À l’occasion des Assises de la cybersécurité, Cybermalveillance.gouv.fr a dévoilé la deuxième édition de son baromètre national sur la maturité cyber des TPE-PME. Si la prise de conscience s’amplifie et les équipements progressent, une large majorité d’entreprises demeure encore insuffisamment préparée aux attaques.
Les très petites et moyennes entreprises (TPE-PME) françaises gagnent en vigilance face aux menaces numériques, mais la maturité reste inégale. Tel est le constat du baromètre 2025 de la maturité cyber des TPE-PME, publié par Cybermalveillance.gouv.fr en partenariat avec la CPME, le MEDEF et l’U2P, à l’occasion des Assises de la cybersécurité.
Réalisée pour la deuxième année consécutive, l’étude met en évidence des progrès tangibles en matière de perception, d’équipement et de procédures, sans toutefois combler les fragilités structurelles du tissu entrepreneurial.
Meilleure compréhension des enjeux
La tendance générale traduit une meilleure compréhension des enjeux : 44 % des entreprises interrogées estiment être fortement exposées aux risques numériques, contre 38 % en 2024. Leur confiance dans leur propre niveau de protection progresse également, 58 % jugeant leur sécurité bonne ou très bonne (contre 39 % l’an passé). Cette évolution accompagne une montée en puissance des dispositifs techniques : antivirus (84 %), sauvegardes (78 %), pare-feux (69 %). En moyenne, le nombre d’outils déployés atteint 4,06 par entreprise, contre 3,62 l’an dernier.
Les pratiques de base se généralisent : 51 % des TPE-PME ont désormais une politique de mots de passe (+ 11 points), 46 % utilisent un gestionnaire dédié (+ 8 points), 26 % ont recours à la double authentification (+ 6 points) et 16 % disposent de solutions de détection d’attaque (+ 4 points). Du côté des procédures, 24 % déclarent disposer d’un plan de réaction en cas d’incident, soit une progression de cinq points.
Cette amélioration se reflète aussi dans la compréhension des attaques : 7 entreprises victimes sur 10 identifient désormais les causes des incidents. L’hameçonnage représente 43 % des cas recensés (contre 24 % en 2024), suivi des failles de sécurité (18 %) et des sites vérolés (11 %). Les conséquences semblent légèrement contenues : interruptions de service (29 % contre 35 %), pertes financières (11 % contre 15 %), vols de données (22 % contre 25 %).
Budgets en hausse mais encore insuffisants
Sur le plan budgétaire, les signaux sont encourageants mais limités. 19 % des entreprises ont augmenté leur budget informatique (contre 13 % en 2024), et 15 % envisagent d’accroître celui dédié à la cybersécurité, bien que les montants restent modestes : pour trois quarts d’entre elles, les dépenses n’excèdent pas 2 000 euros. L’écosystème de référence se consolide : 39 % se tournent vers leur prestataire informatique, 31 % vers Cybermalveillance.gouv.fr, 19 % vers l’ANSSI et 7 % connaissent le nouveau numéro d’alerte 17Cyber.
Mais la vigilance ne suffit pas. Huit entreprises sur dix reconnaissent ne pas être préparées à une cyberattaque, et 58 % avouent qu’elles seraient incapables d’en évaluer les conséquences. Le manque d’expertise (63 %), les contraintes budgétaires (61 %) et le manque de temps (59 %) demeurent les principaux obstacles. Près d’un tiers des répondants considèrent encore le sujet comme non prioritaire, un chiffre en hausse de 11 points.
Les attentes se concentrent sur la sensibilisation et le soutien financier. Six entreprises sur dix ont déjà mené des actions de formation, principalement dans les structures de plus de dix salariés (90 %) et les services (71 %). Pour Jérôme Notin, directeur général de Cybermalveillance.gouv.fr, ces progrès illustrent « une meilleure conscience des enjeux », mais aussi « la persistance de résistances fortes » à la mise en place de mesures préventives. L’enjeu demeure donc d’ancrer la cybersécurité comme un réflexe collectif et non comme une contrainte périphérique.
« Nombre d’entreprises ne font pas de la cybersécurité une priorité »
« Si l’étude met en évidence une meilleure conscience des enjeux et une légère amélioration du nombre d’entreprises qui semblent gagner en maturité sur le sujet de la cybersécurité, près de 6 TPE-PME sur 10 reconnaissent qu’elles ne sauraient toujours pas évaluer les conséquences d’une cyberattaque. Or cela fait partie des étapes clé à franchir pour décider de se sécuriser et se préparer. Force est de constater que nombre d’entreprises sont encore réticentes à la mise en place de mesures préventives et ne font pas de la cybersécurité une priorité, d’où l’importance de poursuivre la sensibilisation et de les convaincre plus que jamais de se sécuriser en amont » a déclaré Jérôme Notin, directeur général de Cybermalveillance.gouv.fr.