Connexion Pro

Conseils pour votre quotidien d'entrepreneur

Page mise à jour le 05/06/2025

Cybersécurité pour PME : protégez votre entreprise contre les cyberattaques

Extorsion de fonds, perte de données, interruption d’activité… Le développement des usages numériques multiplie les risques de failles informatiques, et leurs conséquences peuvent être lourdes pour votre entreprise. Découvrez dans cet article tous nos conseils pour déjouer les attaques de phishing, de ransomware et autres fraudes.

© Adobestock

Qu’est-ce qu’une cyberattaque et pourquoi les PME sont concernées ?

Une cyberattaque est une intrusion malveillante visant les systèmes informatiques d’une entreprise et pouvant entraîner de lourdes conséquences sur leur bon fonctionnement. Les objectifs d'une cyberattaque peuvent être multiples :

  • Dérober des informations sensibles ou personnelles (phishing) ; 
  • Bloquer l'accès à l'ensemble des data contre rançon (ransomware) ; 
  • Endommager gravement les systèmes informatiques dans le but de nuire (déni de service).

 

De plus en plus de TPE et PME touchées par une cyberattaque

Dans un monde toujours plus hyper connecté, les cyberattaques touchent de plus en plus d’entreprises et de TPE/PME, quels que soient leur secteur d’activité et leur taille. Selon un rapport de 2023(1), 36 % des petites entreprises ont été ciblées par des cyberattaques. Ces dernières peuvent entraîner des conséquences majeures pour les entreprises : 

  • Perte de confiance des clients ;
  • Interruption de l’activité ; 
  • Perte de données sensibles. 

Mais aussi et surtout, le coût financier peut être préoccupant. En 2023, le coût moyen d’une cyberattaque était de 14 700 €(1). Cependant, pour 1 entreprise sur 8, ce coût dépasse les 230 000 €, illustrant la gravité de certaines cyberattaques.

 

L'importance croissante de la cybersécurité pour les PME

Les attaques deviennent de plus en plus sophistiquées, prenant différentes formes telles que les attaques DDoS, ou attaques par déni de service distribué, les ransomwares (rançongiciels - 3e type d’attaque le plus fréquent pour les entreprises en 2024) qui bloquent l'accès aux fichiers d'une entreprise en cryptant tout ce qui se trouve sur un terminal ou un serveur, ou encore les logiciels espions.

En 2024, les principales demandes d’assistance recensées sur Cybermalveillance.gouv.fr(2) pour les entreprises étaient pour lutter contre le hameçonnage (20,7 %), le piratage de compte (19,6 %) et le ransomware (12,4 %).

D’autres types de cyberattaques ont également connu une hausse significative en 2024(2) :

  • Les fraudes au virement (+18 % de demande d’assistance) ;
  • La fraude au faux conseiller bancaire (+6 %) ;
  • L’arnaque au faux support technique (+4 %).

Au total, sur l’année 2024, le site Cybermalveillance.gouv.fr(2) a recensé plus de 5,4 millions de visiteurs uniques (+47 % par rapport à 2023), et 420 000 demandes d’assistance (+49,9 % par rapport à 2023) suite à une cyberattaque. Ces chiffres regroupent particuliers, professionnels et administrations. 

Les conséquences d’une cyberattaque pour les TPE et PME

 

L’extorsion de fonds

Le principe est le suivant : le hacker contacte sa victime pour la contraindre à lui verser de l’argent :

  • Soit en la menaçant d’une cyberattaque si elle ne s’exécute pas ;
  • Soit en lui demandant le versement d’une rançon après avoir pris les données présentes sur l’ordinateur en otage en les cryptant (via un rançongiciel) ou en menaçant de les divulguer.

 

Le vol et la perte de data

Données commerciales, coordonnées personnelles et surtout bancaires, voire secrets industriels, sont les cibles favorites des cyberattaques. Ainsi, quels que soient sa taille ou son secteur d’activité, une entreprise détient forcément des éléments d’informations à caractère personnel ou confidentiel susceptibles d’être piratés car tout simplement monnayables.

Mais la cyberattaque ou le déploiement d’un cheval de Troie n’a pas pour seule vocation de subtiliser des informations. Quelques fois, l’ambition, bien plus dérisoire mais tout aussi lourde de conséquences, n’est que de détruire des données ou d’en empêcher l’accès.

À l’origine du vol ou de la perte, des attaques lancées le plus souvent automatiquement à partir d’ordinateurs infectés (virus, cheval de Troie...), mais aussi par un hacker qui agit de l’extérieur.

 

Une interruption d’activité

Ordinateurs contaminés, réseau informatique ou site Internet rendus indisponibles… Ce type de risques peut rapidement se révéler problématique pour toute entreprise qui s’appuie fortement sur un système informatique pour exercer son activité.

L’indisponibilité de l’outil informatique peut résulter d’un virus informatique accidentellement « contracté » ou d’une cyberattaque volontairement menée contre l’entreprise, tels qu’un déni de service (DDoS), une attaque visant délibérément à rendre indisponible pendant un temps indéterminé les services ou les ressources d’une entreprise.

Pour parvenir à leurs fins, les pirates envoient un très grand nombre de requêtes aux serveurs de l’entreprise ou à ses sites Internet afin de les mettre en état de surcharge. Il devient donc impossible de les utiliser ou de les consulter. Pour perpétrer leur attaque avec plus d’efficacité et sans risque d’être identifiés, les hackers n’hésitent pas à prendre le contrôle, via des malwares, d’ordinateurs appartenant à des tiers (souvent d’autres entreprises).

Dans cette hypothèse, il y a deux victimes :

  • L’entreprise cible, dont les ressources informatiques sont momentanément hors-jeu ;
  • Et l’entreprise « agresseur involontaire » qui voit également la disponibilité de ses machines mise à mal et qui, au surplus, devra démontrer sa bonne foi en cas de poursuites judiciaires.

Bon à savoir

Les TPE/PME sont aujourd’hui des cibles privilégiées pour les hackers, car moins bien protégées que les grandes entreprises. Selon le rapport annuel de 2024 de l’Anssi(3), les TPE, PME et ETI représentent 37 % des attaques de cybersécurité recensées.  C’est pour cela que le service Cybermalveillance.gouv.fr a notamment lancé « Mon expert cyber », une mise en relation avec des professionnels qualifiés dans la sécurisation de nouveaux systèmes informatiques ou de systèmes existants.

Comment protéger votre entreprise du risque cyber ? 

 

Des précautions à prendre pour renforcer la sécurité informatique

Si le risque zéro n’existe pas, quelques mesures de prévention(4) peuvent vous permettre de limiter les cyberattaques et de minimiser leurs conséquences. 

  • La mise en place d’audits réguliers, qui vous permettront d’évaluer le niveau de sécurité actuel de votre système d’information, ses capacités de détection et de résistance aux menaces informatiques, notamment à travers des tests d’intrusion et de vulnérabilité. Il a pour objectif de mesurer les risques auxquels vous êtes exposés et d’identifier les actions qui s’imposent. 
     
  • La gestion des mots de passe. Compte tenu du nombre d’intrusions dont les entreprises sont victimes, il est important d’élaborer une véritable politique de gestion des mots de passe. Vous devez donc définir les règles de conception des mots de passe (dimension, composition), mais également leur mode de gestion (règles de communication, d’enregistrement dans les navigateurs, périodicité de changement). Par ailleurs, privilégiez autant que possible l’authentification à double facteurs. 
     
  • La mise en œuvre d’une politique de sauvegarde pour protéger les data de l’entreprise en cas de virus ou encore d’une prise d’otage par un rançongiciel. En effet, payer la rançon ne garantit en rien la « libération » des informations.
     
  • La sécurisation des réseaux Wi-Fi de l’entreprise : d’une manière générale, le filaire reste plus sécurisé que le Wi-Fi. Si toutefois vous n’avez pas d’autre choix, contactez l’assistance technique de votre fournisseur qui vous guidera de manière à configurer votre installation en respectant les règles de base en matière de cyberattaque.
      
  • Les précautions d’usage relatives aux tablettes et aux smartphones : ne pas pré-enregistrer les mots de passe, effectuer des sauvegardes régulières, être prudent en téléchargeant les applis…
     
  • Les règles de prudence à respecter lors de l’utilisation d’une messagerie électronique : ne pas ouvrir de pièce jointe venant de destinataires inconnus ! Ou vérifier l’adresse des liens figurant dans le corps d’un mail - vérification dans la barre de navigation.
     
  • Le recours à un VPN pour le télétravail et les déplacements professionnels. Le VPN permet d'établir une connexion sécurisée, à distance, entre l'ordinateur ou le smartphone et les ressources hébergées sur votre serveur local lorsque vous n’êtes pas connecté au Wifi de votre entreprise. 
     
  • La sensibilisation et la formation des salariés pour qu’ils comprennent que la cyberattaque est l’affaire de tous - envoi de mail pour communiquer sur les conséquences, les bons réflexes à adopter en cas de phishing, session de formation interne ou externe… Cette culture de la sécurité doit être portée et encouragée par le chef d’entreprise et les managers. Vous pouvez confier, par exemple, à un collaborateur la responsabilité de la sécurité informatique. Il aura pour mission de veiller au bon fonctionnement des équipements (pare-feu, antivirus…) et de sensibiliser les équipes (rédaction d’une charte informatique). 

 

La directive NIS 2 pour renforcer la sécurité informatique dans les entreprises

La Directive (UE) 2022/2555, dite NIS 2(5), adoptée le 10 novembre 2022, remplace la première directive NIS de 2016 afin de renforcer la cyber‑résilience des infrastructures et d’harmoniser les exigences de sécurité sur l’ensemble du marché européen. Contrairement à la directive initiale, NIS 2 élargit son périmètre à de nouveaux secteurs et distingue désormais les « entités essentielles » et « entités importantes », incluant explicitement de nombreuses PME/TPE. 

Les entités essentielles sont des organisations dont les services sont cruciaux pour le fonctionnement de la société, comme celles dans l'énergie ou la santé (hôpitaux, fournisseurs d’électricité, opérateur de transport aérien par exemple).

Les entités importantes jouent un rôle significatif dans l'économie, comme les fournisseurs de services numériques, les usines, les entreprises de transport et de distribution, etc.

Cette distinction impose des obligations strictes de gestion des risques, de signalement rapide des incidents et de sécurisation de la chaîne d’approvisionnement

Pour les petites et moyennes entreprises, cette réglementation constitue un cadre pour formaliser une politique de cybersécurité robuste

  • Évaluation régulière des vulnérabilités ;
  • Mise en place de procédures d’alerte et de continuité ;
  • Formation systématique des équipes.

Cette politique a pour objectif d’améliorer significativement la résilience des TPE et des PME face à des menaces de plus en plus sophistiquées. En anticipant la mise en conformité, les petites et moyennes entreprises peuvent non seulement réduire le risque d’interruption d’activité et de coûts liés aux cyberattaques, mais aussi renforcer leur crédibilité auprès de clients et partenaires, transformant ainsi une contrainte réglementaire en véritable avantage concurrentiel.

Pour obtenir toutes les informations concernant la directive NIS 2, le gouvernement a créé une plateforme dédiée : MonEspaceNIS2.

DES FORMATIONS GRATUITES POUR SENSIBILISER LES TPE ET PME À LA CYBERSÉCURITÉ

Plusieurs dispositifs mis en place par l’Agence nationale de la sécurité des systèmes d’information (Anssi) et France Num sont accessibles gratuitement en ligne pour vous permettre de vous former aux risques cyber : 

L’Anssi met également à votre disposition un guide pratique en 13 étapes pour prévenir les conséquences d’un piratage informatique.

Les réflexes à adopter en cas de cyberattaque 

Si malgré toutes les mesures mises en place vous êtes tout de même victime d’une cyberattaque, voici la marche à suivre : 

  1. Déconnectez-vous d’Internet au plus vite et de votre réseau local ;
  2. Faites un balayage de l’ordinateur au moyen du logiciel antivirus pour vérifier s’il est infecté et, le cas échéant, éliminer le virus ;
  3. Procédez à une restauration complète de l’ordinateur si besoin ;
  4. Faites appel à un expert si le fonctionnement de l’ordinateur est toujours compromis ;
  5. Modifiez tous les mots de passe ;
  6. Procédez ensuite au dépôt de plainte au commissariat ou à la gendarmerie. À cette fin, pensez à conserver des images en utilisant la fonction « Imprimer écran » ;
  7. Listez tous les préjudices subis, et munissez-vous de tous les éléments qui semblent pertinents : traces informatiques qui font penser à une attaque, fichier encrypté suite au virus, etc.

Délais et coûts associés aux solutions de cybersécurité pour les TPE/PME

 

Coûts des solutions de cybersécurité

Les dépenses liées à la cybersécurité pour les TPE et PME varient fortement selon la taille, la complexité des systèmes, le niveau de protection requis et le mode de gestion (interne ou externalisé). 

Audit et diagnostic cybersécurité : votre entreprise peut se faire accompagner par un prestataire pour réaliser un audit de sécurité partiel ou complet. Vous pouvez consulter la liste des prestataires d’audit de sécurité qualifiés (PASSI) par l’ANSSI)(6).  Les tarifs varient en fonction des prestataires et des jours nécessaires pour cartographier et analyser l’ensemble des risques cyber de votre entreprise. N’hésitez pas à demander des devis chez différents prestataires. Par exemple, le plan Cyber PME propose un diagnostic à 8 800 € HT, subventionné à 50 % (reste à charge : 4 400 € HT)(7).

Antivirus : les suites reconnues comme Norton ou McAffee offrent une protection incluant antivirus, pare-feu et gestionnaire de mots de passe. Les prix varient en fonction du nombre d’appareils protégés et du degré de protection nécessaire (Standard ou Premium) sur Norton. Sur McAffee, différentes offres sont disponibles avec un nombre d’appareils à protéger illimité.

Pare-feu : les solutions logicielles sont souvent incluses dans les suites de sécurité, mais un pare-feu matériel dédié pour une petite entreprise coûte généralement entre 200 € et 1 000 €, selon le niveau de protection et la marque. 

Sauvegarde : les solutions de sauvegarde de data dans le cloud pour les TPE et PME affichent des tarifs particulièrement compétitifs et adaptés aux besoins des petites structures. France Num partage une liste d’experts spécialisés dans le stockage des données en ligne qui sont adaptés aux besoins des TPE et PME.

 

Délais de mise en œuvre

La durée d'un projet de cybersécurisation dépend de la nature des actions à mener et du degré de maturité initial de l'entreprise(8) :

  1. Diagnostic et plan de sécurisation : Le diagnostic initial, qui inclut l’analyse des risques et la définition des mesures prioritaires, peut être réalisé en interne si l’entreprise dispose de quelques compétences, ou avec l’aide d’un professionnel pour quelques jours d’intervention. Cette étape permet d’évaluer le niveau de maturité cyber et d’identifier les axes d’amélioration.
     
  2. Déploiement des mesures : La mise en œuvre du plan de sécurisation (installation de solutions, formation, procédures) se fait généralement de manière progressive, en interne ou avec l’appui de prestataires, et peut s’étaler sur plusieurs mois selon la complexité des actions à mener et les ressources disponibles.
     
  3. Actions simples : Certaines mesures de base, comme l’installation d’un antivirus, la gestion des mots de passe ou la mise en place de sauvegardes, peuvent être déployées rapidement, en quelques jours ou semaines, parfois en interne si l’entreprise dispose d’un minimum de compétences informatiques.
     
  4. Actions complexes : Pour des projets plus ambitieux (segmentation du réseau, plan de continuité, formation avancée), l’intervention de professionnels est recommandée et le délai peut s’étendre sur plusieurs mois, en fonction de la disponibilité des ressources et de la coordination avec les prestataires.

Cette approche progressive et adaptée permet aux TPE et PME de renforcer efficacement leur niveau de sécurité, même sans expertise technique poussée ni budget conséquent.

 

Aides et subventions

De nombreuses aides publiques sont disponibles pour accompagner les TPE et PME dans leurs démarches de cybersécurité et réduire leur reste à charge. 

Par exemple, le programme France 2030 – Cyber PME, piloté par Bpifrance, propose un diagnostic cybersécurité à 8 800 € HT, subventionné à 50 % (soit 4 400 € HT à la charge de l’entreprise), ainsi qu’une aide pouvant couvrir jusqu’à 70 % des dépenses liées au plan de sécurisation, avec des subventions comprises entre 30 000 et 80 000 € selon les projets(7).

Certaines régions, comme les Pays de la Loire, la Nouvelle-Aquitaine ou le Grand Est proposent également des dispositifs spécifiques pour financer des diagnostics ou des investissements en cybersécurité, avec des montants et des conditions adaptés à la taille et aux besoins des entreprises. Il est donc recommandé de se renseigner auprès de sa région pour connaître les aides disponibles localement.

En complément, les Chambres de Commerce et d’Industrie (CCI) offrent des ateliers de sensibilisation, des diagnostics et des accompagnements personnalisés pour aider les TPE et PME à renforcer leur sécurité numérique(9). Ces dispositifs permettent de bénéficier d’un premier niveau d’évaluation, d’un plan d’action adapté, et d’un accompagnement vers des solutions concrètes, en lien avec des experts du secteur.

Sources  
(1) Hiscox - 2023 - Rapport Hiscox 2023 sur la gestion des cyber-risques 
(2) Cybermalveillance.gouv.fr - 2025 - Rapport d’activité 2024
(3) Agence Nationale de la Sécurité des Systèmes d’information (Anssi) – 2025 - Rapport d’activité 2024
(4) ministère de l’Économie, des finances et de la souveraineté industrielle et numérique - 2023 - Entreprises : quelles règles de cybersécurité appliquer ? 
(5) Agence Nationale de la Sécurité des Systèmes d’information (Anssi) - 2023 - La directive NIS 2
(6) Mon Service Sécurisé -  Réaliser un audit de la sécurité du service
(7) FranceNum.gouv.fr - 2025 - France 2030 - Cyber PME
(8) FranceNum.gouv.fr - 2024 - Améliorer la cybersécurité de sa TPE PME : comment s’y prendre ?
(9) FranceNum.gouv.fr - 2024 - Votre TPE PME est-elle protégée contre les menaces cyber ? Faites le point avec la CCI

Voir tous les sujets de la thématique

.

© Adobestock - (JLco) Julia Amaral

Sécurisez les données de votre entreprise avec l’assurance Cyber-risques MMA !

Vol de données, hameçonnage, défaillances liées aux logiciels… Avec la multiplication des cyberattaques, protéger votre système informatique et les données de votre entreprise est indispensable. Avec l’assurance Cyber-risques MMA vous bénéficiez de garanties adaptées pour limiter les pertes financières liées aux cyber-risques. Vous êtes également accompagné par des experts MMA pour le redémarrage de votre activité.

Voir conditions du contrat. Pour en savoir plus, contactez votre agent général MMA.

Contacter un agent Assurance cyber-risques MMA

Plus d’infos sur la sécurité informatique

Votre Agent MMA

Trouver l'agence MMA la plus proche de chez vous.
Les agences MMA
Du 3 mars au 27 juillet 2025, - 15% sur la première cotisation annuelle de votre contrat assurance revenus pros MMA. Voir conditions sur mma.fr
Pour toute souscription auprès d’un Agent MMA, entre le 3 mars et le 27 juillet 2025 inclus, d’un contrat Assurance Revenus Pros (CG 715), bénéficiez de 15% de réduction sur votre cotisation annuelle la première année. Offre cumulable avec les offres similaires en cours portant sur les contrats Capital Décès et Santé mais non cumulables avec les autres offres promotionnelles. Contactez votre agent MMA pour toute information.