Un paysage de menaces en constante évolution
Le coût moyen d'une cyberattaque pour une PME française atteint 58 000€ en 2026 (ANSSI). 43% des cyberattaques ciblent les PME, qui sont souvent les moins protégées. La question n'est plus « si » vous serez attaqué, mais « quand ». Voici les 10 menaces les plus fréquentes et comment s'en protéger. Pour approfondir, consultez notre article sur Attaques DDoS : comprendre, prévenir et réagir. Pour approfondir, consultez notre article sur Authentification à deux facteurs : pourquoi et comment la mettre en place. Pour approfondir, consultez notre article sur Comparatif des meilleurs antivirus pour entreprise en 2026.
1. Ransomware : la menace n°1
Un malware chiffre vos données et exige une rançon (souvent en Bitcoin). En 2026, le montant moyen demandé aux PME est de 150 000€. Seulement 8% des entreprises qui paient récupèrent toutes leurs données. Les variantes modernes pratiquent la double extorsion : chiffrement + menace de publication des données volées.
Protection : sauvegardes 3-2-1 (3 copies, 2 supports, 1 hors site), antivirus EDR (pas un simple antivirus), segmentation réseau, formation des employés, plan de réponse aux incidents documenté.
2. Phishing et spear phishing
91% des cyberattaques commencent par un email de phishing. En 2026, l'IA rend les emails de phishing presque indétectables : orthographe parfaite, personnalisation poussée, imitation fidèle de l'identité visuelle. Le spear phishing cible des individus spécifiques (CEO, CFO, comptable) avec des informations personnalisées.
Protection : filtrage email avancé (Proofpoint, Mimecast), formation et tests de phishing réguliers (KnowBe4), authentification 2FA sur tous les comptes critiques, politique de vérification pour les virements importants.
3. Compromission d'identifiants (credential stuffing)
Des milliards de couples email/mot de passe circulent sur le dark web. Les attaquants les testent automatiquement sur vos services (Office 365, VPN, CRM). Si un employé réutilise le même mot de passe, c'est la porte ouverte.
Protection : gestionnaire de mots de passe d'entreprise (1Password Business, Dashlane), politique de mots de passe forts et uniques, MFA (authentification multi-facteurs) obligatoire, monitoring des fuites (Have I Been Pwned API).
4. Attaques supply chain
L'attaque passe par un de vos fournisseurs/prestataires. SolarWinds (2020), Kaseya (2021), MOVEit (2023) ont montré l'ampleur du risque. Vos données sont aussi sécurisées que le maillon le plus faible de votre chaîne de fournisseurs.
Protection : audit de sécurité des fournisseurs critiques, clauses contractuelles de cybersécurité, segmentation des accès fournisseurs, monitoring des logiciels tiers.
5. Ingénierie sociale (social engineering)
Manipulation psychologique pour obtenir des informations ou des accès. Appels téléphoniques (vishing) où l'attaquant se fait passer pour le support IT, le banquier ou un dirigeant. En 2026, les deepfakes audio permettent de cloner la voix du CEO en 3 secondes d'échantillon.
Protection : procédures de vérification d'identité, culture de la méfiance constructive, canal de confirmation secondaire pour les demandes sensibles (rappeler sur le numéro officiel).
6. Attaques par déni de service (DDoS)
Submersion de votre site/service sous un flot de trafic malveillant. Impact : site indisponible, perte de chiffre d'affaires, atteinte à la réputation. Coût moyen d'une heure d'indisponibilité e-commerce : 5 000-25 000€.
Protection : CDN avec protection DDoS (Cloudflare, AWS Shield), plan de continuité d'activité, redondance infrastructure.
7. Vulnérabilités logicielles (zero-day)
Failles dans les logiciels que vous utilisez (WordPress, Exchange, VPN) exploitées avant qu'un correctif ne soit disponible. En 2025, 60% des intrusions exploitaient des vulnérabilités connues mais non patchées.
Protection : mises à jour automatiques, programme de patch management, scanner de vulnérabilités (Qualys, Nessus), segmentation réseau pour limiter la propagation.
8. Menaces internes (insider threats)
Employés malveillants ou négligents. 25% des fuites de données proviennent de l'interne. Un employé mécontent qui copie la base clients avant de partir, un stagiaire qui clique sur un lien malveillant, un admin qui a trop de droits.
Protection : principe du moindre privilège (accès minimum nécessaire), monitoring des activités sensibles, procédure de départ sécurisée (révocation immédiate des accès), DLP (Data Loss Prevention).
9. Attaques IoT
Caméras, imprimantes, thermostat connecté : chaque objet IoT est un point d'entrée potentiel. Les mot de passe par défaut (admin/admin) sont encore utilisés sur 60% des appareils IoT en entreprise.
Protection : réseau séparé pour l'IoT (VLAN), changement systématique des mots de passe par défaut, mise à jour firmware, inventaire de tous les appareils connectés.
10. IA offensive
Nouvelle menace 2025-2026 : l'IA utilisée par les attaquants. Deepfakes pour le vishing, phishing hyper-personnalisé généré par IA, malware polymorphe qui échappe aux antivirus, attaques automatisées à grande échelle. Le coût d'une attaque sophistiquée baisse grâce à l'IA.
Protection : solutions de cybersécurité elles-mêmes basées sur l'IA (CrowdStrike, SentinelOne), sensibilisation aux deepfakes, vérification multi-canal pour les demandes critiques.
Budget cybersécurité recommandé pour les PME
| Taille entreprise | Budget annuel recommandé | Priorités |
|---|---|---|
| 1-10 salariés | 2 000-5 000€ | Antivirus EDR, MFA, sauvegardes, formation |
| 10-50 salariés | 10 000-30 000€ | + Firewall, VPN, gestionnaire MDP, audit annuel |
| 50-250 salariés | 50 000-150 000€ | + SOC/SIEM, DLP, pentest, RSSI (temps partiel) |
Règle d'or : investissez 5-10% de votre budget IT en cybersécurité. C'est toujours moins cher qu'une attaque réussie.
