Pourquoi près d’une PME sur deux subit une cyberattaque : 5 erreurs récurrentes (et comment les corriger)

En 2025, les petites entreprises ne sont plus des “cibles secondaires”. Elles sont au cœur du volume d’attaques opportunistes (phishing, compromission d’identifiants, ransomware), et elles subissent aussi les effets de chaîne (prestataires, outils cloud, sous-traitants).

Le Cyber Security Breaches Survey 2025 du gouvernement britannique est intéressant parce qu’il est très structuré et transposable : il montre que 43 % des entreprises déclarent avoir identifié une cyberattaque ou un incident au cours des 12 derniers mois… après 50 % l’année précédente.

Autrement dit : selon l’année et la capacité à détecter, on est proche du “1 sur 2”. Et le rapport précise que la baisse observée en 2025 vient surtout du fait que les micro/petites entreprises ont moins identifié le phishing pas forcément qu’il a disparu.

Côté paysage de menaces, l’ENISA rappelle que les attaques sur la disponibilité (DDoS) et le ransomware restent au sommet des menaces, année après année.

Le point clé : les attaques réussissent rarement grâce à une faille “exotique”. Elles exploitent des erreurs d’hygiène et de gouvernance répétitives. Voici les 5 plus fréquentes et comment les corriger avec un plan simple.

1) sensibilisation “one shot” (ou inexistante)

La première erreur n’est pas “les gens sont mauvais”, c’est : l’entreprise n’a pas organisé le réflexe. Or le rapport UK 2025 montre que le phishing reste le type d’attaque le plus fréquent et le plus perturbant chez les organisations qui déclarent un incident.

Ce qui marche en PME :

1. une micro-sensibilisation régulière (10-15 min), orientée “gestes concrets”
2. un process de signalement simple (un canal, un bouton, une personne)
3. une preuve de réalisation (date, participants, support), utile en cas d’audit / assurance

2) patch management irrégulier (ou non prouvé)

La seconde erreur est un classique : “on met à jour quand on peut”. Résultat : l’entreprise laisse des fenêtres de tir. L’ENISA insiste sur l’importance des vulnérabilités et de l’exploitation opportuniste dans le paysage actuel.

Ce qui rend le patching efficace en PME :

1. une cadence simple (mensuelle) + un “fast lane” pour les correctifs critiques
2. un périmètre clair (serveurs, postes, équipements exposés)
3. une preuve systématique (export outil / rapport / ticket de change)

Le piège à éviter : patcher “à la main” sans trace. En audit, ce n’est pas “patché” qui compte, c’est “patché et démontrable”.

3) MFA partielle ou mal ciblée

Beaucoup de PME activent le MFA sur un outil… mais pas sur les accès qui comptent vraiment : messagerie, comptes admin, VPN, consoles cloud, outils de gestion. Or le phishing est largement documenté comme vecteur principal dans les incidents déclarés au UK survey.

Règle terrain :

1. MFA obligatoire sur mail, cloud, admin, accès distants
2. revue trimestrielle des exceptions (et justification écrite)
3. export/attestation de configuration conservé comme preuve

4) sauvegardes non testées (ou pas isolées)

La sauvegarde “qui existe” mais n’a jamais été testée, c’est une illusion de sécurité. Et en ransomware, c’est le point qui fait la différence entre “incident géré” et “crise business”.

Dans le contexte européen, le ransomware reste identifié comme une menace majeure et à fort impact.

Minimum viable pour PME :

1. stratégie 3-2-1 (dont une copie hors ligne/isolée)
2. test de restauration régulier (mensuel ou trimestriel)
3. preuve du test (rapport, capture, compte rendu)

5) pas de plan de réponse à incident (donc chaos à J0)

Dernière erreur : la PME se dit “on verra le jour où ça arrive”. Sauf que les obligations (clients, assureurs, parfois NIS2 selon le secteur) et la réalité opérationnelle imposent d’être prêt à agir vite.

Le UK survey 2025 montre que le phishing est aussi jugé “chronophage” à traiter (volume, investigation, besoin de formation).

Sans procédure, tout devient plus long : containment, communication, restauration, preuve.

Le plan pragmatique (1 page) :

1. qui décide (direction / référent)
2. qui exécute (IT / prestataire)
3. quoi conserver (logs, preuves, chronologie)
4. comment communiquer (clients, partenaires, interne)

Passer des erreurs au plan de remédiation : la méthode simple

Pour sortir du “déclaratif” et devenir “audit-ready”, appliquez ce format pour chaque exigence :

exigence → preuve → propriétaire → fréquence de revue

C’est le format qui fonctionne à la fois pour :

1. audits clients / questionnaires fournisseurs
2. ISO 27001
3. exigences NIS2 (gestion du risque + démonstration)
4. cyber-assurance

Comment CompliKey aide (sans complexifier)

CompliKey sert de centre de conformité cybersécurité pour transformer ces 10–20 fondamentaux en système pilotable :

1. mesures structurées (socle ANSSI / ISO / NIS2)
2. propriétaires, échéances, actions
3. preuves rattachées et historisées
4. tableau de bord (maturité / conformité / retard)

👉 Résultat : vous passez d’un “on fait” à un “on peut le prouver”, et vous construisez une progression visible dans le temps.