Ces dernières années, une tendance marquante s’est imposée dans le paysage des technologies et des services numériques : le ruissellement des offres initialement conçues pour les grandes entreprises vers les petites et moyennes structures. Ce phénomène, rendu possible par des avancées technologiques majeures et des modèles économiques plus flexibles, trouve ses racines dans plusieurs facteurs.
D’une part, la démocratisation du cloud computing, associée à l’évolution des infrastructures IT, permet désormais aux PME d’accéder à des solutions autrefois réservées aux grands groupes, comme les logiciels de gestion d’entreprise (ERP), les outils de collaboration ou encore les solutions avancées de cybersécurité. D’autre part, la transformation numérique des PME est devenue un enjeu stratégique, poussée par une demande croissante de productivité, de réactivité, et de compétitivité sur des marchés de plus en plus globalisés. En ce moment, l’entrée en vigueur prochaine de NIS 2 redonne un nouvel élan aux offres dédiées aux PME.
Ces offres ciblées prennent en compte plusieurs spécificités des PME : une capacité d’investissement souvent limitée, une expertise technique en interne réduite, et un besoin de solutions intuitives et prêtes à l’emploi. Les solutions packagées, c’est-à-dire intégrées, et, pour les meilleures, unifiée sous une même interface, et les modèles d’abonnement sont donc privilégiés. Ceci parce qu’ils permettent une flexibilité budgétaire et une mise en œuvre rapide. En outre, les fournisseurs de services adaptent leurs solutions à la taille des équipes et aux flux de travail des PME, avec des interfaces simplifiées, une personnalisation allégée, ou assistée par l’IA, et des options d’intégration plus standardisées.
Une étude centrée sur les PME françaises
Une étude menée par WatchGuard, en collaboration avec OpinionWay, apporte un éclairage unique sur l’état des lieux de la cybersécurité au sein des PME françaises. En se concentrant spécifiquement sur les entreprises de 100 à 249 salariés, elle met en lumière des réalités souvent négligées dans les études globales ou orientées vers de plus grandes organisations. Ce choix de cible est d’autant plus pertinent qu’en France, les PME représentent 99,9 % des entreprises et plus de 6 millions d’emplois, apportant ainsi une contribution colossale à l’économie nationale.L’un des principaux apports de cette étude est de dresser un état des lieux précis de la réalité des cyberattaques qui affectent les PME, un segment d’entreprises souvent moins médiatisé que les grandes structures dans le domaine de la cybersécurité. Cette enquête met en lumière les défis spécifiques que rencontrent les petites et moyennes entreprises.
Les disparités sectorielles relevées sont particulièrement intéressantes. Par exemple, le commerce (75 % des entreprises attaquées) l’industrie (65 %) et l’agriculture (58 %) ont été touchées, contre seulement 30 % dans les services, soulignant des différences
d’« attractivité » en fonction de l’activité. Ces informations ouvrent des perspectives utiles pour prioriser les efforts de protection en fonction des secteurs.
L’impact concret des attaques, avec 29 % des entreprises touchées ayant souffert de perturbations de services, met en lumière la réalité quotidienne des cyberattaques. Ces perturbations peuvent générer des pertes financières pour des PME, où chaque jour d’arrêt de production ou de service peut être fatal. De plus, l’étude montre la pluralité des méthodes d’attaque utilisées, avec 19 % des attaques basées sur des rançongiciels, mais aussi des vols d’argent (21 % des cas) ou des exfiltrations de données, indiquant que les PME doivent faire face à une diversité de menaces, souvent sous-estimées.
Une photographie de la maturité cyber des PME
L’étude ne se contente pas de dresser un état des lieux des cyberattaques, mais s’intéresse également au niveau de préparation et aux solutions adoptées par les PME pour se protéger. Il est intéressant de noter que 82 % des entreprises disposent déjà d’un antivirus et 80 % d’un pare-feu. Ce chiffre montre que les PME ne sont pas inactives en matière de cybersécurité, mais qu’elles adoptent des solutions sommaires, voire dépassées, au regard de la sophistication des attaques et de la complexité de la pile technologique.D’autres bonnes pratiques, comme l’authentification multifacteur — adoptée par 72 % des PME — et les systèmes de détection et réponse aux incidents (EDR) — installés dans 71 % des entreprises — montrent une progression encourageante dans l’adoption de technologies avancées.
Toutefois, tout cela ne sera bientôt plus suffisant. À partir de janvier prochain, la gestion des cyberattaques nécessitera une approche plus sophistiquée, comme l’exige NIS 2. Par exemple, les audits réguliers de cybersécurité doivent devenir une norme, de même que le renforcement des systèmes de détection des menaces en temps réel et de réponse rapide en cas d’intrusion.
De la solitude des décideurs face aux impacts
De plus, l’étude met en avant des aspects psychologiques rarement abordés : le stress des décideurs face aux cyberattaques et leur impact sur leur vie personnelle (79 % d’entre eux indiquent que ces menaces affectent leurs week-ends et vacances). Cette dimension humaine est essentielle, car elle montre que la cybersécurité n’est pas seulement une affaire de technologies et de processus, mais qu’elle touche également au bien-être des employés et dirigeants.Dans un contexte où la cybersécurité devient une obligation légale pour de nombreuses PME en Europe, l’étude de WatchGuard met en lumière les avancées, mais aussi les insuffisances des PME françaises en matière de cyberprotection. L’étude montre que les PME françaises ne partent pas de zéro, mais disposent plutôt d’une base solide avec des mesures comme la sensibilisation et la formation aux cybermenaces, adoptées par 82 % des entreprises. Cependant, NIS 2 exige une approche plus sophistiquée.
Par exemple, une gestion proactive des risques (tels que les audits réguliers et les systèmes de gestion de crise, des démarches adoptées par environ 62 % des PME selon l’étude), ainsi que des réponses rapides en cas d’incidents de sécurité. L’étude montre que de nombreuses PME françaises sont déjà sur la voie de cette conformité, avec la mise en place de plans de continuité d’activité (PCA) dans 62 % des cas et des cellules de gestion de crise cyber dans 62 % également. Cependant, ces chiffres, bien que prometteurs, indiquent aussi qu’une part importante des PME ne serait pas encore prête.