7 statistiques sur la cybersécurité des PME à connaître en 2026

La cybersécurité n’est pas seulement l’un des sujets principaux des discussions au sein du secteur informatique. Les entreprises et les gouvernements du monde entier sont très attentifs à l’augmentation des cybermenaces et aux statistiques sur la cybersécurité des PME.

Nombreux sont ceux qui ont appris à leurs dépens que les petites entreprises sont des cibles fréquentes de tous les types de cyberattaques. L’idée même de « cibler une victime » a été remise en question, les attaques aveugles étant désormais le statu quo. Les PME sont particulièrement vulnérables, car elles n’ont souvent pas la sensibilisation, le personnel ou le dispositif cybernétique nécessaires pour y résister.

Ce n’est qu’une des nombreuses prises de conscience qui ont eu lieu en 2024. À l’horizon 2025, de nouvelles menaces et de nouveaux modèles d’attaque continuent d’évoluer, et les MSP doivent s’adapter ou faire face à des conséquences importantes. Voici sept statistiques et tendances relatives à la cybersécurité des PME qui ont le plus d’importance cette année.

Dans cet article, nous aborderons divers aspects :

• Combien d’entreprises sont encore vulnérables aux cyberattaques ?
• Quelles sont les principales cybermenaces en 2024 ?
• L’antivirus devient secondaire par rapport à la protection des terminaux
• L’état des ransomwares en 2024
• Ce que les entreprises MSP peuvent faire pour la cybersécurité des PME

1. La grande majorité des entreprises sont encore vulnérables aux attaques

94 % des PME ont subi au moins une cyberattaque au cours de l’année écoulée.

Les statistiques de Connectwise, montrent qu’au moins 78 % des PME craignent qu’un incident majeur ne les mette en faillite. Sans compter sur l’émergence de l’IA, qui a rendu ces attaques plus sophistiquées : on prévoit que d’ici 2027, 17 % des cyberattaques seront exécutées avec l’aide de l’IA générative.

Positive Technologies a réalisé une série de tests d’intrusion (pentest) dans plusieurs grands secteurs, notamment la finance, les carburants et l’énergie, les organismes gouvernementaux, les entreprises industrielles et même les sociétés informatiques. Ils ont prouvé que dans 93 % des cas de test, un attaquant pouvait pénétrer les défenses du réseau d’une entreprise et accéder au réseau local.

Une étude réalisée par VikingCloud révèle que les périodes d’inactivité dus à une cyberattaque coûtent aux entreprises environ 53 000 dollars par heure. (Source)

Les périodes d’inactivité restent l’un des principaux coûts cachés. Selon le rapport d’IBM sur le coût d’une violation de données en 2025, la violation moyenne coûte aujourd’hui 4,88 millions de dollars à l’échelle mondiale et il faut 204 jours pour l’identifier. Pour les petites entreprises, ce type de perturbation peut être dévastateur.

De plus, comme le souligne Cybersecurity Magazine (Source) :

• 30 % des petites entreprises considèrent le hameçonnage (phishing) comme leur plus grande menace cybernétique
• 83 % des petites et moyennes entreprises ne sont pas préparées à se remettre des dommages financiers d’une cyberattaque
• 91 % des petites entreprises n’ont pas souscrit d’assurance cyber-responsabilité, bien qu’elles soient conscientes du risque et de la probabilité qu’elles ne puissent pas se remettre d’une attaque
• Seules 14 % des petites entreprises considèrent que leur dispositif de cybersécurité est très efficace

Pourquoi les entreprises hésitent-elles encore à adopter une approche plus performante de la sécurité ? Même si les statistiques de cybersécurité sont utiles pour comprendre la nature de l’environnement des menaces, elles ne constituent pas toujours un outil efficace pour changer les perceptions. C’est pourquoi, de nombreux membres de la communauté de la cybersécurité et du secteur ont plaidé pour un changement d’attitude à l’égard de l’adoption de la cybersécurité.

2. Les principales cybermenaces en 2025

L’homme est toujours exploité comme le « maillon faible » d’un plan de cybersécurité.

L’hameçonnage (phising) par e-mail, le harponnage (spear-phishing) et l’ingénierie sociale restent les moyens les plus courants et les plus fiables d’accéder illégalement à un réseau. Le phishing et l’usurpation d’identité sont à l’origine de près de 73 % des violations dans certains secteurs, les informations d’identification étant les données les plus souvent compromises (~50 % des incidents de phishing)

L’ingénierie sociale et le phishing sont les méthodes les plus fréquemment utilisées. Même lorsque les logiciels, le matériel et les correctifs appropriés sont présents, l’élément humain constitue toujours un point faible.

Une étude de CyberArk 2024 a révélé que 49 % des employés réutilisent les mêmes identifiants dans plusieurs applications liées au travail, et que 36 % utilisent les mêmes identifiants pour leurs comptes personnels et professionnels. Ces habitudes amplifient le risque d’exploitation massive d’identifiants compromis et d’attaques latérales, et augmentent l’exposition dans les environnements hybrides.

D’autres recherches ont montré ce qui suit :

• 82 % des brèches sont d’origine humaine, que ce soit par phishing, vol d’identifiants ou erreurs manuelles. (Source)
• 65 % des employés des PME contournent les politiques de cybersécurité pour faciliter leur travail. (Source)
• 61 % des PME déclarent que le phishing est le vecteur d’attaque le plus courant auquel elles ont été confrontées au cours de l’année écoulée. (Source)

3. Gestion des identifiants et des accès administrateur

Beaucoup plus de violations ont été liées à des compromissions de comptes et à un mauvais contrôle des permissions, qu’à des virus.

Les faiblesses de la sécurité des comptes et la mauvaise gestion des privilèges restent parmi les lacunes les plus exploitées dans les défenses des PME. Selon le rapport Verizon DBIR 2024, 86 % des attaques d’applications web ont été attribuées à des informations d’identification volées, tandis que le rapport « Identity Report » de Microsoft indique que près de la moitié des PME utilisent encore des mots de passe seuls, sans authentification forte.

Une fois à l’intérieur, les attaquants exploitent souvent les droits administrateurs excessifs. Une étude réalisée en 2024 par Sophos montre que plus de 90 % des attaques par malware impliquent le vol de données ou d’informations d’identification.

Cela signifie que la responsabilité de la sécurité des terminaux des PME incombe aux entreprises MSP (fournisseurs de services gérés) dans la plupart des cas. Les fournisseurs de services gérés (MSP) doivent sensibiliser les petites entreprises à la nécessité d’une rigueur des mots de passe, d’un contrôle des autorisations et d’autres mesures de sécurité des terminaux comme le cryptage des données. À tout le moins, les MSP devraient adopter activement le principe du moindre privilège lorsqu’il s’agit de la gestion des comptes administrateurs dans les réseaux de leurs clients.

En combinant les contrôles techniques avec la formation des utilisateurs et la surveillance continue, les MSP peuvent contribuer à atténuer l’un des risques les plus persistants et les plus préjudiciables auxquels sont confrontées les PME aujourd’hui.

4. Les rançongiciels constituent toujours une menace

La simplicité et l’efficacité des rançongiciels (ransomwares) continuent d’en faire un choix privilégié pour les pirates.

Malgré une légère baisse des paiements de rançons en 2024, les ransomwares restent l’une des menaces les plus dommageables pour les PME. Les attaquants font évoluer leurs tactiques, en utilisant le vol de données et des systèmes de double extorsion pour augmenter la pression.

Voici quelques chiffres importants à connaître :

• 5 243 victimes de ransomware ont vu leurs données publiées sur des sites de fuite en 2024, soit une hausse de 15 % par rapport à 2023. (Source)
• Plus de 800 millions de dollars ont été versés à des pirates informatiques utilisant des ransomwares en 2024. (Source)
• Le montant moyen des rançons payées en 2024 s’élevait à 2,73 millions de dollars. (Source)
• 70 % des cyberattaques en 2024 ont conduit au chiffrement des données. (Source)
• 41 % des personnes interrogées par Sophos se disent de plus en plus inquiètes de la possibilité d’attaques futures par ransomware. (Source)

Découvrez comment H.E.R.O.S. a pu se remettre rapidement d’une attaque par ransomware avec un temps d’arrêt minimal et très peu de dommages durables.

5. 29 000 CVE ont été publiées en 2024

À la fin de 2024, environ 29 000 nouvelles CVE avaient été publiées, dont des milliers classées comme critiques ou très sévères (Source)

Les vulnérabilités devraient augmenter au rythme et à l’échelle de l’adoption des technologies. Les cyberattaques sont considérées comme un risque inhérent de nos jours. Cependant, cette tendance crée une pile croissante de dettes de sécurité que les entreprises MSP et les professionnels de la sécurité ont du mal à régler. Lorsque les équipes de cybersécurité ne traitent pas les vulnérabilités de l’année précédente, celles de cette année se cumulent et il est beaucoup plus difficile d’y remédier.

Voici quelques statistiques clés :

• Sur les 29 000 CVE publiées l’année dernière, plus de 4 600 ont été jugées critiques et plus de la moitié ont pu être exploitées avec des compétences techniques minimales. (Source)
• L’exploitation des vulnérabilités est le vecteur d’attaque le plus courant, représentant plus de 30 % des attaques. (Source)
• Seules 38 % des PME déclarent avoir mis en place un programme formel de gestion des vulnérabilités. (Source)

6. Les attaques sur le cloud sont en hausse

Les organisations de toute taille peuvent subir une attaque visant leurs données qui se trouvent sur le cloud.

La tendance à l’utilisation du cloud a entraîné une tendance aux cyberattaques ciblées sur le cloud. Depuis 2020, 79 % des entreprises ayant des données sur le cloud ont subi au moins une violation du cloud. Ce n’est pas un chiffre anodin, puisque des rapports montrent que 94 % des entreprises en 2025 hébergent actuellement au moins une partie de leurs données ou de leur environnement informatique dans le cloud.

Il s’agit, encore une fois, d’un problème qui remonte à la pandémie de COVID-19. Malheureusement, la vitesse surprenante à laquelle de nombreuses entreprises ont adopté la technologie du cloud a créé de nombreuses vulnérabilités uniques.

Un rapport du Forum économique mondial montre que bien que 66 % des personnes interrogées s’attendent à ce que l’IA ait un impact sur la cybersécurité au cours des 12 prochains mois, seules 37 % d’entre elles ont actuellement mis en place des processus pour garantir son déploiement en toute sécurité.

De plus, seules 14 % des entreprises sont convaincues que leur équipe possède les compétences nécessaires pour faire face aux menaces de cybersécurité.

Selon Nikesh Ashora, PDG de Palo Alto Networks, les entreprises « s’efforcent de rassembler des dizaines de solutions de sécurité disparates et d’appliquer des politiques de sécurité dans les environnements réseau, cloud et de terminaux d’une entreprise. »

La mise à jour des opérations de cybersécurité et des protocoles d’adoption de l’IA peut contribuer à minimiser la charge des équipes informatiques qui peuvent encore avoir besoin de traiter manuellement les attaques provenant de diverses sources.

7. Les attaques contre la chaîne d’approvisionnement numérique sont considérées comme un risque majeur

D’autres menaces sont attendues, car des vulnérabilités telles que Log4j prolifèrent dans la chaîne d’approvisionnement.

Alors même que les surfaces d’attaque des entreprises ne cessent de s’étendre, les risques liés aux tiers deviennent plus critiques. Gartner prévoit que d’ici 2025, 45 % des entreprises dans le monde auront subi des attaques sur leurs chaînes d’approvisionnement en logiciels. Cela représente une augmentation de 300 % par rapport à 2021, et des violations très médiatisées telles que MOVEit prouvent que cette prévision est en train de se concrétiser.

En raison de récentes menaces très médiatisées, les fournisseurs de services gérés (MSP) connaissent bien les attaques contre la chaîne d’approvisionnement. La pression exercée sur la chaîne d’approvisionnement numérique exige une séparation des fournisseurs et des partenaires davantage axée sur les risques, des contrôles de sécurité plus stricts, les bonnes pratiques, ainsi qu’une évolution vers un développement et une distribution plus soucieux de la sécurité. Cela dit, il est généralement admis que les fournisseurs informatiques et leurs vendeurs pourraient avoir du mal à anticiper les réglementations à venir en raison de cette augmentation des risques.

Un guide vidéo sur les 7 statistiques sur la cybersécurité des PME à connaître en 2026 est également disponible.

Ne faites pas d’économies sur la mitigation des risques

Ces statistiques peuvent sembler décourageantes, et de nombreuses petites entreprises se sentent impuissantes face à ces chiffres. Après tout, les outils de cybersécurité sophistiqués et les experts qualifiés ne sont pas bon marché et peuvent être difficiles à justifier, même lorsqu’une PME sait qu’une cyberattaque pourrait mettre son entreprise en faillite. Où se situe donc la disparité entre les MSP en ce qui concerne le coût du danger et de l’atténuation des risques ?

Heureusement, cela place les MSSP et les MSP dans une bonne position auprès des entreprises qui réalisent qu’elles ont besoin d’offres de sécurité mais ne peuvent pas se permettre d’avoir des professionnels de la sécurité en interne. Au contraire, le fournisseur informatique doit convaincre les clients utilisateurs finaux de l’importance d’une posture de sécurité solide.

Vous souhaitez obtenir des réponses pratiques aux défis courants en matière de sécurité pour les MSP ? Consultez notre FAQ sur le RMM.

NinjaOne : le RMM qui aide vos clients à rester en sécurité

• Contrôle et visibilité
• Contrôle d’accès basé sur les rôles (RBAC – Role-Based Access Control)
• Chiffrement du disque
• Antivirus géré
• Gestion des mots de passe
• Approbation d’appareil

Découvrez plus d’informations sur les outils intégrés de NinjaOne pour améliorer la sécurité des terminaux.