Devolutions, entreprise technologique canadienne présente dans 140 pays, publie l’étude State of IT security in SMBs in 2025 pour analyser la cybersécurité des PME. L’enquête s’appuie sur 445 répondants issus de divers secteurs, notamment la finance, la santé, l’éducation et le manufacturier.
Son rapport révèle un écart préoccupant entre la confiance et la capacité réelle : 71 % des PME se disent prêtes à gérer un incident majeur, mais seuls 22 % disposent d’une posture suffisamment robuste pour y résister.
La confiance diminue toutefois de 9 % par rapport à 2024, traduisant une prise de conscience accrue des risques. La gestion des accès privilégiés demeure souvent manuelle : 52 % des PME utilisent encore des tableurs ou des documents, exposant ainsi ces éléments critiques aux rançongiciels et intrusions.
Pire encore, cette pratique a augmenté de 7 % depuis l’an dernier, freins psychologiques à l’automatisation compris. L’IA suscite un fort intérêt pour la détection des menaces et l’analyse comportementale : 71 % des PME ont l’intention de l’adopter et 62 % jugent qu’elle jouera un rôle clé d’ici cinq ans. Malgré tout, 40 % ne l’utilisent pas encore, freinés par les coûts, le manque d’expertise et les enjeux de confidentialité.
Les menaces internes inquiètent
Les budgets cybersécurité croissent pour 63 % des PME, mais restent souvent mal répartis face à l’augmentation des menaces. Si 5 % y consacrent plus de 20 % de leur budget global, 29 % allouent moins de 5 % et 25 % ne connaissent même pas leursratios de dépense.
Les menaces internes inquiètent 78 % des PME, pourtant seulement 20 % ont un plan dédié pour y répondre. La préoccupation a bondi de 45 % en un an, sans toutefois se traduire par une amélioration significative des stratégies de détection et de prévention des malveillances internes.
La formation du personnel reste inégale : 39 % offrent des programmes continus et 32 % imposent des modules de sensibilisation, tandis que 17 % ne proposent aucune formation. Ce taux a même reculé de 2 % depuis 2024, alors que la plupart des failles résultent d’erreurs humaines.
En filigrane, le rapport souligne que les PME prennent la cybersécurité au sérieux mais peinent à mettre en œuvre les solutions nécessaires pour se prémunir efficacement. Parmi elles, 43 % ont subi au moins une cyberattaque annuelle, et seuls 31 % l’ont détectée dans les premières minutes, illustrant l’urgence d’agir.
