Les petites et moyennes entreprises (PME) sont-elles aussi prêtes qu’elles le pensent face aux cybermenaces ? C’est la question soulevée par la dernière étude mondiale publiée par Devolutions, entreprise québécoise spécialisée dans les logiciels de cybersécurité.
🔥 Nous recommandons McAfee
McAfee est le meilleur logiciel de protection grâce à sa défense proactive, son pare-feu intelligent, son VPN intégré et sa détection instantanée des menaces. Sécurité totale, performance préservée, tranquillité assurée.
J'en profiteL’enquête a été réalisée auprès de 445 professionnels de l’informatique, de la sécurité et de la direction. Elle met en lumière un écart préoccupant entre la confiance perçue des PME et leur niveau réel de préparation en matière de cybersécurité.
71 % des PME interrogées affirment pouvoir gérer un incident informatique important. Pourtant, seules 22 % disposent d’une posture de sécurité réellement avancée, capable de résister aux menaces actuelles. Selon David Hervieux, président et fondateur de Devolutions, cet optimisme apparent doit être interrogé avec lucidité. « Le sentiment de sécurité et la sécurité réelle sont deux choses bien distinctes », explique-t-il. « Cette étude vise à éveiller les consciences, sans dramatiser. Le but est d’aider les entreprises à renforcer leur résilience face à des risques qui ne cessent d’évoluer. »
Une confiance qui s’effrite, des pratiques qui stagnent
L’édition 2025 de l’étude révèle également une baisse du niveau de confiance global, en recul de 9 points par rapport à l’année précédente. Le nombre d’entreprises qui s’estiment bien préparées diminue lui aussi. Il a reculé de 8 points en un an. Cette évolution suggère une prise de conscience accrue des dangers numériques, mais aussi une incertitude croissante sur la capacité à répondre efficacement à une attaque.
Ce constat s’accompagne de chiffres inquiétants. 52 % des PME gèrent encore leurs accès privilégiés manuellement, à l’aide de fichiers, de tableurs ou de notes papier. Ce type de pratique expose directement les PME à la cybercriminalité. Or, ces supports non sécurisés sont particulièrement prisés par les rançongiciels et les logiciels malveillants. Pire encore, l’usage de ces méthodes a augmenté de 7 % entre 2024 et 2025, preuve d’un recul paradoxal face aux enjeux de modernisation.
Intelligence artificielle : intérêt fort, déploiement lent
Face à des menaces toujours plus sophistiquées, l’intelligence artificielle est perçue comme un levier de protection stratégique. 71 % des entreprises envisagent de l’utiliser pour détecter automatiquement les comportements anormaux, repérer les intrusions et anticiper les vulnérabilités. 62 % des répondants estiment même que l’IA deviendra indispensable dans les cinq prochaines années.
Mais pour l’instant, seuls 60 % l’ont réellement intégrée dans leurs dispositifs. Les freins restent nombreux : coûts de mise en place, manque de compétences internes, inquiétudes sur la confidentialité, voire méfiance face à une trop grande dépendance à l’automatisation. Si l’enthousiasme est manifeste, la concrétisation se heurte encore à de nombreux obstacles.
Budgets en hausse, efficacité en question
Le financement de la cybersécurité progresse lui aussi. En 2025, 63 % des PME ont augmenté leur budget consacré à la sécurité informatique. Pourtant, l’étude montre que cette hausse ne se traduit pas systématiquement par des avancées concrètes sur le terrain. Seules 5 % des entreprises interrogées consacrent plus de 20 % de leur budget global à la cybersécurité. En revanche, 29 % y allouent moins de 5 %, et 25 % ne connaissent même pas la part exacte.
Les équipes techniques pointent des retards, des arbitrages peu pertinents et un manque de priorisation. Ainsi, 55 % des répondants considèrent que les ressources sont mal réparties entre les différents postes de sécurité. Ce paradoxe, plus d’argent mais peu d’effet, traduit un déficit de stratégie claire et une difficulté à passer du budget aux résultats tangibles.
Menaces internes : un angle mort persistant
L’étude révèle aussi une tendance souvent sous-estimée : les menaces provenant de l’intérieur des organisations. 78 % des PME se déclarent préoccupées par cette possibilité, qu’il s’agisse de fuites de données, de sabotages ou d’erreurs intentionnelles. Pourtant, seulement 20 % disposent d’un plan structuré pour y faire face.
Cette contradiction est d’autant plus flagrante que la préoccupation a bondi de 45 % en un an, mais que les plans de réponse n’ont progressé que de 5 %. Un retard préoccupant, d’autant plus que les attaques internes peuvent contourner plus facilement les dispositifs de protection classiques.
La formation, toujours trop négligée
Un autre levier concerne la sensibilisation et la formation continue des équipes. 39 % des entreprises ont mis en place une formation continue en cybersécurité, tandis que 17 % n’en offrent aucune. Cela reste problématique, dans un contexte où la plupart des brèches de sécurité sont causées par des erreurs humaines évitables, comme des clics sur des liens d’hameçonnage ou des configurations mal ajustées.
Entre 2024 et 2025, la proportion de PME qui donne une formation régulière a même reculé de 2 %. Une tendance inverse aux besoins réels du terrain, qui rappelle que la cybersécurité est aussi une affaire de culture et de comportements, au-delà des outils techniques.
La cybersécurité des PME progresse mais l’action reste insuffisante
En toile de fond, un constat général ressort : les PME prennent de plus en plus conscience des enjeux de cybersécurité, mais leur mise en œuvre reste lente et incomplète. Près de 43 % des entreprises sondées ont subi au moins une cyberattaque l’an dernier. Seules 31 % ont pu la détecter dans les premières minutes, alors que chaque seconde compte pour éviter des pertes majeures.
Pour David Hervieux, il ne fait aucun doute que l’action reste la meilleure réponse : « Le plus grand des risques, c’est de ne rien faire. Il est essentiel d’encourager les PME à adopter une posture proactive et continue, même par étapes modestes. Notre mission est de les aider à progresser, à leur rythme, mais sans détourner le regard des menaces réelles. »
Avec ce rapport 2025, Devolutions espère contribuer à une meilleure compréhension des écarts actuels et à une mobilisation accrue des PME autour d’une cybersécurité pragmatique, évolutive et alignée avec les réalités du terrain.
Article basé sur un communiqué de presse reçu par la rédaction.
