Près de 9 TPE-PME sur 10 s’estiment équipées d’un dispositif de cybersécurité, mais seule une sur deux se dit préparée à une attaque. L’étude Cybermalveillance-TPE-PME 2025 révèle une gouvernance lacunaire, des budgets contraints, une méconnaissance des obligations réglementaires et un sentiment d’exposition toujours élevé, surtout chez les structures les plus matures.

La majorité des petites entreprises françaises perçoit aujourd’hui la cybersécurité comme une nécessité, sans toujours la traduire en moyens ou en gouvernance. Cette ambivalence est au cœur du dernier baromètre publié par OpinionWay pour Cybermalveillance.gouv.fr. Fondée sur un échantillon représentatif de 588 TPE-PME, l’étude met en évidence les écarts croissants entre les très petites structures et les entreprises de 50 salariés ou plus. Elle dresse un portrait contrasté d’un tissu économique exposé, peu préparé, et encore largement sous-informé sur les obligations à venir, en particulier la directive NIS 2.

Dans 80 % des cas, c’est le chef d’entreprise qui assure lui-même la gestion informatique, notamment dans les structures de moins de 10 salariés qui composent 95 % de l’échantillon. Deux tiers des répondants déclarent ne disposer d’aucun collaborateur spécifiquement en charge de ces questions, et près de 8 entreprises sur 10 n’ont que cinq postes informatiques ou moins. Cette faible densité numérique structurelle, souvent liée à une organisation artisanale ou de proximité, pèse directement sur les capacités de protection, de supervision et de remédiation en cas d’incident.

L’usage d’équipements personnels reste courant : 58 % des entreprises y ont recours, principalement pour les téléphones (91 %), mais aussi les ordinateurs (43 %) ou les messageries personnelles (27 %). Le budget informatique annuel est inférieur à 5 000 € dans 78 % des cas, avec une enveloppe cybersécurité souvent limitée à moins de 2 000 €, et 92 % des répondants n’envisagent pas de recrutement sur ces sujets. Ces éléments révèlent une dépendance critique aux ressources internes, sans renforcement prévu à court terme.

Un sentiment d’exposition croissant, mais peu de plans de réponse

Si 58 % des entreprises s’estiment correctement protégées, près de la moitié se déclarent insuffisamment préparées en cas d’attaque. Dans 65 % des cas, aucune procédure de réaction n’est formalisée, et seuls 31 % des répondants affirment être en capacité d’évaluer précisément les conséquences d’une cyberattaque. Cette vulnérabilité est d’autant plus préoccupante que 44 % se disent fortement exposées aux risques, un chiffre en hausse. Le sentiment d’exposition est nettement plus marqué chez les entreprises de 50 salariés et plus (67 %) ou déjà victimes d’un incident (62 %).

Dans les faits, 16 % des entreprises ont connu un ou plusieurs incidents de sécurité en 2025, avec des impacts concrets : interruption d’activité (29 %), vol de données (22 %), atteinte à l’image (15 %), pertes financières (11 %). L’hameçonnage est la cause la plus fréquente, cité par 43 % des victimes, devant les failles non corrigées et les maliciels téléchargés. Pourtant, seul un quart des répondants déclare connaître la directive NIS2, et moins d’une entreprise sur dix affirme s’y préparer ou être déjà conforme.

Des dispositifs techniques répandus, mais une gouvernance inégale

Les outils techniques sont globalement présents : antivirus (84 %), sauvegardes (78 %), pares-feux (69 %), politiques de mots de passe (51 %). Le niveau d’équipement progresse avec la taille des structures : les entreprises de plus de 50 salariés cumulent en moyenne 6,3 dispositifs, contre 4,0 en moyenne tous segments confondus. En revanche, les outils plus avancés comme la détection d’attaque (16 %), la supervision (12 %) ou la double authentification (26 %) restent minoritaires.

La gestion de la cybersécurité est internalisée dans 44 % des cas, externalisée dans 36 %, et inexistante dans 25 % des entreprises — un chiffre stable mais préoccupant. Les prestataires informatiques demeurent les premiers référents (39 %), devant Cybermalveillance.gouv.fr (31 %) et l’ANSSI (19 %). Notons que les grandes entreprises citent en moyenne 2,7 interlocuteurs contre 1,8 pour les plus petites. Cette démultiplication des points d’appui reflète une meilleure structuration, mais aussi une complexité accrue des risques à gérer.

Budgets contraints, offres jugées inadaptées, sensibilisation encore incomplète

Parmi les entreprises qui connaissent les solutions de cybersécurité (66 %), seules 49 % les jugent réellement adaptées à leurs besoins. Les freins invoqués relèvent surtout des coûts d’exploitation (67 %) et de mise en œuvre (62 %), suivis par la complexité de maintenance (35 %). Ce constat corrobore l’un des enseignements majeurs de l’étude : 63 % des entreprises non préparées invoquent un manque de connaissances ou d’expertise, 61 % un manque de budget, 59 % un manque de temps. Plus de 30 % estiment que la cybersécurité n’est tout simplement pas une priorité.

Près de 6 entreprises sur 10 ont bénéficié d’une action de sensibilisation en 2025, un chiffre en hausse. Mais cela laisse encore 4 entreprises sur 10 sans accompagnement récent. Les besoins exprimés portent d’abord sur les outils (57 %) et les conseils spécialisés (49 %), mais la sensibilisation des dirigeants (30 %) et des collaborateurs (28 %) s’impose de plus en plus comme un levier prioritaire. Cette attente de solutions pédagogiques adaptées traduit un besoin de rehausser la gouvernance cyber, au-delà des seuls outils techniques.

Renforcer la maturité cyber : un enjeu collectif encore à structurer

Le baromètre 2025 révèle une fracture persistante entre les TPE et les entreprises de taille intermédiaire, tant en matière de moyens que de posture. Si la plupart des entreprises perçoivent désormais la cybersécurité comme une responsabilité partagée (55 %), plus d’un tiers continue de la cantonner aux dirigeants seuls ou aux prestataires informatiques. L’absence de gouvernance formalisée, la faible connaissance des cadres réglementaires et le manque d’anticipation budgétaire freinent la construction d’une culture cyber intégrée au quotidien des structures.

Pour accompagner ce tissu économique morcelé, les politiques publiques devront à la fois renforcer les outils de diagnostic, développer des offres modulaires réellement adaptées aux capacités des TPE, et encourager des filières locales d’accompagnement. À l’heure de la montée en puissance de la directive NIS2 et des exigences d’interconnexion entre prestataires, la maturité cyber des plus petites structures devient un enjeu systémique. C’est à ce prix que pourra se bâtir une cybersécurité de filière résiliente, équitable et évolutive.