines régions financent une partie des audits de cybersécurité pour les PME de leur territoire (jusqu’à 50 % du coût dans certains cas).
Que faire si votre PME est attaquée : les premiers réflexes
Quand l’attaque survient, la panique est le pire ennemi. Avoir préparé les bons réflexes fait la différence entre une crise gérée en quelques jours et un arrêt d’activité de plusieurs semaines.
Les quatre premières actions :
- Isoler immédiatement les machines infectées. Débranchez le câble réseau, désactivez le Wi-Fi. Ne les éteignez pas – les traces en mémoire sont utiles pour l’enquête.
- Alerter votre prestataire IT ou, si vous n’en avez pas, rendez-vous sur cybermalveillance.gouv.fr pour être orienté vers un professionnel.
- Prévenir votre assureur cyber (si vous avez souscrit un contrat). Plus vous le faites tôt, plus la prise en charge est efficace. La plupart des assureurs ont des hotlines disponibles 24h/24.
- Notifier la CNIL dans les 72 heures si des données personnelles sont compromises. C’est une obligation légale RGPD. Déposez aussi une plainte auprès de la police ou gendarmerie (la plateforme THESEE permet de le faire en ligne).
Un point souvent oublié : ne supprimez rien. Pas de reformatage, pas de réinstallation précipitée. Les traces numériques sont nécessaires pour comprendre comment l’attaque s’est produite et éviter qu’elle ne se reproduise.
Comment les PME peuvent-elles se protéger des cyberattaques avec un budget limité ?
Les premières mesures sont gratuites : activer la MFA sur tous les comptes critiques, mettre à jour les logiciels, former les collaborateurs au phishing. Un gestionnaire de mots de passe open source comme Bitwarden est gratuit. Pour un investissement de 5 000 à 15 000 € par an, une PME de 20 postes peut couvrir l’essentiel (EDR, pare-feu, sauvegardes, assurance cyber).
Quelles sont les cyberattaques les plus fréquentes contre les PME ?
Le phishing arrive en tête (91 % des attaques commencent par un e-mail), suivi des ransomwares et de la compromission de comptes. En 2026, les attaques exploitant l’IA (phishing ultra-réaliste, deepfakes vocaux) sont en forte hausse. Les attaques par force brute sur les accès VPN et les services cloud mal configurés complètent le tableau.
L’assurance cyber est-elle utile pour une PME ?
Oui. Elle couvre les frais de gestion de crise, les pertes d’exploitation, la restauration des données et la responsabilité civile en cas de fuite. Pour une PME de 20 à 50 salariés, comptez entre 500 et 3 000 € par an. Les assureurs exigent un socle minimum de protection (MFA, sauvegardes, antivirus pro), ce qui pousse à adopter les bonnes pratiques.
Que faire en cas de cyberattaque contre sa PME ?
Isoler les machines infectées (débrancher le réseau sans éteindre), contacter votre prestataire IT ou cybermalveillance.gouv.fr, prévenir votre assureur cyber, et notifier la CNIL dans les 72 heures si des données personnelles sont touchées. Ne supprimez aucune donnée – les traces sont utiles pour l’enquête et la prévention.
Les PME sont-elles concernées par la directive NIS2 ?
Pas directement dans tous les cas, mais si votre PME est sous-traitante ou fournisseur d’une entreprise concernée, vous devez respecter des exigences de sécurité renforcées. NIS2 impose la gestion des risques, la notification d’incidents et la gouvernance de la sécurité. Vos clients grands comptes risquent de vous l’imposer contractuellement, même si la directive ne vous vise pas directement.
Combien coûte un audit de cybersécurité pour une PME ?
Entre 3 000 et 10 000 € selon le périmètre (nombre de postes, serveurs, applications). Le diagnostic gratuit de cybermalveillance.gouv.fr est un bon premier pas. Certaines CCI et régions subventionnent une partie du coût de l’audit (jusqu’à 50 %). L’ANSSI recommande un audit au moins tous les deux ans pour les PME.
