Accueil
Services
Accompagnement cybersécuritéFormation dirigeants & managersFormation sensibilisation
BlogQui sommes-nous
Nous contacter
Retour au blog
CybersécuritéPMEMenacesRisques

Quels sont les risques cyber pour les PME/TPE ?

Dunalis

Dunalis

Expert Cybersécurité

Quand on dirige une PME ou une TPE, la cybersécurité ressemble souvent à un mur de sigles : ransomware, phishing, FOVI, NIS2, RGPD… On sait qu'il faut s'en occuper, mais on ne sait pas par quoi commencer. La première étape, ce n'est pas d'acheter un outil. C'est de comprendre à quoi on est exposé.

Cet article fait le tour des principaux risques cyber qui touchent réellement les petites structures en France aujourd'hui - pas ceux des films, ceux des rapports d'incidents.

Risque cyber : de quoi parle-t-on exactement ?

Un risque cyber, ce n'est pas une menace. C'est la rencontre entre trois éléments :

  • une menace (un acteur, une technique d'attaque),
  • une vulnérabilité (une faille technique, organisationnelle ou humaine),
  • un impact (financier, opérationnel, juridique, réputationnel).

Une menace seule n'est pas un risque. Une vulnérabilité seule non plus. Le risque, c'est ce qui peut vraiment arriver à votre entreprise, compte tenu de ce que vous faites, des outils que vous utilisez, et des données que vous manipulez.

C'est pour ça qu'on ne peut pas répondre « les risques cyber pour ma PME, c'est X » sans regarder votre activité. Mais on peut dresser la liste des grandes familles de risques qui concernent la plupart des petites structures.

1. Le ransomware : le risque le plus coûteux

Le ransomware (ou rançongiciel) chiffre vos fichiers et exige une rançon pour les rendre lisibles à nouveau. Les versions modernes pratiquent la double extorsion : vos données sont à la fois chiffrées et volées, et les attaquants menacent de les publier si vous ne payez pas.

C'est aujourd'hui le risque numéro un en termes d'impact pour une PME :

  • arrêt complet ou partiel de l'activité pendant plusieurs jours à plusieurs semaines ;
  • coût moyen de remédiation autour de 1,5 million de dollars (Sophos, State of Ransomware 2025) ;
  • près d'une PME sur cinq victime d'un ransomware finit par déposer le bilan (Mastercard, 2025).

Le ransomware n'arrive presque jamais seul. Il est la conséquence visible d'un risque sous-jacent : un VPN pas à jour, un compte sans double authentification, un clic sur un mail piégé. C'est pour ça que la défense ne se résume pas à un antivirus.

2. Le phishing et l'ingénierie sociale

Le phishing (hameçonnage) reste la porte d'entrée la plus fréquente : selon le baromètre 2025 de Cybermalveillance.gouv.fr, 43 % des incidents en PME identifiés démarrent par un mail piégé.

L'ingénierie sociale, c'est exploiter la confiance ou la routine plutôt qu'une faille technique. Quelques variantes courantes :

  • Phishing de masse : un mail imitant une banque, un fournisseur, un service public, envoyé à des milliers d'adresses.
  • Spear phishing : un mail ciblé, qui mentionne votre nom, votre fonction, parfois un dossier en cours. Beaucoup plus convaincant.
  • Quishing : un QR code piégé dans un mail ou affiché sur une affiche, qui redirige vers une fausse page de connexion.
  • Vishing : un appel téléphonique d'un faux support IT ou d'un faux banquier.

Pourquoi ce risque pèse plus sur les PME ? Parce qu'il ne demande aucune connaissance préalable de l'entreprise, qu'il est devenu industriel (avec l'IA, les mails sont désormais sans fautes et personnalisés), et qu'il suffit d'un seul clic sur un compte un peu privilégié pour ouvrir la porte.

3. La fraude au virement (FOVI / fraude au président)

La FOVI - Fraude aux Ordres de Virement - n'est pas une attaque informatique au sens strict, mais elle reste l'un des risques les plus rentables pour les attaquants. Le mode opératoire est connu :

  • usurpation de l'identité du dirigeant, d'un fournisseur ou d'un avocat ;
  • demande pressante de virement, souvent en fin de journée ou la veille d'un week-end ;
  • prétexte d'urgence et de confidentialité pour court-circuiter les contrôles habituels.

Avec la deepfake vocale et vidéo, le risque s'aggrave : on a déjà vu des fraudes à plusieurs dizaines de millions d'euros validées après une visio truquée avec un faux dirigeant. Les TPE et PME sont particulièrement exposées car les circuits de validation y sont plus courts, et un dirigeant peut donner un ordre direct sans étape intermédiaire.

Bonne nouvelle : ce risque se traite avec des procédures, pas avec des outils. Une règle simple - aucun virement nouveau ou modifié sans double vérification par un canal différent - neutralise l'écrasante majorité des tentatives.

4. La compromission de comptes et les mots de passe faibles

Quand une fuite de données touche un service grand public (réseau social, boutique en ligne, forum), les couples mail/mot de passe se retrouvent sur des marketplaces criminelles. Les attaquants les rejouent ensuite automatiquement sur des centaines d'autres services : c'est le credential stuffing.

Si l'un de vos collaborateurs utilise le même mot de passe sur LinkedIn et sur votre messagerie professionnelle, et que LinkedIn fuit (ce qui arrive régulièrement), votre boîte mail est exposée - sans qu'aucune attaque ne vise directement votre entreprise.

L'authentification multifacteur (MFA) bloque plus de 99 % de ces tentatives. Pourtant, seulement 26 % des PME françaises l'ont activée selon le baromètre TPE-PME 2025. C'est probablement le meilleur rapport coût/efficacité de toute la cybersécurité.

5. Le risque venant de vos fournisseurs (supply chain)

Vos fournisseurs ont accès à vos systèmes, à vos données, ou à votre infrastructure. Si l'un d'eux est compromis, vous l'êtes potentiellement aussi.

Quelques scénarios concrets :

  • votre prestataire informatique est piraté, ses accès administrateurs aux serveurs de ses clients (dont vous) sont exploités ;
  • une bibliothèque open source utilisée par votre application est compromise (le cas Axios/npm fin 2025 a touché des dizaines de milliers d'entreprises) ;
  • un logiciel SaaS que vous utilisez subit une fuite de données, exposant les vôtres.

Ce risque est particulièrement vicieux pour les PME parce qu'on ne contrôle pas ce qui se passe chez les autres. Les questions à se poser : qui a un accès distant à mes systèmes ? À quelles données ont accès mes prestataires ? Qui me préviendrait si l'un d'eux était piraté ?

Vous ne savez pas à quels risques votre PME est réellement exposée ? Nous faisons un état des lieux de votre exposition en 30 minutes et vous proposons un plan d'action concret. Découvrir notre accompagnement cybersécurité

6. La menace interne

Pas (toujours) un employé malveillant. La menace interne, c'est aussi :

  • un salarié qui clique sur un lien piégé ;
  • un stagiaire qui télécharge un outil gratuit truffé de malware ;
  • un commercial qui part chez un concurrent avec une copie du fichier client ;
  • un ancien collaborateur dont le compte n'a pas été désactivé.

Selon Verizon DBIR 2025, environ 20 % des incidents ont une dimension interne. Le risque ici n'est pas tant la malveillance - qui reste minoritaire - que l'erreur humaine et le manque de gestion des accès. Un compte qui traîne après un départ, c'est une clé qu'on a oublié de récupérer.

7. Les vulnérabilités non corrigées

Une part importante des intrusions n'exploite ni l'humain ni la complexité : juste des failles connues, publiques, corrigées par l'éditeur… mais pas appliquées chez la victime. 18 % des incidents en PME démarrent ainsi (Cybermalveillance.gouv.fr 2025).

Les équipements les plus à risque sont systématiquement :

  • les VPN et passerelles d'accès distant ;
  • les pare-feux et routeurs exposés à Internet ;
  • les serveurs de messagerie sur site ;
  • les applications métier publiées sur Internet (extranet client, portail fournisseur) ;
  • les CMS (WordPress et ses extensions, en tête).

Le coût pour corriger est dérisoire (souvent : appliquer une mise à jour). Le coût d'une intrusion via une faille connue depuis six mois est, lui, considérable - et l'argument « on n'avait pas vu passer le correctif » ne tient ni devant un assureur, ni devant la CNIL.

8. Le shadow IT et le SaaS non maîtrisé

Le « shadow IT », c'est l'ensemble des outils utilisés par vos équipes sans que la direction le sache : un Trello perso, un Google Drive partagé, un outil d'IA générative gratuit, un transfert de fichiers via WeTransfer.

Le risque n'est pas que ces outils soient mauvais - beaucoup sont excellents. Le risque, c'est :

  • la perte de visibilité (vous ne savez plus où sont vos données) ;
  • la perte d'accès quand un salarié part avec son compte perso ;
  • l'exposition de données sensibles à des services qui les utilisent pour entraîner des modèles ;
  • l'absence de sauvegarde maîtrisée.

Plus la PME grandit, plus ce risque s'accumule en silence. Il se traite par une politique claire d'outils autorisés, pas par l'interdiction (qui pousse juste les usages plus profondément dans l'ombre).

9. Le risque réglementaire

Souvent oublié dans les listes de risques, et pourtant : se faire sanctionner coûte aussi cher que se faire pirater.

  • La CNIL a prononcé 87 sanctions en 2024, dont 80 % visaient des TPE/PME. Les amendes en procédure simplifiée vont jusqu'à 20 000 €, mais s'ajoutent aux coûts de mise en conformité.
  • La directive NIS2, en cours de transposition, élargit le périmètre des entreprises soumises à des obligations cyber à plus de 10 000 entités en France. Les sanctions peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial, et engager personnellement les dirigeants.
  • En cas de fuite de données personnelles, le RGPD impose une notification sous 72 heures et, selon la gravité, une information directe des personnes concernées.

Le risque réglementaire est en fait souvent la conséquence d'un autre risque (ransomware avec vol de données → notification CNIL obligatoire). C'est ce qui transforme un incident technique en crise stratégique.

Comment hiérarchiser tout ça ?

Tous ces risques n'ont pas le même poids pour vous. La bonne approche, c'est de les coter selon deux axes simples :

  • Probabilité : à quelle fréquence ce type d'attaque touche les structures comme la mienne ?
  • Impact : si ça m'arrive, qu'est-ce que je perds (jours d'arrêt, données, clients, argent) ?

En croisant les deux, on obtient une matrice des risques qui permet de décider où mettre l'effort en premier. Pour une PME typique, le top 3 ressemble presque toujours à :

  1. Phishing + ransomware (probabilité très élevée, impact très élevé) ;
  2. Fraude au virement (probabilité moyenne, impact ponctuel mais très élevé) ;
  3. Compromission de comptes via mots de passe réutilisés (probabilité très élevée, impact variable).

Trois risques, trois mesures simples qui couvrent l'essentiel : sensibilisation au phishing, procédure de double validation des virements, authentification multifacteur partout. Aucune n'est coûteuse. Aucune ne demande de gros chantier informatique. Et ensemble, elles éliminent la majorité du risque d'une PME.

Ce qu'il faut retenir

Les risques cyber d'une PME ne sont pas une longue liste exotique. Ce sont quelques familles bien identifiées : ransomware, phishing, fraude au virement, fournisseurs, vulnérabilités non corrigées, comptes compromis, menace interne, shadow IT, et réglementation.

L'erreur la plus fréquente n'est pas de mal se protéger : c'est de vouloir tout protéger en même temps, et donc de ne rien faire. Commencez par identifier vos deux ou trois risques majeurs, traitez-les sérieusement, puis avancez. Une cybersécurité de PME efficace, c'est rarement compliqué. C'est surtout fait.

Sources utilisées dans cet article

Échange confidentiel · Sans engagement

Vous voulez savoir à quels risques votre PME est réellement exposée ?

Nous réalisons un état des lieux de votre exposition cyber et vous proposons un plan d'action adapté à votre taille, votre activité et vos moyens.

Cartographie des risques propres à votre activité
Plan d'action priorisé, sans jargon
Accompagnement à votre rythme, sans engagement long
Échanger avec nous