Octobre, mois européen de la cybersécurité : pourquoi les PME et ETI sont en première ligne
Chaque année, le mois d’octobre marque le coup d’envoi du Mois Européen de la Cybersécurité (ECSM), une initiative portée par l’ENISA — l’Agence de l’Union européenne pour la cybersécurité — en partenariat avec la Commission européenne et des dizaines d’États membres, dont la France. En 2025, l’édition prend une résonance particulière pour les petites et moyennes entreprises (PME) ainsi que les entreprises de taille intermédiaire (ETI), qui restent des cibles privilégiées des cybercriminels. Selon le dernier panorama de la cybermenace publié par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), ces structures représentent une part croissante des victimes recensées, notamment via des attaques par rançongiciel et des campagnes de phishing sophistiquées. Le constat est clair : la cybersécurité n’est plus l’apanage des grands groupes du CAC 40, elle concerne désormais chaque dirigeant, chaque salarié, chaque sous-traitant.
Pourquoi les PME et ETI sont-elles particulièrement vulnérables ?
La réponse tient en quelques mots : des ressources limitées face à des menaces en expansion permanente. Contrairement aux grandes entreprises dotées de DSI (Directions des Systèmes d’Information) structurées, les PME et ETI fonctionnent souvent avec un référent informatique unique, parfois même sans compétence dédiée à la sécurité. Or, les attaquants le savent parfaitement. Une PME peut constituer une porte d’entrée vers un donneur d’ordres plus important, dans ce qu’on appelle une attaque par rebond. C’est d’ailleurs l’un des vecteurs les plus utilisés dans les cyberattaques visant les chaînes d’approvisionnement. Par ailleurs, la transformation numérique accélérée observée depuis la période post-Covid — adoption du cloud, généralisation du télétravail, intégration d’outils d’IA dans les processus métier — a considérablement élargi la surface d’attaque de ces entreprises, souvent sans que les mesures de protection aient suivi le même rythme. En France, le coût médian d’une cyberattaque pour une PME est estimé entre 50 000 et 100 000 euros, selon les chiffres relayés par Cybermalveillance.gouv.fr, sans compter les pertes indirectes liées à l’interruption d’activité et à l’atteinte à la réputation.
Les bonnes pratiques recommandées en 2025
Face à ces enjeux, l’ANSSI et ses partenaires ont mis à jour leurs recommandations à destination des structures de taille modeste. Voici les axes prioritaires mis en avant pour cette édition 2025 du mois de la cybersécurité :
- Mettre à jour systématiquement les logiciels et systèmes d’exploitation : la majorité des attaques exploitent des vulnérabilités connues pour lesquelles des correctifs existent mais n’ont pas été appliqués. Une politique de patch management rigoureuse, même simple, reste l’un des remparts les plus efficaces.
- Activer l’authentification multifacteur (MFA) : que ce soit pour les accès au réseau d’entreprise, aux outils cloud ou aux messageries professionnelles, le MFA bloque une immense majorité des tentatives d’intrusion par usurpation d’identifiants.
- Former et sensibiliser les collaborateurs : le facteur humain demeure le maillon faible. Des exercices de simulation de phishing, des sessions de sensibilisation courtes et régulières, ou encore l’utilisation des ressources pédagogiques proposées par Cybermalveillance.gouv.fr permettent de réduire significativement le risque.
- Réaliser des sauvegardes régulières et déconnectées : en cas d’attaque par rançongiciel, la seule vraie assurance reste la disponibilité d’une sauvegarde récente et isolée du réseau principal. La règle du 3-2-1 (trois copies, sur deux supports différents, dont une hors site) reste la référence.
- Cartographier son système d’information : savoir précisément quels équipements, logiciels et services sont connectés à son réseau est un prérequis indispensable pour toute démarche de sécurisation sérieuse.
Ces recommandations peuvent sembler basiques, mais leur non-application explique une grande partie des incidents traités chaque année par les équipes spécialisées.
L’IA au service de la cybersécurité des PME : une opportunité à saisir
L’un des angles forts de l’édition 2025 concerne justement l’apport de l’intelligence artificielle dans la cybersécurité. Si l’IA est utilisée par les attaquants pour automatiser et personnaliser leurs campagnes (génération de faux e-mails ultra-réalistes, deepfakes vocaux pour des fraudes au président, etc.), elle constitue également un levier puissant pour les défenseurs. Des solutions de détection des anomalies comportementales alimentées par du machine learning sont désormais accessibles à des tarifs raisonnables pour les PME, au travers de plateformes comme Sekoia.io, Tehtris ou encore des offres intégrées dans les suites Microsoft 365 Business Premium. L’enjeu, pour un dirigeant de PME ou d’ETI, est de ne pas considérer ces outils comme réservés aux grandes structures. En 2025, plusieurs acteurs français de la cybersécurité proposent des offres managées (MSSP) adaptées aux budgets des petites structures, permettant de bénéficier d’une surveillance continue sans avoir à recruter un expert en interne. Le dispositif MonAideCyber, lancé par l’ANSSI, permet également d’obtenir gratuitement un premier diagnostic de maturité cybersécurité réalisé par un accompagnateur certifié.
Les ressources et dispositifs d’aide disponibles en France
Pour ne pas laisser les PME et ETI seules face à ces défis, l’écosystème français s’est structuré autour de plusieurs dispositifs concrets. Cybermalveillance.gouv.fr reste la porte d’entrée principale pour toute entreprise victime d’une cyberattaque ou souhaitant se préparer : le portail met en relation avec des prestataires de proximité et propose des outils de diagnostic en ligne. Les Centres Régionaux de Réponse aux Incidents Cyber (CSIRT régionaux), déployés progressivement sur le territoire dans le cadre de la stratégie nationale cyber, offrent un accompagnement de premier niveau, souvent gratuit, aux TPE, PME et collectivités. Par ailleurs, le programme France Num, piloté par la Direction générale des Entreprises, intègre des volets cybersécurité dans ses accompagnements à la transformation numérique des PME. Enfin, le label ExpertCyber, délivré par Cybermalveillance.gouv.fr, permet d’identifier facilement des prestataires qualifiés pour réaliser des audits ou des missions de remédiation. En somme, les ressources existent. Le vrai défi pour ce mois d’octobre 2025 est d’inciter les dirigeants à franchir le pas et à inscrire la cybersécurité comme une priorité stratégique, au même titre que la conformité comptable ou la gestion des ressources humaines. Car dans un contexte de menaces croissantes et de dépendance numérique toujours plus forte, attendre d’être victime pour agir est tout simplement devenu trop risqué.