PME et ETI françaises, cible nᵒ1 des cybercriminels : le vol d’identifiants comme porte d’entrée

Ransomware, fraude au virement et compromission de comptes Microsoft 365… 80 à 90 % des attaques réussies commencent par vol d’identifiants. Face à cette réalité, l’authentification multifacteur devient un impératif pour la survie opérationnelle et la conformité des entreprises.

L’ANSSI a traité plus de 4 300 événements de sécurité en 2024, soit une augmentation de 15 % par rapport à 2023. Les tendances se poursuivent avec une intensification des attaques lucratives. Les PME et ETI représentent désormais une part majoritaire des victimes, représentant jusqu’à 37 % des compromissions par rançongiciel selon les panoramas récents.

Le vol d’identifiants, via phishing sophistiqué ou réutilisation de mots de passe, domine les vecteurs d’entrée. Des rapports comme ceux de Microsoft indiquent que plus de 99 % des comptes compromis n’avaient pas activé la MFA. Et, des études globales confirment que le phishing, souvent credential phishing, initie la majorité des breaches.

EBS Group, société spécialisée en accompagnement cybersécurité pour ces structures intermédiaires, constate que cette faille persiste malgré les alertes répétées des autorités comme l’ANSSI ou Cybermalveillance.gouv.fr.

L’usurpation d’identité est devenue, selon leurs termes, un « sport national » pour les hackers. Cécilia Lopes, fondatrice d’EBS Group France, nous partage son analyse et ses retours terrain.

Faible équipement, budgets limités, dirigeants des PME et ETI cibles

Les cybercriminels ciblent prioritairement les PME et ETI françaises pour plusieurs raisons structurelles. D’une part, le contexte géopolitique expose l’ensemble des entreprises hexagonales à des menaces accrues comme les campagnes étatiques ou opportunistes. D’autre part, le taux d’équipement en solutions de cybersécurité reste faible dans ces structures par rapport à la menace réelle.

« Les grands groupes, quant à eux, disposent de moyens financiers plus importants que les PME/ETI et ont intégré depuis plusieurs années un budget dédié aux solutions de cybersécurité », explique Cécilia Lopes. En conséquence, ces grandes entreprises possèdent une DSI structurée et souvent un RSSI, contrairement aux PME et ETI qui ne peuvent pas encore se le permettre.

En outre, ces dernières ne manquent fréquemment d’équipe IT interne dédiée, sensibilisation limitée des dirigeants et collaborateurs. Les entreprises de petite taille apparaissent donc comme des cibles « faciles » mais rentables.

Des rapports 2025-2026 (Orange Cyberdefense et de l’ANSSI) confirment que ces entités représentent généralement plus de 60 % des victimes de cyber-extorsion ou de phishing massif. 

Les attaquants adaptent leurs tactiques à ces cibles en privilégiant des rançons modérées et des phishing automatisé pour accélérer les paiements.

Le vol d’identifiants, une faille fatale qui persiste en 2026 

Depuis plus d’un an, l’usurpation d’identité domine les attaques observées sur le terrain. Les vecteurs les plus courants restent le phishing, amplifié par l’IA générative qui rend les messages plus crédibles. Le credential stuffing ou la réutilisation de fuites massives de mots de passe et le password spraying complètent le tableau.  

Cette faille alimente directement les ransomwares, le chiffrement des données, les fraudes au virement via la messagerie compromise. En outre, le vol d’identifiants touche massivement les comptes Microsoft 365 – outil omniprésent dans les PME/ETI.

Des statistiques récentes montrent que le phishing représente jusqu’à 90 % des points d’entrée dans les brèches. Et que les attaques credential phishing visent massivement les services cloud comme M365. Sans MFA, un simple login/mot de passe compromis ouvre la voie à un contrôle total.

Un cas récent illustre cette chaîne destructrice. Une entreprise du secteur du BTP a vu son compte Microsoft 365 principal compromis. 

Cécilia Lopes partage : « Après investigation de nos équipes techniques, il s’est avéré que les systèmes de protection de base, intégrés à leurs licences M365 Business Premium, n’avaient pas été mis en place– MFA absent, SPF/DKIM/DMARC non configurés, géolocalisation désactivée. Aucun programme de sensibilisation aux bonnes pratiques n’était en place. » 

Dans les PME/ETI, le dirigeant est souvent l’administrateur global du tenant M365. Une fois le compte usurpé, même un hacker peu expérimenté peut prendre le contrôle total. Il peut alors modifier les règles de messagerie, extraire des données sensibles, déployer des malwares ou lancer des fraudes internes. 

Une telle attaque peut provoquer l’arrêt des opérations, la perte de contrats, des coûts de restauration majeurs et, dans les cas extrêmes, un dépôt de bilan.

MFA, le basique devenu vital

L’authentification multifacteur (MFA) bloque plus de 99 % des tentatives de compromission courantes, selon des données Microsoft et d’experts terrain. Elle doit s’appliquer à tous les accès, de l’ouverture de session PC/Mac, accès aux applications via SSO (Single Sign-On) ou manuellement. 

Couplée à des mots de passe complexes et à une formation des collaborateurs, elle constitue le socle minimal de sécurité. Pourtant, le déploiement paraît complexe pour les PME sans IT dédiée.

Certaines entreprises sous-estiment la simplicité du MFA ; dans de nombreux cas, il suffit d’activer des options natives comme Microsoft Authenticator. 

D’autres négligent la formation des utilisateurs. La MFA est alors perçue comme contraignante, ou l’oubliée sur certains accès critiques.

Pour éviter ces pièges en 2026, Cécile Lopes préconise de démystifier l’outil et la présente comme simple et vitale. Il faut prioriser les accès administrateur et cloud, puis se faire accompagner par un prestataire pour une mise en place progressive. Sans cela, le risque d’arrêt de production ou de pertes financières massives reste élevé.

À un dirigeant qui pense encore « ça n’arrive qu’aux autres », Cécilia Lopes d’EBS Group apporte une réalité pragmatique. « En qualité de dirigeant, vous êtes la cible privilégiée des hackers. Mesurez concrètement le risque. « À combien d’euros estimez-vous un arrêt de production de votre entreprise de plusieurs jours, voire semaines ? »

« La cybersécurité, c’est notre métier et nous allons vous accompagner pour mettre en place et suivre tout au long de votre évolution, les solutions pour vous prémunir des hackers », rassure Cécilia Lopes.

ARTICLES SIMILAIRES

VPN : l’explosion des contournements d’âge au Royaume-Uni révèle une menace cyber croissante 

L’introduction de cadres réglementaires stricts en matière de vérification d’âge en ligne au Royaume-Uni a

10 juillet 2026

Coupe du monde du football 2026, une cible idéale des cybercriminels 

La Coupe du monde de football 2026 suscite un engouement planétaire mais aiguise aussi l’appétit

23 juin 2026

La Coupe du Monde de Football 2026 : Thomas Gayet alerte sur le risque numérique

Alors que la Coupe du Monde de Football 2026 approche, le monde sportif se prépare

11 juin 2026

La fin du « tout-logiciel » : comprendre l’attaque hybride

L’essor des attaques hybrides dissipe l’illusion du tout-virtuel pour replacer l’infrastructure matérielle au centre des

19 mai 2026

L’explosion des vulnérabilités met la cybersécurité sous pression, l’heure est à la remédiation stratégique

Les menaces actuelles sur la cybersécurité évoluent à une vitesse fulgurante que la gestion des

5 mai 2026

Dark web : 80 millions de données et une économie en mutation

Fuites massives de données, industrialisation des attaques et montée en puissance de l’IA : le

27 avril 2026