Un décalage alarmant entre conscience du risque et action réelle
Selon nos confrères de Solutions Numériques, l'ANSSI a traité 1 366 incidents de sécurité en un an dans son panorama de la cybermenace de mars 2026. Les PME, TPE et ETI représentent 48 % des victimes de rançongiciels, première catégorie touchée devant les grandes entreprises.
Le coût moyen d'une cyberattaque pour une PME française oscille entre 59 000 et 466 000 euros, selon la taille de l'entreprise, la nature de l'attaque et la durée d'interruption d'activité. À cela s'ajoutent des coûts invisibles : perte de confiance des clients, fuite de données sous régime RGPD avec sanctions potentielles de la CNIL, et arrêt d'activité pouvant durer plusieurs semaines.
Comme le résume Lilian Dulau : "Une cyberattaque, ce n'est pas qu'un problème technique. C'est un problème de survie économique."
Le facteur humain, première faille ignorée
Le rapport DBIR 2025 de Verizon établit que le facteur humain est impliqué dans environ 60 % des brèches de sécurité. Erreurs de configuration, clics sur des e-mails de phishing, mots de passe réutilisés, absence de double authentification : les collaborateurs restent le premier vecteur d'intrusion, souvent par méconnaissance.
Ce constat rejoint une tendance plus large documentée par nos confrères d'IT for Business le 23 avril 2026 : Acronis, dans son rapport semestriel de l'équipe Threat Research Unit, recense 143 prestataires IT touchés par des ransomwares au niveau mondial en 2025, dont 69 MSP et 74 opérateurs télécoms. Des groupes comme Qilin, Akira et DragonForce ont ciblé des plateformes d'administration à distance telles qu'AnyDesk, ScreenConnect ou LogMeIn pour s'infiltrer chez les clients de ces prestataires.
Chaque MSP compromis expose potentiellement l'intégralité de sa base clients, faisant de ces prestataires des "points d'entrée uniques" vers des dizaines d'environnements simultanément.
L'IA générative, nouvelle surface d'attaque sous-estimée
La menace s'étend désormais à l'usage non contrôlé de l'intelligence artificielle en entreprise. Selon nos confrères de Le Filia, une enquête de VentureBeat menée entre janvier et mars 2026 auprès de 40 grandes entreprises révèle que 72 % des décideurs utilisent au moins deux plateformes d'IA qu'ils considèrent comme maîtrisées, alors que ni les responsabilités, ni les garde-fous, ni les processus de sécurité n'ont été formellement définis.
Le cas du système hospitalier Mass General Brigham, 90 000 salariés au Massachusetts, illustre ce risque : son directeur technique Nallan Sriraman a dû stopper un nombre incontrôlé de projets pilotes IA qui avaient proliféré sans supervision, avant de construire une plateforme maison autour de Microsoft Copilot capable de protéger les données de santé de 30 000 utilisateurs.
Acronis répond à ce risque en lançant GenAI Protection, une solution conçue pour encadrer l'usage de l'IA générative dans les environnements des PME clientes, face à une surface d'attaque qui n'existait pas il y a trois ans.
Chiffres clés
- 74 % des PME françaises se situent en dessous du niveau « Essentiel » de cybersécurité défini par l'ANSSI (Baromètre Cybermalveillance.gouv.fr 2025)
- 68 % des PME françaises investissent moins de 2 000 €/an en cybersécurité (Baromètre Cybermalveillance.gouv.fr 2026)
- 48 % des victimes de rançongiciels traités par l'ANSSI sont des TPE/PME (ANSSI 2026)
- +73 % d'assistances aux entreprises victimes de cyberattaques enregistrées, dont +112 % de piratages (Rapport Cybermalveillance.gouv.fr 2025)
- 90 % des PME françaises manquent de ressources internes en cybersécurité, sur fond de 15 000 postes non pourvus dans le secteur (ANSSI 2025)
Source: solutions-numeriques.com