RETOUR AU SOMMAIRE DE LA NOTE D'ANALYSE

La cybersécurité au sein des TPE/PME.


"Mesure de notoriété et de maturité en matière de cybersécurité auprès des TPE-PME" Cybermalveillance.gouv, Opinion Way, octobre 2025

Méthodologie : échantillon de 588 entreprises de moins de 250 salariés en France et DROM, interrogé par questionnaire auto-administré en ligne entre le 2 juin et le 7 juillet 2025.
Les moins de 10 salariés représentaient 64% des interrogés, mais redressés ce sont 95% des répondants ; 35% n’avaient pas de salarié et 60% de 1 à 9 salariés. L’enquête concerne donc très largement les TPE.

 

Les entreprises d’au moins 10 salariés, les activités les plus enclines à avoir recours à l’informatique, sont les mieux protégées alors que les plus petites entreprises le sont moins.

 

⇒ Quels sont les équipements informatiques de ces entreprises  ? 

♦ Si près de 8 entreprises sur 10 disposent de moins de 5 postes informatiques, elles sont bien plus nombreuses chez les 10-49 salariés (63% ont entre 10 et 49 postes) et chez les 50 salariés et plus (89% ont au moins 50 postes).

 

Mais 58% ont aussi recours à des équipements personnels : 91% le téléphone portable, 43% un ordinateur personnel, 27% une messagerie internet personnelle, 19% une tablette personnelle.

 

L’investissement : 91% des sans salarié ont investi en budget HT annuel dédié à l’informatique moins de 5 000€ alors que 78% des 50 salariés et plus investissaient au moins 5 000€. En protection informatique 77% ont dépensé moins de 2 000€. 92% n’envisagent aucun recrutement dans ces domaines l’année à venir.

 

En résultats non pondérés, 15% envisagent d’augmenter leur budget l’année prochaine :+37% les 10-49 salariés et +49% les 50 salariés et plus, Alors que la majorité (64%) envisagent la stabilité, notamment les 0 salarié (73%).

Pourquoi cette hausse ? Avant tout pour les solutions techniques et la protection du système (91%) avant la sensibilisation (36%), mais davantage pour les secteurs industrie, construction, agriculture (47%) et les activités de services aux entreprises (41%), alors que la demande est modeste dans la santé/éducation (12%) et le commerce/HCR (22%).

⇒ Qui est en charge de l’informatique au sein de l’entreprise?

♦ La fonction de la personne en charge de l’informatique au sein de l’entreprise est le dirigeant dans 80% des cas (47% pour les entreprises entre 10 et 49 salariés et 10% pour les 50 salariés et plus) et 5% la secrétaire. Chez les 10-49 salariés, il s’agit d’une personne affectée à l’informatique (33% dont 5 un employé évoluant dans le secteur informatique). Au sein des 50 salariés et plus, 74% sont le fait de chargés de cette fonction (dont 60% des cadres).

 

♦ La gestion de la sécurité informatique est le fait de l’interne (44%), du fait  d’une bonne sensibilisation sécurité info (42%), d’une bonne préparation en cas d’attaque (50%) et d’un bon niveau de protection (41%).

Mais aussi du recours à des prestataires extérieurs (36%), notamment les 10-49 salariés (44%), et ceux ayant déjà été  victime d’une attaque (36%).

Noter que les 50 salariés et plus utilisent les 2 modalités  (46 et 44%).

Alors que pour 26% elle est inexistante : pour ceux au faible niveau de protection (50%), aux non sensibilisés à la sécurité informatique (44%), et à ceux qui ne sont pas préparés en cas d’attaque (38%).

⇒ La sécurité.

♦ Pour communiquer avec leurs collègues, les clients prestataires ou les administrations (fiscales, sociales, etc.), 52% utilisent une messagerie externe de type Gmail, Orange, Yahoo, Hotmail… et 48% une messagerie Interne avec un nom de domaine au nom de l’entreprise, notamment les 50 salariés et plus (89%) et les 10-49 salariés (74%), mais aussi ceux préparés en cas d’attaque (71%) et les services aux entreprises (64%).

 

♦ Les dispositifs de sécurité utilisés : un antivirus (84%), des sauvegardes (78), un pare-feu (69), une politique de mots de passe (longueur, durée, renouvellement) pour 51%, un gestionnaire de mots de passe (46), une double authentification pour se connecter au réseau de l’entreprise depuis l’extérieur (télétravail, télémaintenance…) pour 26%, une solution de détection d’attaque (EDR, NDR, MDR) pour 16% et une supervision de sécurité du réseau (12). 

♦ En termes de niveau de protection perçue, 58% des entreprises déclarent avoir un bon niveau, notamment les plus grosses structures (les 10-49 salariés 78% et les 50 salariés et plus 75%) et les services aux entreprises (69%), davantage ceux sensibilisées aux enjeux de sécurité pour répondre aux besoins de leurs clients BtoB. 42% par contre ont un faible niveau de protection ou ne savent pas l’évaluer.

♦ 44% des entreprises se considèrent fortement exposées aux cyberattaques, notamment les 50 salariés et plus (57%) quoique bien protégées ou celles déjà victimes d’attaque (62%). À l’inverse, 37%  ne se sentent pas particulièrement menacés, notamment celles estimant bénéficier d’un très bon niveau de protection (57%).

 

49% reconnaissent ne pas être suffisamment préparées en cas de cyberattaque, alors que 20% se sentent préparées ; c’est bien moins le cas de celles qui connaissent la procédure en cas d’attaque (52%), voire les 10-49 salariés ou les services aux entreprises (33%) vs 7% ceux du commerce/HCR.

Près des deux tiers déclarent ne pas disposer de procédure de réaction en cas d’incident ; qui plus est, si 42% savent évaluer les impacts réels d’une cyberattaque (59% les 10 salariés et plus), 58% ne le savent pas. 

 

♦ Les impacts exprimés sont l’Interruption ou la  baisse de l’activité (48%), la destruction, la perte de données (24) le vol, piratage, détournement de données (20), la perte financière de chiffre d’affaires, le piratage de comptes bancaires (23), l’atteinte à l’image de l’entreprise, l’usurpation d’identité, le confiance dégradée (19), la perte de temps (10), voire la demande de rançon (5). 

Sont les plus redoutées : 64% la destruction ou le vol de données, 52 l’interruption des activités et services, 44 la perte financière, 36 une atteinte à l’image de l’entreprise.

 

♦ 16% déclarent avoir été victimes d’une cyberattaque, dont 43% par hameçonnage, 18% du fait d’une faille de sécurité non corrigée, 13% du téléchargement d’un virus, 11% de la consultation d’un site internet vérolé, et 10% du défaut de configuration des équipements de sécurité. Ces attaques ont eu pour conséquences une Interruption des activités et services (29%), un vol de données (22), la destruction de données (16), l’atteinte à l’image de l’entreprise (15), une perte financière (11) ou une procédure judiciaire (4).

 

♦ Pour s’informer ou se faire accompagner en matière de cybersécurité, 39% des entreprises font appel à des prestataires informatiques, qui restent les interlocuteurs privilégiés (58% et plus pour les 10 salariés et plus), 31% à cybermalveillance.gouv, 19% à L’ANSSI, 17% à une organisation/fédération professionnelle et 9% à un organisme consulaire régional (Chambre de commerce et d’industrie, chambre de métiers et de l’artisanat), voire moins encore à d’autres structures.

 

Pour en savoir davantage  : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/etude-maturite-cyber-tpe-pme-2025