Chaque année, les études officielles dressent un état des lieux de la réalité cyber des TPE-PME françaises. Taux d'incidents, niveau de protection réel, freins à l'action — les chiffres sont publics, sourcés, et parlent d'eux-mêmes.
La conscience du risque est là. Les mesures de protection peuvent enfin suivre.
Les TPE-PME sont une cible croissante. Pas parce qu'elles ont plus de valeur que les grandes entreprises — parce qu'elles sont perçues comme moins bien protégées. Ces quatre chiffres posent le cadre.
Près de la moitié des attaques par rançongiciel recensées par l'ANSSI en 2025 visent des structures de taille petite ou moyenne — en nette hausse après plusieurs années de légère baisse.
ANSSI 2025 ↗Environ 1 PME sur 6 chaque année — et ce chiffre ne comptabilise que les incidents identifiés comme tels. La réalité est probablement supérieure.
Cybermalveillance 2025 ↗La conscience du risque progresse (+6 points vs 2024). Mais la perception ne se traduit pas encore en action : les chiffres de protection réelle racontent une autre histoire.
Cybermalveillance 2025 ↗Le premier vecteur d'attaque — et de loin. Un email frauduleux, un clic, et c'est l'accès aux messageries, fichiers partagés et identifiants qui est compromis.
Cybermalveillance 2025 ↗Antivirus et pare-feu sont là. Mais les mesures qui font réellement la différence face aux attaques actuelles — authentification forte, détection, procédures de réaction — restent l'exception.
Le MFA est la mesure la plus efficace contre les compromissions de compte — elle bloque 99 % des attaques par vol de mot de passe selon Microsoft. Pourtant, 3 PME sur 4 n'en disposent pas. Chaque compte sans MFA est une porte ouverte.
Cybermalveillance / OpinionWay 2025 ↗Sans détection active, une intrusion peut rester invisible pendant des semaines — le temps pour un attaquant d'explorer le réseau, d'exfiltrer des données ou de préparer un rançongiciel. 84 % des PME avancent à l'aveugle.
Cybermalveillance / OpinionWay 2025 ↗En cas d'incident, les premières heures sont décisives : savoir quoi faire, qui appeler, comment contenir l'attaque. Près des deux tiers des PME déclarent n'avoir aucune procédure formalisée — et les obligations RGPD imposent une notification CNIL sous 72 h.
Cybermalveillance / OpinionWay 2025 ↗49 % se savent non préparées, 20 % supplémentaires ne savent pas évaluer leur niveau. À peine un tiers des dirigeants estime son entreprise réellement prête — une proportion stable malgré une conscience du risque en hausse.
Cybermalveillance / OpinionWay 2025 ↗Parmi les 16 % de PME ayant subi un incident dans les 12 derniers mois, voici les conséquences effectives. Des chiffres qui donnent un aperçu concret de ce que représente une impréparation.
Presque 1 victime sur 3 s'est retrouvée incapable d'exercer normalement — pendant des heures, des jours ou plus. Sans plan de continuité, chaque heure d'arrêt se traduit directement en pertes.
Cybermalveillance / OpinionWay 2025 ↗Fichiers clients, données contractuelles, identifiants internes — et derrière chaque vol de données, une obligation RGPD : notification CNIL sous 72h, information des personnes concernées, risque de sanction.
Cybermalveillance / OpinionWay 2025 ↗Fraude, rançon, frais de remise en état, coûts de gestion de crise, pertes de contrats liées à l'indisponibilité — les pertes financières directes concernent plus d'1 victime sur 10, sans compter l'impact réputationnel.
Cybermalveillance / OpinionWay 2025 ↗Le problème n'est pas l'ignorance du risque. C'est la difficulté de passer à l'action. Ces trois freins reviennent en tête dans toutes les études — SysZen a été pensé pour les lever.
Sans compétences techniques en interne, les PME ne savent pas par où commencer, ni comment évaluer la qualité des solutions du marché. La cybersécurité reste un domaine opaque — réservé aux spécialistes.
La sécurité demande une attention continue — veille, mises à jour, surveillance, formation. Dans une PME où chacun porte plusieurs casquettes, c'est la tâche qu'on repousse toujours au lendemain. Jusqu'à l'incident.
Un budget qui couvre à peine un antivirus basique. La cybersécurité est vue comme un coût — rarement comme une assurance. Jusqu'au premier incident, qui coûte en moyenne bien plus qu'une protection préventive annuelle.
Tous les chiffres de cette page proviennent de sources officielles françaises — aucune estimation, aucun chiffre extrapolé.
2ème édition du baromètre sur la maturité cyber des TPE-PME françaises. 588 dirigeants ou responsables informatiques d'entreprises de moins de 250 salariés. Enquête OpinionWay pour Cybermalveillance.gouv.fr, publiée en 2025.
Étude complète ↗ Infographie PDF ↗ Rapport final PDF ↗Rapport annuel de l'Agence Nationale de la Sécurité des Systèmes d'Information. Analyse des incidents traités et des tendances de la menace cyber en France pour l'année 2025. Publié début 2026 par le CERT-FR.
Rapport ANSSI (PDF) ↗30 minutes pour faire le point sur votre contexte et vous conseiller.
Gratuit. Sans engagement. Confidentiel.