Le baromètre, réalisé par OpinionWay auprès de 588 entreprises de moins de 250 salariés, met ainsi en lumière un paradoxe : la cybersécurité entre peu à peu dans la culture des TPE-PME, mais son application concrète reste encore trop souvent repoussée.
À l’occasion des Assises de la cybersécurité qui se sont tenues début octobre 2025 à Monaco, Cybermalveillance.gouv.fr publie la deuxième édition de son baromètre sur la maturité cyber des TPE-PME, réalisé avec la CPME, le MEDEF et l’U2P.
L’étude révèle une progression de la conscience du risque numérique, sans pour autant marquer une transformation profonde des pratiques.
Une prise de conscience en progrès
En 2025, 16 % des entreprises interrogées déclarent avoir subi un incident informatique au cours de l’année écoulée. Ce chiffre reste stable, mais la perception du risque progresse nettement : 44 % des dirigeants estiment aujourd’hui leur structure fortement exposée aux cyberattaques, contre 38 % en 2024. De même, 58 % pensent bénéficier d’un bon niveau de protection, un bond de près de vingt points en un an.
Cette évolution s’accompagne d’une meilleure couverture technique : les antivirus (84 %), sauvegardes (78 %) et pare-feux (69 %) demeurent les outils les plus répandus, mais les entreprises diversifient leurs dispositifs.
Plus d’une sur deux dispose désormais d’une politique de mots de passe (51 %, +11 points), 46 % utilisent un gestionnaire de mots de passe et 26 % ont adopté la double authentification.
Les procédures de réaction en cas d’incident progressent également, atteignant 24 % (+5 points).
Des attaques mieux comprises et mieux gérées
Cette montée en maturité se traduit par une meilleure lecture des incidents : sept entreprises sur dix sont désormais capables d’en identifier la cause :
- L’hameçonnage reste la première source d’attaque (43 %),
- Suivi des failles de sécurité (18 %),
- Et des sites web infectés (11 %).
Les conséquences, elles aussi, semblent mieux contenues : 29 % des entreprises victimes ont subi une interruption de service (contre 35 % en 2024), 11 % ont connu une perte financière (15 % l’an passé) et 22 % un vol de données (25 %).
Des budgets en hausse, mais encore limités
Les TPE-PME témoignent d’un effort budgétaire mesuré. Si 19 % déclarent avoir augmenté leurs dépenses informatiques cette année (contre 13 % en 2024), les montants dédiés à la cybersécurité demeurent modestes : pour les trois quarts d’entre elles, ils restent inférieurs à 2.000 €. Cependant, 15 % prévoient de les faire évoluer à la hausse.
Les acteurs vers lesquels se tournent les dirigeants se diversifient également : 39 % consultent leur prestataire informatique, 31 % s’appuient sur Cybermalveillance.gouv.fr, 19 % sur l’ANSSI et 7 % sur le nouveau service 17Cyber.
Des progrès freinés par des résistances persistantes
Malgré cette dynamique, la majorité des TPE-PME admet ne pas être prête à affronter une attaque : 80 % se disent non préparées ou incertaines. Plus de la moitié (58 %) reconnaissent qu’elles ne sauraient pas évaluer les conséquences d’un incident. Les principales craintes concernent la perte ou le vol de données (94 %), les impacts financiers (88 %), l’interruption d’activité (87 %) et l’atteinte à la réputation (82 %).
Les freins identifiés sont récurrents :
- Manque de connaissances (63 %),
- Contraintes budgétaires (61 %),
- Manque de temps (59 %).
Près d’un tiers des entreprises considèrent encore la cybersécurité comme non prioritaire, une proportion en hausse de 11 points par rapport à 2024.
Une sensibilisation à renforcer
Six TPE-PME sur dix ont déjà mis en place des actions de sensibilisation, souvent concentrées dans les structures de plus de dix salariés ou dans les services. La moitié des répondants expriment des besoins concrets en accompagnement et en outils, tandis que le soutien financier reste fortement attendu.
« Près de six TPE-PME sur dix reconnaissent qu’elles ne sauraient toujours pas évaluer les conséquences d’une cyberattaque. Or cela fait partie des étapes clés à franchir pour décider de se sécuriser et se préparer », observe Jérôme Notin, directeur général de Cybermalveillance.gouv.fr, qui insiste sur la nécessité de poursuivre la sensibilisation.