Cybersécurité en entreprise : le guide pour protéger votre PME (+coût et état des lieux en France

En France, les PME et ETI représentent la moitié des victimes de rançongiciels, avec un risque de faillite qui augmente de 50 % dans les six mois qui suivent l’attaque. La cybersécurité est donc avant tout une question de survie avant d’être un critère de compétitivité.

Dans ce guide pratique, DFM fait le point sur les menaces cyber qui pèsent sur les entreprises, les obligations réglementaires à connaître (RGPD, NIS 2), les coûts à prévoir et les étapes pour mettre en place une politique de sécurité informatique adaptée à la réalité des PME.

Qu'est-ce que la cybersécurité en entreprise ?

La cybersécurité regroupe l'ensemble des moyens techniques, organisationnels et humains que l’entreprise met en place pour protéger ses systèmes informatiques, ses réseaux et ses données contre les cyberattaques. Elle couvre trois périmètres : 

• Les infrastructures : serveurs, postes de travail, équipements réseau (routeurs, switchs, bornes Wi-Fi), mais aussi les environnements cloud comme Microsoft 365 ou Google Workspace. 
• Les données : fichiers clients, devis, factures, données comptables, mots de passe, propriété intellectuelle... 
• Le comportement des salariés : l’ouverture d’une pièce-jointe suspecte, la connexion aux WiFi personnels (télétravail) ou publics non sécurisés, l’utilisation du même mot de passe sur plusieurs services différents, etc. 

Nous avons synthétisé dans le tableau suivant les cyberattaques les plus fréquentes pour chaque périmètre, ainsi que leurs conséquences pour les entreprises.

Périmètre	Exemples d'attaques	Ce que vous risquez
Infrastructures	Ransomware qui chiffre le serveur de fichiers, attaque DDoS qui rend le site web ou la boutique en ligne inaccessible	Arrêt total ou partiel de l'activité pendant plusieurs jours, coût de remise en état du SI
Données	Fuite de la base clients après exploitation d'une faille, vol de données comptables par un accès non autorisé	Sanctions RGPD (jusqu'à 4 % du CA annuel), perte de confiance des clients, atteinte à la réputation
Comportements utilisateurs	Phishing qui déclenche un virement frauduleux, compromission d'un compte Microsoft 365 via un mot de passe réutilisé	Perte financière immédiate, propagation de l'attaque aux clients et fournisseurs via la messagerie compromise

4 raisons qui poussent les PME à mettre en place une politique de cybersécurité

Trop chère, trop technique, réservée aux grands groupes… Les raisons qui peuvent pousser les PME à esquiver la cybersécurité ne manquent pas. Mais dans la pratique, plusieurs facteurs peuvent les obliger à s’y mettre beaucoup plus tôt que prévu…

1. Les PME, cibles privilégiées des cyberattaques

Selon le dernier Panorama de la cybermenace de l'ANSSI (mars 2026), les PME, TPE et ETI représentent 48 % des victimes de rançongiciels en France. Il faut dire que 74 % des PME françaises n'atteignent même pas le premier palier de maturité cyber défini par l'ANSSI.

Le décalage entre l'exposition au risque et le niveau de protection explique en grande partie pourquoi les cybercriminels s’intéressent autant aux PME… mais il y a une autre raison.

Pour les pirates informatiques, la PME est un point d’entrée vers les grands comptes (plus lucratifs), qui peuvent être ses clients, ses fournisseurs ou ses donneurs d’ordre. C'est ce qu'on appelle l'attaque par rebond (ou attaque supply chain). 

Selon le 11^e baromètre CESIN-OpinionWay (janvier 2026), l'attaque par rebond représente 43 % des vecteurs d'attaque identifiés dans les grandes entreprises en France. Concrètement, voici comment cela fonctionne :

• Le cybercriminel identifie une TPE ou PME sous-traitante dont le SI est peu protégé ;
• Il compromet un compte email ou un accès VPN de cette PME ; 
• Depuis ce compte légitime, il envoie un email piégé ou accède directement au SI du client final (le grand compte) ; 
• Une fois dans le SI du grand compte, le cybercriminel déploie un rançongiciel, exfiltre des données sensibles (fichiers clients, propriété intellectuelle, données financières) ou déclenche une fraude au virement ;
• La PME qui a servi de porte d'entrée subit alors un préjudice économique (activité paralysée, perte de données, etc.) et la perte de confiance de son client grand compte.

💡 Ces cyberattaques par rebond qui ont visé des PME et sous-traitants en France

En 2019, des pirates ont ciblé par phishing plusieurs petits sous-traitants d'Airbus pour accéder à des données techniques sur des projets militaires et civils du groupe. Fin 2025, la compromission de la plateforme Itelis, utilisée par AG2R La Mondiale, la Matmut et d'autres mutuelles pour gérer les remboursements optiques et dentaires, a exposé les données de santé de milliers d'assurés. À chaque fois, le point d'entrée était le même : un (petit) tiers dont le niveau de sécurité informatique était insuffisant.

2. Quel est le vrai coût d’une cyberattaque pour une PME ?

Une étude Bessé/G.P. Goldstein, portée par FranceNum, a analysé 48 incidents cyber dans des entreprises françaises non cotées entre 2017 et 2021. Conclusion : le risque de défaillance de l'entreprise augmente d'environ 50 % dans les six mois qui suivent l'incident. 

Ce chiffre est d'autant plus alarmant qu'il ne concerne pas uniquement les PME fragiles. L’étude portait également sur des entreprises qui étaient en bonne santé avant l'attaque. Mais comment une cyberattaque peut-elle pousser une PME à déposer le bilan ? 

• L’arrêt d'activité : les rançongiciels bloquent l'accès aux fichiers clients, à la comptabilité, au logiciel métier... Tant que le SI n'est pas restauré, l'entreprise ne produit plus, ne facture plus et ne livre plus. La durée moyenne de paralysie peut aller de quelques jours à plusieurs semaines selon le niveau de préparation ;
• La remédiation technique : l’investigation forensique pour comprendre l'attaque, la reconstruction du SI et le remplacement éventuel de matériel compromis se chiffrent, en moyenne, à 59 000 € (selon une étude Asterès/CRIP) ;
• Les conséquences juridiques : notification obligatoire à la CNIL en cas de fuite de données personnelles (dans les 72 heures), avec un risque de sanction pouvant aller jusqu'à 4 % du chiffre d'affaires annuel ;
• Perte de clientèle : l'annonce d'un incident cyber peut éroder la confiance des clients et des partenaires, ce qui se traduit par des résiliations de contrats et une prospection plus compliquée.

💡 Clermont Pièces : 30 ans d'activité stoppés par un rançongiciel
Clermont Pièces, belle PME spécialisée dans les pièces d'électroménager, a dû cesser son activité après une attaque par rançongiciel qui a rendu l'ensemble de ses données irrécupérables : fichiers clients, historique de production et données comptables... Après plus de 30 ans d'activité, l'entreprise a été mise en liquidation judiciaire.

3. La cybersécurité comme argument commercial

Selon le baromètre CESIN 2026, 85 % des grandes entreprises insèrent désormais des clauses de sécurité informatique dans leurs contrats fournisseurs et sous-traitants, et 74 % leur soumettent des questionnaires de cybersécurité avant de les référencer. 

En clair : si vous êtes sous-traitant ou fournisseur d'un grand compte, on vous demandera de prouver votre niveau de sécurité informatique avant de signer ou de renouveler le contrat. Pour les PME qui travaillent en B2B, la cybersécurité est donc aussi un argument commercial pour prospecter des grands comptes et candidater aux appels d’offres. 

💡 La cybersécurité, un facteur de différenciation pour les PME
Moins de 1 % des PME françaises sont certifiées ISO 27001 (selon l'ISO Survey), ce qui donne un avantage immédiat à celles qui le sont.

4. Un cadre réglementaire qui impose d’agir, même pour les PME 

Certains textes s'appliquent directement aux PME, d'autres concernent plutôt les grandes entreprises et les secteurs critiques mais se répercutent par effet de cascade sur leurs sous-traitants et fournisseurs. Le tableau suivant résume les lois qui imposent des obligations de sécurité informatique aux PME en France.

Loi, directive ou clauses	Qui est concerné ?	Les obligations de cybersécurité	Les sanctions
RGPD	Toute entreprise qui traite des données personnelles (clients, salariés, prospects)	Mettre en œuvre des mesures de sécurité adaptées au risque (article 32), notifier la CNIL sous 72 h en cas de fuite de données personnelles	Jusqu'à 4 % du CA annuel mondial ou 20 M€
NIS 2 / Loi Résilience (transposition attendue en 2026, 3 ans pour se conformer)	PME de plus de 50 salariés ou 10 M€ de CA dans l'un des 18 secteurs couverts (industrie, santé, énergie, transports, services numériques…). Les sous-traitants de ces entités sont concernés indirectement par cascade contractuelle.	Politique de gestion des risques cyber, plan de continuité d'activité (PCA), notification des incidents à l'ANSSI sous 24 h, sécurisation de la chaîne de sous-traitance	Jusqu'à 7 M€ ou 1,4 % du CA mondial pour les « entités importantes ». Responsabilité personnelle du dirigeant en cas de manquement grave.
Exigences contractuelles des donneurs d'ordre	Toute PME qui travaille en B2B avec un grand compte ou répond à un marché public	Questionnaires de sécurité, clauses contractuelles imposant un niveau minimum de protection (MFA, sauvegardes, politique de mots de passe, etc.)	Perte du contrat ou exclusion de l'appel d'offres

Quelles sont les cyberattaques qui ciblent le plus les PME ?

En France, 60 % des cyberattaques recensées par le CESIN débutent par une tentative de phishing, et 43 % des TPE-PME en ont été victimes en 2025, contre 24 % l'année précédente. 

Derrière le phishing, les trois vecteurs d'attaque les plus fréquents en entreprise sont l'exploitation de failles logicielles (41 %), l'attaque indirecte via un tiers (35 %) et la fraude au virement qui explose littéralement (+44 % entre 2024 et 2025 selon la Banque de France).

Attaque	Comment ça fonctionne	Principale conséquence	Meilleure protection
Phishing (hameçonnage)	Un email, un SMS ou un faux site imite un interlocuteur de confiance (banque, fournisseur, direction) pour récupérer des identifiants ou déclencher un clic sur un lien piégé	Vol d'identifiants, point d'entrée vers le SI pour une attaque plus large (ransomware, fraude au virement)	Sensibilisation des salariés (campagnes de phishing simulé) et déploiement du MFA sur tous les comptes
Ransomware (rançongiciel)	Un logiciel malveillant chiffre les fichiers du serveur et des postes de travail, puis exige une rançon en échange de la clé de déchiffrement	Paralysie totale de l'activité (en moyenne plusieurs semaines pour une PME si pas de sauvegardes)	Sauvegardes régulières déconnectées du réseau (règle 3-2-1) et solution EDR sur les postes
Fraude au virement (arnaque au président, faux fournisseur)	Le pirate se fait passer pour un dirigeant ou un fournisseur et demande un virement urgent vers un compte frauduleux, parfois avec un deepfake (voir encadré plus bas)	Perte financière immédiate, souvent irrécupérable	Procédure de double validation pour tout virement supérieur à un seuil défini, vérification systématique par un second canal (appel téléphonique)
Exploitation de failles	Le pirate exploite une vulnérabilité connue dans un logiciel ou un équipement réseau (pare-feu, VPN) non mis à jour	Accès au SI, exfiltration de données ou déploiement d'un ransomware	Politique de mises à jour rigoureuse (patching), en priorité sur les équipements exposés à Internet

💡 L’IA et les deepfakes plus vrais que nature

En février 2024, un employé du service financier de la multinationale britannique Arup a participé à une visioconférence avec son directeur financier et quelques collègues... En réalité, il s’agissait d’une vidéo deepfake générée par l’IA. Les escrocs avaient passé des mois à récupérer des vidéos et des enregistrements audio des dirigeants de l'entreprise sur YouTube pour recréer leur apparence et leur voix. Convaincu d’avoir son supérieur à l’écran, l'employé a exécuté 15 virements vers cinq comptes bancaires différents, pour un total de 25 millions de dollars.

Combien coûte la cybersécurité pour une PME en France ?

Deux options s'offrent aux PME qui souhaitent sécuriser leur activité : former et équiper leur responsable IT pour qu'il gère la sécurité informatique au quotidien, ou confier la mission à un prestataire spécialisé (MSSP). Les deux approches n'impliquent ni les mêmes budgets, ni le même niveau de protection.

Option 1 : gérer sa cybersécurité en interne

Selon le baromètre Cybermalveillance (2025), 72 % des TPE-PME ne comptent aucun salarié dédié à la cybersécurité. Pour celles qui souhaitent gérer la sécurité informatique en interne, le premier poste de dépense est évidemment le recrutement : 

• Un RSSI coûte entre 90 000 et 115 000 € brut par an (selon Robert Half, 2026) ; 
• Avec 6 à 9 mois de délai de recrutement ; 
• Et 3 mois d'intégration avant qu'il soit 100 % opérationnel. 

Pour une PME de moins de 50 salariés, ce budget est rarement justifiable à temps plein. L'alternative la plus rationnelle consiste à confier la cybersécurité au responsable IT en poste, en le formant (certification « Référent cybersécurité en TPE/PME » de l'ANSSI, par exemple) et en l'équipant d’une stack cybersécurité. 

Voici les postes de coûts à prévoir :

• EDR (administré par le responsable IT) : de 70 à 160 € par poste et par an selon l'éditeur et le niveau de fonctionnalités ;
• MFA : inclus dans Microsoft 365 Business Premium. Sinon, une solution dédiée coûtera entre 3 et 5 €/utilisateur/mois ; 
• Pare-feu nouvelle génération : un FortiGate 40F pour une PME de 10 à 50 postes démarre à partir de 800 € en matériel, plus les licences de sécurité annuelles ; 
• Sauvegardes sécurisées (règle 3-2-1) : Acronis Cyber Protect à 15-20 €/poste/an ou Backblaze à 7 €/poste/an ; 
• Sensibilisation des salariés : de 1 000 à 3 000 € par an pour des campagnes de phishing simulé et des sessions de formation ; 
• Cyberassurance : de 500 € par an (TPE) à plus de 10 000 € (ETI).

Option 2 : externaliser sa cybersécurité auprès d'un prestataire

Pour les PME qui n'ont ni RSSI ni compétences cyber en interne, l'externalisation auprès d'un MSSP (Managed Security Service Provider) est souvent l'option la plus réaliste. 

Le prestataire gère la surveillance, la détection des menaces, les mises à jour de sécurité et la réponse aux incidents, le tout pour un forfait mensuel prévisible. Voici les formules les plus courantes et les fourchettes de prix :

• Forfait MSSP tout-en-un (EDR managé, pare-feu, sauvegardes, supervision, conformité) : de 10 à 50 € par utilisateur et par mois. Certains prestataires proposent des bundles complets avec SOC inclus entre 30 et 80 € par poste et par mois ;
• SOC externalisé seul (surveillance 24/7, analyse des alertes, réponse aux incidents) : à partir de 500 €/mois pour une infrastructure de 20 à 50 postes. Cette option convient aux PME qui ont déjà un prestataire d'infogérance pour le reste ;
• RSSI à temps partagé (pilotage de la politique cyber, conformité NIS 2, lien entre la direction et l'IT) : de 25 000 à 50 000 € par an pour 2 à 8 jours de présence par mois.

💡 Internalisation vs. externalisation de la sécurité informatique

En interne, la facture se chiffre à quelques milliers d'euros par an pour les outils, mais la charge repose entièrement sur le responsable IT, qui n'est pas un expert cyber. Avec un prestataire de cybersécurité, la PME accède à une surveillance 24/7 et à un niveau de protection inaccessible en CDI. Dans les deux cas, le budget cybersécurité reste marginal comparé au coût médian d'une cyberattaque pour une PME (59 000 €, sans compter l'arrêt d'activité et la perte de clients).

Les étapes pour mettre en place une politique de cybersécurité en PME

La démarche est la même pour une PME qui internalise sa cybersécurité que pour une PME qui l'externalise. La différence porte sur l'exécution : avec l’externalisation, le prestataire prend en charge l’essentiel de la mission (déploiement et surveillance), mais le dirigeant reste décisionnaire sur le périmètre à protéger, les priorités et la gestion de crise : 

1. Cartographier le SI et identifier les risques : inventorier les postes, serveurs, services cloud et données sensibles. Pour chaque actif, se demander : que se passe-t-il si ces données sont volées, chiffrées ou détruites ? 
2. Déployer les protections prioritaires (en interne ou via un prestataire). MFA sur tous les accès critiques, EDR sur les postes et serveurs, sauvegardes déconnectées du réseau (règle 3-2-1) et mises à jour de sécurité appliquées sans délai ;
3. Sensibiliser les salariés. Campagnes de phishing simulé au moins chaque trimestre et sessions courtes sur les bons réflexes ; 
4. Rédiger un plan de réponse à incident : qui décide s’il faut couper le réseau, qui contacter (prestataire IT, assureur, avocat RGPD), comment informer les parties prenantes et comment restaurer l'activité ;
5. Tester et maintenir. Vérifier chaque trimestre que les sauvegardes sont restaurables, organiser un exercice de crise par an et revoir les droits d'accès à chaque départ de salarié.

DFM, partenaire cybersécurité des PME et ETI depuis 2002

DFM est une société française indépendante fondée en 2002, qui accompagne plus de 10 000 PME et ETI sur l'ensemble de leurs besoins IT. Avec 300 collaborateurs répartis dans 12 agences en France et 140 techniciens permanents, nous intervenons au plus près de nos clients, aussi bien à distance que sur site. La cybersécurité fait partie de nos 5 domaines d’expertise historiques, avec un accompagnement à 360° : 

• Audit de sécurité informatique pour cartographier les vulnérabilités de votre SI et établir un plan d'action priorisé ;
• Déploiement des protections : EDR, pare-feu nouvelle génération (partenaire Sophos), MFA, sauvegardes sécurisées ;
• SOC (Security Operations Center) : nos experts en cybersécurité surveillent votre infrastructure 24/7 et interviennent en cas d'incident ;
• Sensibilisation des collaborateurs : campagnes de phishing simulé et formation aux bons réflexes ;

Reporting mensuel : chaque mois, vous recevez un rapport complet avec vos indicateurs cyber, vos axes d'amélioration et l'évolution de votre niveau de protection.

Discutons de vos besoins en cybersécurité