Un sondage mené par WatchGuard auprès de 125 prestataires MSP/MSSP hexagonaux révèle un décalage alarmant entre la dangerosité de la menace et la maturité cyber des PME françaises. Pour les prestataires interrogés, une PME sur quatre aurait déjà payé une rançon, et plus de 80 % ne seraient pas conformes au RGPD.
Si les PME françaises affirment souvent avoir confiance en leurs prestataires IT, le regard de ces derniers sur la cybersécurité de leurs clients est loin d’être rassurant. WatchGuard, éditeur spécialisé dans la cybersécurité unifiée, publie une enquête inédite menée auprès de 125 MSP et MSSP opérant sur le territoire français. Le constat est sévère : mauvaise connaissance des réglementations, sous-équipement, réactions tardives après attaque… les prestataires sonnent l’alarme.
Selon les résultats de l’enquête, une PME sur deux n’envisagerait des investissements en cybersécurité qu’après avoir subi une attaque. Et dans un quart des cas, ces entreprises ont déjà versé une rançon dans le cadre d’un rançongiciel. Cette stratégie de réaction plutôt que de prévention crée un biais de surinvestissement sous stress, peu propice à la rationalité stratégique.
« Faire la démarche de se protéger après avoir été victime d’une cyberattaque n’est pas le meilleur pari », prévient Pascal Le Digol, directeur France de WatchGuard. Les MSP eux-mêmes confirment que leurs recommandations vont généralement vers une approche plus posée, structurée dans le temps et intégrée aux autres investissements IT.
Rançongiciels, fuites et fraudes : les menaces les plus redoutées
Sans surprise, les prestataires interrogés rapportent que les PME craignent avant tout les rançongiciels (87 %), suivis des fuites de données (66 %), des fraudes au président (61 %) et de l’espionnage industriel (11 %). Ces priorités perçues confirment une exposition directe à des vecteurs d’attaque historiquement réservés aux grandes entreprises. Mais l’inquiétude ne suffit pas à compenser les lacunes : 55 % des MSP estiment que les PME sont mal ou très mal équipées pour faire face aux risques. Le manque de moyens financiers arrive en tête des freins, devant la méconnaissance des enjeux cyber et l’absence de compétences internes.
L’enquête souligne un point particulièrement préoccupant : 80 % des MSP estiment que les PME de leur région ne sont pas conformes au RGPD, pourtant en vigueur depuis 2018. Pire encore, 86 % affirment que leurs clients PME ignorent totalement l’existence de la directive NIS 2, pourtant stratégique pour la résilience numérique du tissu économique européen.
Ce décalage illustre une forme de brouillard réglementaire qui pourrait se transformer en risque juridique, notamment dans les secteurs critiques ou soumis à des obligations de cybersécurité renforcées. Il met également en lumière le rôle charnière que jouent les prestataires dans l’acculturation des dirigeants de PME aux nouvelles exigences réglementaires.
Une cyber encore marginale dans le modèle économique des MSP
La cybersécurité représente un segment en croissance, mais encore secondaire pour la majorité des prestataires : 46 % déclarent que la cyber ne pèse que pour moins de 25 % de leur chiffre d’affaires, et 44 % situent cette part entre 25 et 50 %. Seuls 25 % des répondants sont des acteurs exclusivement orientés cybersécurité ; les autres ont intégré ces offres dans un modèle plus large d’infogérance ou d’intégration IT.
En termes d’offre, les services les plus courants incluent les pare-feu, les solutions EDR, MFA, et les services gérés de type SOC ou MDR, proposés respectivement par 40 % et 36 % des MSP interrogés. Cette diversification illustre une professionnalisation progressive, mais encore inégale, de l’écosystème MSSP français.
Un rôle stratégique à assumer auprès des PME
Pour Pascal Le Digol, la conclusion s’impose : « La cybersécurité n’est plus réservée aux grandes entreprises ». Le rôle des prestataires devient alors central pour faire de la sécurité un standard accessible, pérenne et adapté aux spécificités des PME françaises. L’approche unifiée défendue par WatchGuard a justement pour but de simplifier cette transition, en misant sur des offres intégrées, évolutives et calibrées pour des structures à moyens limités.
Au-delà de la technique, l’enjeu est clairement stratégique : réduire la fracture cyber entre petites et grandes entreprises, tout en professionnalisant le rôle des prestataires comme tiers de confiance. Car à l’heure de la généralisation des menaces et de la montée en puissance des régulations, la sécurité ne peut plus être un arbitrage différé : elle devient un facteur de survie économique.
