Accueil
Services
Accompagnement cybersécuritéFormation dirigeants & managersFormation sensibilisation
BlogQui sommes-nous
Nous contacter
Retour au blog
CybersécuritéPMESensibilisationRansomware

« On est trop petits pour intéresser les hackers » : pourquoi c'est faux

Dunalis

Dunalis

Expert Cybersécurité

« On n'a que 15 salariés, pourquoi un hacker s'intéresserait à nous ? »

C'est probablement la phrase que nous entendons le plus souvent. Elle part d'une intuition logique : les pirates visent les gros poissons, les banques, les hôpitaux, les multinationales. Pas une PME du bâtiment ou un cabinet comptable de province.

Le problème, c'est que cette intuition est fausse. Et les chiffres le prouvent.

Les TPE-PME sont les premières victimes en France

L'ANSSI (l'agence nationale de cybersécurité) publie chaque année un bilan des cyberattaques en France. Le dernier rapport, publié en mars 2026, est sans ambiguïté :

Les TPE, PME et ETI (entreprises de taille intermédiaire) représentent 48 % des victimes de ransomware (un logiciel qui bloque vos fichiers et exige une rançon pour les débloquer) identifiées en France en 2025. C'est la catégorie la plus touchée, loin devant les collectivités (11 %) et les établissements de santé (8 %).

Ce n'est pas un accident statistique. En 2024, elles représentaient déjà 37 % des victimes. En 2023, 34 %. La tendance est claire : la part des petites entreprises parmi les victimes augmente chaque année.

À l'échelle mondiale, le rapport Verizon DBIR 2025 (la référence du secteur, basé sur l'analyse de 22 000 incidents de sécurité) enfonce le clou : les ransomwares sont présents dans 88 % des violations touchant les PME, contre 39 % pour les grandes entreprises. Les petites structures sont frappées près de 4 fois plus que les grandes.

Les pirates ne vous « choisissent » pas. Un robot vous trouve.

Voilà le malentendu fondamental. L'image du hacker qui sélectionne minutieusement sa cible est un cliché. Dans la réalité, la grande majorité des cyberattaques sont automatisées.

Des robots scannent Internet en permanence

Selon le rapport Thales/Imperva 2025, les robots malveillants représentent 37 % de tout le trafic Internet. Ces robots ne savent pas si vous êtes une PME de 10 salariés ou une multinationale. Ils scannent des millions d'adresses IP à la recherche de failles connues : un VPN pas à jour, un serveur mal configuré, un accès distant sans double authentification.

Quand ils trouvent une porte ouverte, ils entrent. Peu importe la taille de l'entreprise derrière.

Le ransomware est devenu un service

On parle de Ransomware-as-a-Service (RaaS) : des groupes criminels développent le logiciel malveillant et le mettent à disposition d'autres pirates, parfois moyennant un simple pourcentage sur les rançons collectées. Résultat : n'importe qui peut lancer une campagne de ransomware, sans compétence technique particulière.

Les attaques par ransomware ont augmenté de 126 % au premier trimestre 2025, avec une moyenne de 275 attaques par jour dans le monde (Check Point). Ce n'est plus artisanal, c'est industriel.

Le phishing reste la cause n°1

Le phishing (ou hameçonnage), c'est un faux e-mail qui imite un fournisseur, une banque ou un service connu pour vous inciter à cliquer sur un lien piégé ou à entrer vos identifiants. Selon le baromètre 2025 de Cybermalveillance.gouv.fr, parmi les TPE-PME ayant identifié l'origine de leur incident :

  • 43 % ont été victimes de phishing (quasi le double par rapport à 2024)
  • 18 % ont subi l'exploitation d'une faille de sécurité non corrigée
  • 11 % ont été piégées via un site web malveillant

Le phishing ne nécessite aucune connaissance de votre entreprise. Un e-mail convaincant envoyé à des milliers d'adresses suffit. Si un seul collaborateur clique sur le lien et entre ses identifiants, c'est terminé.

Ce qu'une attaque coûte vraiment à une PME

Les conséquences d'une cyberattaque ne se limitent pas à payer (ou ne pas payer) une rançon. Le vrai coût, c'est tout ce qui vient après.

L'arrêt d'activité

Pendant l'attaque et l'investigation qui suit, une partie ou la totalité de votre système d'information peut être à l'arrêt. Plus de messagerie, plus d'accès aux fichiers clients, plus de facturation, plus de logiciel métier. Selon Sophos, le coût moyen de remédiation (hors rançon) atteint 1,5 million de dollars. Ce chiffre inclut tout ce à quoi on ne pense pas immédiatement : les salaires versés pendant que la production est à l'arrêt, l'intervention d'urgence d'un prestataire pour restaurer les systèmes, le rachat éventuel de matériel compromis, les heures supplémentaires pour rattraper le retard, les pénalités de retard auprès des clients.

Pour une PME de 20 salariés, même 5 jours d'arrêt complet représentent des dizaines de milliers d'euros de chiffre d'affaires perdu, avec des charges qui continuent de tomber. Et ce calcul ne tient pas compte du temps passé à reconstruire ce qui a été détruit.

La perte de clients et de confiance

Comment expliquer à vos clients que leurs données personnelles ont été volées ? Que leurs devis, leurs factures, leurs coordonnées bancaires sont peut-être entre les mains de criminels ? La perte de confiance est souvent le dommage le plus durable et le plus difficile à réparer.

La fermeture

Une étude Mastercard menée en 2025 auprès de 5 000 dirigeants de PME dans le monde révèle que près d'1 PME sur 5 ayant subi une cyberattaque a déposé le bilan ou fermé définitivement. Ce n'est pas une estimation théorique, c'est un constat.

Et 75 % des PME interrogées par VikingCloud déclarent qu'elles ne pourraient tout simplement pas continuer leur activité si elles étaient frappées par un ransomware.

80 % des PME françaises se disent non préparées

Le baromètre national de maturité cyber des TPE-PME 2025, réalisé par OpinionWay pour Cybermalveillance.gouv.fr en partenariat avec la CPME et le MEDEF, dresse un portrait lucide mais préoccupant :

  • 44 % des dirigeants estiment être fortement exposés au risque cyber (contre 38 % en 2024)
  • 80 % se disent non préparés à une attaque (49 % « pas préparés » + 31 % « ne savent pas »)
  • 58 % ne savent pas évaluer les conséquences d'une cyberattaque sur leur activité
  • 16 % ont été victimes d'au moins un incident dans les 12 derniers mois

Côté budget, le constat est sans appel : 75 % des TPE-PME consacrent moins de 2 000 euros par an à leur cybersécurité. Et 30 % des dirigeants considèrent toujours que la cybersécurité n'est pas une priorité.

Ce qui est en place (et ce qui manque)

Les PME françaises ont les bases : 84 % ont un antivirus, 78 % font des sauvegardes, 69 % ont un pare-feu.

Mais les mesures qui font vraiment la différence contre les attaques modernes restent rares :

  • Seulement 26 % utilisent l'authentification multifacteur (MFA)
  • Seulement 16 % ont un système de détection d'attaques
  • Seulement 24 % ont une procédure de réponse à incident

Un antivirus seul ne suffit plus face à un ransomware qui entre par un e-mail de phishing et se propage sur tout le réseau en quelques minutes.

La réglementation rattrape les PME

Si le risque business ne suffisait pas à convaincre, la réglementation s'en charge.

NIS2 : le périmètre explose

La directive européenne NIS2, en cours de transposition en France, élargit considérablement le nombre d'entreprises concernées par des obligations de cybersécurité : on passe de 300 entités sous NIS1 à plus de 10 000 en France. Toute entreprise de 50 salariés ou plus (ou 10 millions d'euros de chiffre d'affaires) dans un secteur couvert est potentiellement concernée.

Les sanctions peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial. Et les dirigeants peuvent être tenus personnellement responsables en cas de négligence grave.

La CNIL cible désormais les petites entreprises

En 2024, la CNIL (l'autorité française de protection des données personnelles) a prononcé 87 sanctions (le double de 2023), pour un total de 55 millions d'euros. Le changement le plus notable : 8 sanctions sur 10 visaient des TPE et des PME. Fini le temps où seuls les GAFAM étaient sanctionnés. La CNIL a simplifié sa procédure pour traiter plus de dossiers, plus vite. Les amendes peuvent sembler modestes (jusqu'à 20 000 euros en procédure simplifiée), mais elles s'ajoutent à l'obligation de se mettre en conformité, ce qui peut représenter un coût significatif.

Ce que vous pouvez faire, concrètement

La bonne nouvelle, c'est que les mesures les plus efficaces ne sont ni les plus coûteuses, ni les plus complexes.

1. Formez vos équipes

43 % des incidents en PME commencent par un phishing. Un e-mail bien imité, un clic de trop, et c'est toute l'entreprise qui est compromise. La sensibilisation régulière de vos collaborateurs est la mesure la plus rentable qui existe : elle divise ce risque par deux. Ce n'est pas un sujet technique, c'est un sujet humain. Chaque collaborateur est soit un maillon faible, soit une ligne de défense.

2. Mettez à jour vos logiciels et équipements

Les failles non corrigées sont la deuxième cause d'intrusion (18 % des incidents en PME). Un VPN, un pare-feu ou un serveur pas à jour, c'est une porte ouverte que les robots trouvent en quelques minutes. Automatisez les mises à jour partout où c'est possible, et priorisez les équipements exposés à Internet.

3. Créez une culture de cybersécurité

La cybersécurité n'est pas un projet ponctuel, c'est un réflexe quotidien. Activez la double authentification (MFA) sur tous vos services : elle bloque plus de 99 % des compromissions de compte, et c'est gratuit sur la plupart des outils (Microsoft 365, Google Workspace, banques en ligne). Instaurez une politique de mots de passe solides. Définissez des règles claires sur l'utilisation des appareils personnels. Faites de la sécurité un sujet de direction, pas uniquement d'informatique.

4. Faites des sauvegardes et testez-les

78 % des PME font des sauvegardes. Mais combien les testent ? Une sauvegarde qui ne fonctionne pas le jour J, c'est comme ne pas en avoir. Appliquez la règle 3-2-1 : 3 copies de vos données, sur 2 supports différents, dont 1 hors site (ou hors ligne). Et testez une restauration complète au moins une fois par trimestre. Le jour où un ransomware chiffre vos fichiers, c'est votre sauvegarde qui décide si vous reprenez en quelques heures ou en plusieurs semaines.

Ce qu'il faut retenir

Les cyberattaques ne ciblent pas les entreprises en fonction de leur taille. Elles ciblent les entreprises en fonction de leur niveau de vulnérabilité. Et les TPE-PME, par manque de moyens, de temps ou de sensibilisation, sont souvent les plus vulnérables.

Les chiffres sont clairs : les petites entreprises représentent la moitié des victimes de ransomware en France. Les attaques sont automatisées, industrialisées, et ne nécessitent aucune connaissance préalable de votre entreprise pour vous atteindre.

La question n'est plus de savoir si votre PME intéresse les hackers. Elle les intéresse déjà, par le simple fait d'exister sur Internet.

Sources : ANSSI, Panorama de la Cybermenace 2025, Verizon DBIR 2025, Cybermalveillance.gouv.fr, Baromètre TPE-PME 2025, Sophos, State of Ransomware 2025, Mastercard, Global SMB Cybersecurity Study 2025, CNIL, Bilan 2024, Check Point, Q1 2025 Ransomware Report, Thales/Imperva, Bad Bot Report 2025.

Échange confidentiel · Sans engagement

Votre PME est-elle prête à encaisser une cyberattaque ?

80 % des TPE-PME se disent non préparées. Ne faites pas partie des statistiques. Dunalis vous accompagne pour construire une cybersécurité adaptée à votre taille et vos moyens.

État des lieux de votre niveau de sécurité
Accompagnement cybersécurité adapté aux PME
Actions concrètes, sans jargon, à votre rythme
Contactez-nous