En 2025, la cybersécurité n’est plus un sujet lointain pour les PME françaises. La prise de conscience s’accélère, mais l’écart entre l’intention et l’action reste préoccupant. Ce baromètre 2025 brosse un état des lieux précis et sans détours : quels progrès, quels blocages, et quel impact concret sur votre activité ?
Les PME se réveillent… mais pas assez vite
Selon le baromètre national Cybermalveillance 2025, 44% des dirigeants de TPE-PME estiment aujourd’hui être fortement exposés aux risques numériques, soit +6 points par rapport à 2024. Un chiffre révélateur : le réveil est réel, la menace n’est plus théorique.
En parallèle, 58% des entreprises s’estiment protégées grâce aux antivirus (84%), aux sauvegardes (78%), et aux pare-feux (69%). Ce sont des progrès, portés par la généralisation des outils de base.
Mais la lucidité reste limitée. Près de 6 PME sur 10 avouent ne pas savoir évaluer les conséquences d’une cyberattaque : interruption de service, vol de données, ou atteinte à la réputation.
Les menaces en 2025 : le phishing domine
Sur les cyberincidents déclarés, le phishing représente 43% des attaques ; suivent les failles non corrigées (18%) et la consultation de sites infectés (11%).
16 % des PME interrogées ont subi un incident cyber au cours des douze derniers mois.
L’investissement reste insuffisant
L’effort financier progresse : 19% du budget informatique y est consacré, contre 13% en 2024. Pourtant, trois quarts des PME investissent moins de 2 000 € par an en cybersécurité, ce qui ne permet ni audit ni accompagnement régulier.
15% des dirigeants prévoient d’augmenter leur budget en 2025, mais seuls 20% l’ont déjà fait.
Les trois freins majeurs : temps, argent, expertise
Les obstacles principaux restent :
- 63% des PME citent le manque de compétences internes
- 61% sont limitées par des contraintes budgétaires
- 59% dénoncent un manque de temps
Et près de 30% jugent la cybersécurité non prioritaire, tranche qui s’élargit d’année en année.
Bonnes pratiques : entre progrès et oubliés
Les avancées concrètes :
- Mises à jour régulières (73%)
- Sauvegardes récurrentes (68%)
- Formations de sensibilisation (54%)
Mais de graves oublis subsistent :
- Authentification multi-facteurs (MFA) : à peine 22% d’adoption
- Chiffrement des données sensibles : 19%
- Plan de continuité cybersécurité : 14%
Les profils PME face au cyberrisque
Quatre profils se dégagent :
- Leaders (8%) : démarche structurée, responsable désigné
- Progressistes (23%) : actions lancées, amélioration continue
- Dormeurs (42%) : conscients, mais reportent l’action
- Vulnérables (27%) : peu conscients, peu d’actions en place
Ce qui attend les PME en 2025-2026
- L’entrée en vigueur de la directive NIS2 impose plus d’obligations de sécurité, d’autant plus dans les secteurs santé, finance, énergie.
- Les clients et partenaires demanderont des garanties pour toute relation commerciale ou sous-traitance.
- Les assurances cyber durcissent leurs critères, rendant certaines PME inassurables si des pratiques minimales ne sont pas en place.
Bonus: Conseils pratiques
La France PME avance, mais le chemin reste long. Pour ne pas être le maillon faible, instaurez trois actions simples :
- Activez le MFA sur vos principales applications
- Planifiez des sauvegardes automatisées
- Sensibilisez vos salariés (15 mn par trimestre suffit)
Chaque PME peut progresser, une étape à la fois. L’innovation n’est pas obligatoire, mais la vigilance, elle, est vitale.