En 2025, 16 % des entreprises interrogées déclarent avoir subi un incident informatique au cours de l’année écoulée. Une proportion stable, mais désormais mieux interprétée par les dirigeants.
À l’occasion des Assises de la cybersécurité, Cybermalveillance.gouv.fr publie la deuxième édition de son baromètre national de la maturité cyber des TPE-PME (6 octobre 2025). Réalisée avec la CPME, le MEDEF et l’U2P, l’étude confirme une meilleure compréhension des enjeux numériques, mais souligne aussi les limites d’une protection encore trop souvent insuffisante.
Une culture cyber qui s’installe peu à peu
En 2025, 16 % des entreprises interrogées déclarent avoir subi un incident informatique au cours de l’année écoulée. Une proportion stable, mais désormais mieux interprétée par les dirigeants. La moitié d’entre eux considèrent leur entreprise « fortement exposée » (44 %, contre 38 % en 2024) et 58 % estiment bénéficier d’un bon niveau de protection – un bond de près de vingt points en un an.
Cette confiance accrue s’appuie sur des mesures concrètes. Les TPE-PME utilisent en moyenne quatre dispositifs de sécurité (contre 3,6 en 2024) : antivirus, sauvegardes et pare-feu restent la base, mais les outils complémentaires progressent rapidement.
Les politiques de mots de passe sont désormais adoptées par 51 % des structures (+11 points), les gestionnaires de mots de passe par 46 %, et la double authentification par un quart d’entre elles (+6 points). Même les solutions de détection d’attaque, encore peu répandues, gagnent du terrain.
Cette montée en puissance se traduit aussi dans les procédures : 24 % des entreprises déclarent disposer d’un plan de réaction en cas d’incident, contre 19 % un an plus tôt. Une évolution modeste, mais significative dans un tissu économique souvent dépourvu de services IT internes.
Mieux comprendre les attaques pour mieux y répondre
La diffusion des bonnes pratiques produit un effet vertueux : les entreprises touchées par une cyberattaque savent de plus en plus en identifier la cause. Sept sur dix sont désormais capables de retracer l’origine d’un incident.
L’hameçonnage, en forte progression (43 % contre 24 % l’an dernier), reste le premier vecteur de compromission, suivi par les failles de sécurité (18 %) et la consultation de sites infectés (11 %).
Les conséquences, elles aussi, semblent moins lourdes : les interruptions d’activité baissent (29 % contre 35 %), tout comme les pertes financières (11 % contre 15 %) et les vols de données (22 % contre 25 %). Ces chiffres confirment que les gestes élémentaires – sauvegardes régulières, mises à jour, formation des équipes – peuvent amortir l’impact des incidents.
Des efforts budgétaires encore timides
La cybersécurité commence à trouver sa place dans les budgets des TPE-PME. En 2025, 19 % des entreprises ont augmenté leurs dépenses informatiques (contre 13 % en 2024). Pourtant, trois quarts d’entre elles n’investissent toujours pas plus de 2000 euros par an pour protéger leurs systèmes. Seules 15 % envisagent de faire progresser ce budget dans les mois à venir.
Les acteurs vers lesquels se tournent les entreprises traduisent un écosystème en structuration : 39 % consultent des prestataires informatiques, 31 % s’adressent directement à Cybermalveillance.gouv.fr, 19 % à l’ANSSI et 7 % au 17Cyber, le service d’assistance opéré en lien avec le ministère de l’Intérieur.
Une lucidité croissante, mais des résistances persistantes
La conscience des risques ne suffit pas toujours à passer à l’action. Huit entreprises sur dix reconnaissent ne pas être prêtes à faire face à une attaque, ou ne pas savoir si elles le sont. Et près de 60 % admettent qu’elles ne sauraient pas évaluer les conséquences d’un incident majeur. La peur de la perte de données (94 %) et des impacts financiers (88 %) domine, suivie de la crainte d’une interruption d’activité (87 %) ou d’une atteinte à la réputation (82 %).
Ces inquiétudes cohabitent avec une perception ambivalente des offres de sécurité disponibles : deux tiers des entreprises déclarent les connaître, mais seule la moitié les juge réellement adaptées à leurs besoins.
Le coût, la complexité d’usage et le manque d’accompagnement restent les trois freins les plus cités. Un quart des entreprises n’a d’ailleurs recours à aucun acteur spécialisé, faute de repères clairs ou de ressources suffisantes.
Les obstacles sont bien identifiés :
- 63 % évoquent un manque de compétences,
- 61 % des contraintes budgétaires,
- 59 % un manque de temps.
Fait préoccupant, près de trois entreprises sur dix ne considèrent toujours pas la cybersécurité comme prioritaire – une tendance en hausse de 11 points cette année.
Sensibiliser, accompagner, financer : le triptyque attendu
Si le niveau de maturité global progresse lentement, la demande d’appui concret s’intensifie. La moitié des TPE-PME interrogées expriment des besoins précis en matière d’outils de sécurisation et de formation.
La sensibilisation demeure la priorité numéro un, immédiatement suivie par la recherche de financements dédiés.
Six entreprises sur dix ont d’ailleurs déjà engagé des actions de formation ou d’information auprès de leurs collaborateurs. La maturité augmente avec la taille : 90 % des structures de plus de dix salariés y ont recours, contre des proportions plus modestes dans les microentreprises. Les secteurs des services, davantage numérisés, se montrent aussi plus avancés que les filières industrielles ou artisanales.
« Convaincre de se protéger en amont »
Pour Jérôme Notin, directeur général de Cybermalveillance.gouv.fr, cette édition 2025 marque « une meilleure conscience des enjeux et une légère amélioration du nombre d’entreprises qui gagnent en maturité sur la cybersécurité ». Mais la route reste longue : « Près de six TPE-PME sur dix reconnaissent qu’elles ne sauraient toujours pas évaluer les conséquences d’une cyberattaque. Or, cela fait partie des étapes clés pour décider de se sécuriser et se préparer. Nombre d’entreprises demeurent réticentes à mettre en place des mesures préventives et ne font pas encore de la cybersécurité une priorité. D’où l’importance de poursuivre la sensibilisation et de les convaincre de se protéger en amont. »
Une maturité qui progresse au rythme de la pédagogie
En huit ans d’existence, la plateforme Cybermalveillance.gouv.fr est devenue un acteur de référence de la prévention et de l’assistance aux victimes. Son service 17Cyber, lancé avec le ministère de l’Intérieur, s’inscrit dans cette logique de proximité et d’accompagnement.
Le baromètre 2025 montre que les TPE-PME ont franchi un cap symbolique : elles identifient mieux les risques et investissent davantage, mais la maturité reste hétérogène. Pour que la cybersécurité cesse d’être perçue comme une contrainte technique et devienne une pratique de gestion à part entière, il reste à transformer la sensibilisation en stratégie, et la conscience du risque en véritable culture d’entreprise.