Cybermenaces 2025 : Les PME au pied du mur
En 2025, les PME sont en première ligne face aux cyberattaques avec des conséquences graves sur leur activité et leur réputation. Quels sont les principaux risques et comment les anticiper ?
En 2025, la cybersécurité n’est plus l’apanage des grandes entreprises : les petites et moyennes structures se trouvent désormais en première ligne. Souvent moins bien protégées, elles constituent des cibles de choix pour des cybercriminels toujours plus organisés. Selon l’ANSSI, les TPE-PME-ETI (37%) ont été particulièrement touchées en 2024 avec des conséquences souvent désastreuses sur leur fonctionnement, leur réputation et leur continuité d’activité. Ce chiffre, loin d’être une exception, montre l’ampleur grandissante de la menace et l’urgence de renforcer les défenses de ces entreprises. Contrairement à l’idée reçue selon laquelle une PME serait « trop petite pour intéresser » les attaquants, sa vulnérabilité est bien réelle notamment parce qu’elles fonctionnent souvent avec des budgets informatiques limités, s'appuient sur des systèmes obsolètes et ne disposent pas d’équipe dédiée à la sécurité. Quels risques majeurs la guettent et, surtout, comment les anticiper ?
L’ingénierie sociale, porte d’entrée privilégiée
Le phishing, sous toutes ses formes, demeure le vecteur d’attaque le plus répandu. En usurpant l’identité d’un dirigeant, d’un fournisseur ou d’un organisme public, les attaquants abusent la confiance d’employés peu sensibilisés à ces techniques, et les incitent à partager leurs identifiants de connexion, valider des paiements frauduleux ou ouvrir des pièces jointes malveillantes. Au Royaume-Uni, en 2024, 84% des attaques déclarées impliquaient une tentative de phishing. Trop peu de PME mettent en place des formations régulières ou des protocoles de vérification rigoureux, ce qui laisse le champ libre à ce qu’on appelle « l’arnaque au président » ou aux fausses factures.
Sensibiliser les équipes de manière continue (via des campagnes de phishing simulées pour les aider à reconnaître les signaux d’alerte) devrait être obligatoire. Sur le plan technique et en parallèle, il faudrait renforcer les outils de filtrage des emails, afin de détecter et bloquer les contenus malveillants avant qu’ils n’atteignent les boites de réception, et déployer des standards comme DMARC, SPF et DKIM pour bloquer les emails usurpés.
Les attaques par ransomware montent en puissance
Les ransomwares évoluent, et les PME sont de plus en plus souvent ciblées. Désormais, les cybercriminels ne se contentent plus de chiffrer les données, ils les exfiltrent, menaçant de les divulguer si la rançon n’est pas versée. Redoutable, cette stratégie de double extorsion est encore plus risquée pour leur réputation et sur le plan réglementaire, notamment au regard du RGPD. D’après une étude de 2024, 75% des PME auraient des difficultés à poursuivre leurs activités après une attaque de ce type. Les points d'entrée classiques sont bien connus : e-mails contenant des pièces jointes malveillantes, vulnérabilités logicielles non corrigées et services d'accès à distance exposés tels que RDP (Remote Desktop Protocol). Les attaquants se déplacent ensuite latéralement dans le réseau, identifient les données sensibles et procèdent au chiffrement. Pour les PME qui ne disposent pas de réseaux segmentés ou d'une surveillance active, ces étapes peuvent passer inaperçues.
La résilience repose sur des sauvegardes automatisées, chiffrées, isolées des ransomwares et régulièrement testées ; une segmentation du réseau pour freiner la propagation des ransomwares, associée à la protection des endpoints et à des outils EDR ; et surtout, un plan d’intervention clair qui nécessite que le personnel sache comment isoler les machines infectées, alerter le service IT et commencer à contenir l'attaque.
L’utilisation de systèmes et logiciels obsolètes ouvre la porte aux cyberattaques
En 2023, plus d'un tiers des PME utilisaient encore des systèmes d'exploitation non pris en charge ou des logiciels anciens, souvent truffés de failles connues, autant de failles déjà documentées et faciles à exploiter. Ces systèmes étant parfois profondément intégrés aux opérations, beaucoup de PME repoussent leurs mises à jour, qui peuvent paraître risquées et complexes, facilitant ainsi l’intrusion des cybercriminels.
Une gestion rigoureuse des correctifs est donc indispensable. Les PME doivent maintenir un inventaire précis de tous les actifs IT (matériels et logiciels) et suivre régulièrement leurs cycles de mise à jour. Si ce n’est pas immédiatement possible, d’autres solutions peuvent être mises en œuvre comme la segmentation du réseau, la limitation de l'accès à Internet ou la mise en quarantaine de ces systèmes. Enfin à plus long terme, la transition vers des environnements cloud ou des infrastructures modernes offre des mises à jour automatisées, des outils intégrés de conformité et une surveillance continue.
Les contrôles d’accès sont trop souvent négligés
Les contrôles d'accès faibles ou mal configurés sont à l’origine de la majorité des compromissions dans les PME. Il suffit d’un accès à un seul compte pour qu’un attaquant puisse se déplacer librement dans le système d’information. Ce risque est amplifié par l’essor du télétravail et du cloud. En 2023, 84 % des entreprises ont subi une violation liée à l’identité, souvent en l’absence d’authentification multifactorielle (MFA) ou des privilèges d’accès excessifs. Les PME utilisent souvent des identifiants partagés, des comptes administrateurs courants et ont une gestion des identités quasi inexistante.
L’amélioration des contrôles d’accès repose d’abord sur la généralisation de l’authentification multifactorielle (MFA) sur tous les systèmes critiques (messagerie, VPN, services cloud, consoles d’administration). A cela s’ajoute des politiques de mot de passe strictes, exigeant des identifiants forts et uniques. Le principe du moindre privilège est tout aussi important : chaque utilisateur ne doit avoir accès qu’aux données et systèmes nécessaires à son activité. L’accès à distance doit être sécurisé par des VPN avec MFA et en appliquant des politiques contextuelles (géolocalisation, vérification des appareils). Enfin, l’adoption du ‘Zero Trust’ renforce la vérification continue de chaque requête et limite les mouvements latéraux.
Menaces internes : l’angle mort de la cybersécurité
Les menaces internes, qui peuvent provenir d’employés actuels ou anciens, de sous-traitants ou de partenaires, restent l'un des défis les plus difficiles à relever en matière de cybersécurité pour les PME. Il suffit d’une mauvaise manipulation, d’une clé USB non sécurisée, d’un compte mal désactivé... souvent involontairement, pour entraîner des violations de données, des pertes financières ou des répercussions sur le plan réglementaire si des données personnelles ou relatives aux clients sont exposées. Plus de la moitié des incidents recensés en 2024 étaient dus à de la négligence, selon le Ponemon Institute.
Pour s’en prémunir, les PME doivent définir une gouvernance claire des données et des politiques d’utilisation, sensibiliser leurs équipes et surveiller les comportements anormaux à l’aide d’outils de DLP (Prévention des pertes de données), ou a minima, via la journalisation et le suivi des accès aux données sensibles.
Enfin, l’accès doit être strictement contrôlé et revu régulièrement. Les comptes des anciens employés doivent être désactivés sans délai après leur départ, l’accès privilégié limité à quelques utilisateurs de confiance et les logs vérifiés fréquemment.
En réalité, ces cinq menaces peuvent être évitées. La majorité des attaques réussies ne sont pas liées à leur sophistication, mais à l’absence de dispositifs de sécurité. La cybersécurité n’est donc plus un enjeu purement IT : elle relève désormais de la responsabilité des dirigeants de PME. Ils doivent l’intégrer au cœur de leur gouvernance, au même titre que la finance ou les ressources humaines.
Des solutions pragmatiques et abordables existent : évaluations de risque, services de détection et réponse managés, programmes de sensibilisation. Les PME qui adopteront ces pratiques transformeront la cybersécurité, aujourd’hui perçue comme une contrainte, en levier de confiance et de compétitivité.