En 2025, le coût moyen d'une cyberattaque pour une PME française s'élevait à 35 000 €. Pas en termes de rançon payée — en coûts cumulés : arrêt d'activité, restauration des systèmes, communication de crise, perte de clients. Pour une structure avec 500 000 € de chiffre d'affaires annuel, c'est 7 % englouti en quelques jours. Sans compter les conséquences invisibles qui s'étirent sur des mois.
Le problème n'est pas que les PME ignorent les risques cyber. C'est qu'elles les évaluent mal — et sous-estiment systématiquement ce qu'une attaque coûte réellement, au-delà du scénario médiatisé de la rançon.
43 % des attaques visent des PME — et ce n'est pas un hasard
L'Agence nationale de la sécurité des systèmes d'information (ANSSI) le documente depuis plusieurs années : les PME et ETI représentent la cible la plus fréquente des cyberattaquants en France. En 2025, elles concentraient 43 % des incidents significatifs traités.
La logique est économique, pas idéologique. Une PME combine deux caractéristiques qui en font une cible rentable :
Elle détient des données précieuses. Fichiers clients, informations bancaires, données RH, secrets industriels, contrats fournisseurs. Moins structurées et moins chiffrées qu'une grande entreprise, mais suffisamment exploitables pour une revente ou un chantage.
Elle est structurellement sous-protégée. Pas de RSSI (Responsable de la Sécurité des Systèmes d'Information) en interne, pas de SOC (Security Operations Center), rarement des sauvegardes testées et isolées. Les outils de base sont souvent absents, ou présents mais non maintenus.
Les attaquants, dans leur grande majorité, n'opèrent pas manuellement. Ils déploient des scripts automatisés qui scannent des millions de sites et de systèmes en continu, à la recherche de vulnérabilités connues. Trouver une PME avec un site WordPress non mis à jour, c'est une question d'heures, pas de semaines.
Ce que coûte vraiment une cyberattaque : le détail que les communiqués oublient
Quand une PME est victime d'une attaque par ransomware — le scénario le plus fréquent — la rançon demandée est rarement la ligne de dépense la plus lourde. Le vrai coût se décompose ainsi.
L'arrêt d'activité
C'est le poste le plus immédiatement douloureux. Selon les données du cabinet Asterès (2025), une cyberattaque entraîne en moyenne 21 jours d'activité perturbée pour une PME — pas nécessairement un arrêt total, mais une paralysie partielle des outils, des accès et des communications. Pour une entreprise qui génère 2 000 € de marge par jour, c'est 42 000 € de manque à gagner avant même d'avoir payé un prestataire.
La restauration technique
Récupérer un système compromis ne se fait pas en appuyant sur un bouton. Il faut identifier le vecteur d'entrée, nettoyer les systèmes infectés, restaurer les données depuis des sauvegardes (si elles existent et si elles sont saines), vérifier qu'aucune porte dérobée n'a été laissée, puis reconfigurer les accès. Les prestataires spécialisés en réponse à incident facturent entre 800 € et 2 000 € par jour d'intervention. Une restauration complète prend rarement moins de 5 jours.
La notification légale et la communication de crise
Si l'attaque a compromis des données personnelles, vous avez 72 heures pour en informer la CNIL — et potentiellement les personnes concernées. Cette obligation légale déclenche des coûts juridiques, de communication, et parfois des sanctions RGPD si la violation révèle des manquements préexistants. La double peine.
La perte de clients et la réputation
C'est le coût le plus difficile à quantifier, et souvent le plus durable. Une étude IBM (2024) indique que 31 % des clients d'une PME victime d'une fuite de données déclarent avoir réduit ou cessé leurs achats dans l'année suivante. Pour une PME dont la relation client repose sur la confiance et la proximité, cet érosion peut être irréversible.
Les vecteurs d'attaque les plus fréquents en 2026
Le ransomware : paralysie contre rançon
Un fichier joint malveillant ouvert par un collaborateur, un accès distant non sécurisé, un plugin obsolète — et l'ensemble des fichiers de l'entreprise se retrouve chiffré. L'attaquant exige une rançon en cryptomonnaie pour fournir la clé de déchiffrement. Le montant moyen demandé aux PME en 2025 : entre 5 000 € et 50 000 €, avec des variantes qui montent bien au-delà pour les secteurs à données sensibles.
Payer ne garantit rien : selon le rapport Coveware (2025), 20 % des victimes qui paient n'obtiennent pas de données utilisables, ou se font ré-attaquer dans les trois mois.
Le phishing ciblé (spear phishing)
Les attaques par email génériques — "Cliquez ici pour valider votre colis" — sont de moins en moins efficaces car de mieux en mieux filtrées. Les attaquants sophistiqués pratiquent désormais le spear phishing : des emails personnalisés, usurpant l'identité d'un fournisseur connu, d'un banquier, ou du dirigeant lui-même, pour obtenir un virement ou des accès. L'IA générative a rendu ces messages indiscernables du vrai à l'œil nu.
Les vulnérabilités non corrigées sur les sites web
Un site WordPress avec des plugins non mis à jour est une cible documentée, référencée dans des bases de vulnérabilités publiques (CVE). Les attaquants automatisent la recherche de ces sites et peuvent les compromettre à grande échelle, sans intervention humaine. Un site piraté devient un vecteur d'attaque contre vos clients, un outil de diffusion de malwares, ou un point d'entrée vers votre réseau interne si l'hébergement est partagé.
L'attaque de la chaîne logistique
Vous n'êtes pas la cible finale — vous êtes la porte d'entrée vers un client plus important. Les sous-traitants et prestataires de grands groupes sont régulièrement compromis pour atteindre leurs donneurs d'ordre. Si vous travaillez avec des entreprises ou des institutions qui ont de la valeur, votre sécurité est aussi la leur.
Les cinq failles les plus courantes dans les PME françaises
1. Des mots de passe faibles ou réutilisés
La compromission de credentials reste le premier vecteur d'accès initial. Un mot de passe réutilisé entre un service personnel et un outil professionnel suffit — si l'un des services est compromis, l'autre l'est aussi. L'authentification à deux facteurs (2FA) bloque 99 % des attaques automatisées sur les comptes.
2. Des sauvegardes absentes ou non testées
Une sauvegarde non testée n'est pas une sauvegarde. Des dizaines de PME ont découvert, au moment d'une attaque, que leurs sauvegardes automatiques sauvegardaient aussi les fichiers chiffrés par le ransomware — ou que le processus de restauration n'avait jamais été exécuté et échouait au moment critique.
3. Un site web non maintenu
CMS, plugins, thèmes : chaque composant d'un site web a un cycle de vie et des correctifs de sécurité réguliers. Un site non mis à jour depuis 6 mois accumule des vulnérabilités connues et documentées. C'est une porte ouverte, pas une forteresse.
4. Des accès distants non sécurisés
Le télétravail a normalisé les connexions RDP (Remote Desktop Protocol) et VPN configurés à la hâte. Ces accès, exposés sur internet sans protection supplémentaire, sont activement scannés et ciblés. En 2025, le RDP non protégé représentait le premier vecteur d'entrée initial pour les ransomwares visant les PME.
5. Aucune procédure de réponse à incident
Quand l'attaque survient — et pour une PME non protégée, c'est une question de "quand", pas de "si" — l'absence de procédure multiplie les dégâts. Qui appelle-t-on en premier ? Comment isole-t-on les machines infectées ? Où sont les sauvegardes ? Qui prévient les clients ? Improviser ces décisions sous pression coûte cher en temps et en erreurs.
Comment GNTH Audit & Conseil évalue et réduit votre exposition
L'audit de sécurité web
GNTH Audit & Conseil réalise un audit technique de votre site internet et de vos points d'exposition publics : analyse des vulnérabilités connues (CVE), vérification des versions des composants, test de la configuration des accès et des en-têtes de sécurité, détection des portes dérobées potentielles. Vous obtenez un rapport avec un niveau de risque par point de contrôle et une priorisation claire des corrections.
L'audit organisationnel
La technique ne suffit pas. GNTH évalue aussi vos pratiques : gestion des mots de passe, politique de sauvegarde, gestion des accès distants, sensibilisation des équipes. Ce sont souvent les failles organisationnelles — pas techniques — qui créent les conditions d'une attaque réussie.
Le plan d'action et l'accompagnement post-audit
L'audit débouche sur un plan d'action structuré par priorité et par complexité de mise en œuvre. GNTH peut accompagner vos équipes ou vos prestataires techniques dans l'application des corrections identifiées, et valider les résultats lors d'un audit de suivi.
Ce que vous pouvez faire dès cette semaine
Sans attendre un audit complet, cinq actions immédiates réduisent significativement votre exposition :
- Activez le 2FA sur votre messagerie, votre hébergeur, et vos accès admin. C'est gratuit et cela prend 10 minutes.
- Vérifiez la date de la dernière mise à jour de votre site, de vos plugins et de votre CMS. Si c'est plus de 3 mois, c'est une urgence.
- Testez votre sauvegarde : êtes-vous capable de restaurer votre site en moins de 4 heures depuis une sauvegarde récente ?
- Listez vos accès sensibles : qui a les clés de votre hébergeur, de votre nom de domaine, de votre CRM ? Les anciens prestataires ou salariés ont-ils été révoqués ?
- Cherchez votre domaine sur Have I Been Pwned (haveibeenpwned.com) : cet outil gratuit indique si vos adresses email professionnelles ont été compromises dans une fuite de données publique.
La cybersécurité pour une PME n'est pas une question d'investissements massifs en infrastructure. C'est une question de méthode : identifier les expositions réelles, corriger les plus critiques en premier, et documenter les pratiques pour qu'une crise ne devienne pas une catastrophe. Les entreprises qui agissent sur ce terrain avant d'être attaquées ne dépensent pas plus que les autres — elles dépensent mieux, et au bon moment.