Les petites et moyennes entreprises françaises affichent une relation ambivalente à la cybersécurité. Si elles se montrent de plus en plus conscientes des risques numériques, elles restent majoritairement confiantes dans leur capacité à y faire face. Pourtant, près d'une entreprise sur deux a été victime d'au moins un incident de cybersécurité au cours des douze derniers mois. C'est ce qui ressort d'une étude menée par Eset auprès de 500 décideurs français impliqués dans les choix de cybersécurité de leur organisation. Selon cette enquête, 73 % des entreprises interrogées se déclarent préoccupées par le risque de subir une cyberattaque dans l'année à venir. Dans le même temps, 78 % affirment avoir confiance dans leur niveau de résilience. Un paradoxe qui illustre l'évolution de la perception des risques au sein des entreprises françaises. « Elles ne sont plus dans le déni face aux risques. Elles savent que la survenance d’un incident d’origine numérique est fort probable. Elles doivent maintenant arbitrer entre conformité et résilience effective, sous la pression des budgets et des technologies toujours plus complexes », analyse Benoit Grunemwald, directeur des affaires publiques d'Eset France.
Dans les faits, 44 % des entreprises interrogées déclarent avoir subi au moins un incident de cybersécurité au cours des douze derniers mois. Parmi elles, 12 % indiquent avoir été touchées à plusieurs reprises. Les principales causes identifiées demeurent relativement classiques. Les campagnes de phishing arrivent en tête avec 31 % des réponses, devant l'exploitation de vulnérabilités non corrigées (24 %) et les défaillances dans la gestion des accès et des comptes utilisateurs (20 %). Au-delà des vecteurs d’attaque, les impacts redoutés sont avant tout concrets et immédiats. Plus de la moitié des entreprises (51 %) citent la perte de données comme principale préoccupation, devant les impacts financiers directs (42 %) et les interruptions d’activité (33 %).
L’IA, un facteur d’accélération des risques
Dans ce paysage déjà sous tension, l’IA s’impose désormais comme un élément structurant des réflexions en matière de cybersécurité. Les entreprises en perçoivent à la fois le potentiel et les risques associés. Ainsi, les logiciels malveillants exploitant l’IA sont identifiés comme la menace émergente la plus préoccupante par 36 % des répondants. Ils sont suivis par le vol d’identifiants (34 %) et les attaques de phishing (23 %), dont l’efficacité est renforcée par les capacités de génération automatisée de contenus.
Parallèlement, l’adoption de l’IA progresse rapidement au sein des organisations : deux tiers des entreprises interrogées (66 %) déclarent déjà l’intégrer dans leurs activités. Cette généralisation s’accompagne toutefois d'inquiétudes, puisque 72 % estiment que l’IA introduit des risques de sécurité supplémentaires. En réponse, 62 % ont déjà mis en place une politique interne visant à encadrer son usage.
La sensibilisation des collaborateurs reste prioritaire
Face à la multiplication des menaces, les entreprises continuent de considérer le facteur humain comme un maillon essentiel de leur stratégie de défense. Ainsi, 87 % des répondants jugent la sensibilisation et la formation à la cybersécurité importantes, voire critiques. Cette priorité se retrouve dans les intentions d'investissement pour les douze prochains mois : 41 % des organisations prévoient de renforcer leurs actions de formation et de sensibilisation des employés. Les exercices pratiques gagnent également du terrain. Près de la moitié des entreprises (45 %) déclarent déjà organiser des simulations de phishing afin d'évaluer et d'améliorer les réflexes de leurs collaborateurs face aux tentatives d'hameçonnage.
L'étude met également en évidence l'importance croissante des enjeux de souveraineté dans les décisions d'achat liées à la cybersécurité. La localisation des données est prise en compte par 83 % des entreprises interrogées. Le pays d'origine du fournisseur constitue un critère important pour 79 % d'entre elles, tandis que 77 % déclarent privilégier des solutions proposées par des éditeurs européens. Cette attention accrue à la souveraineté s'ajoute aux préoccupations liées à la résilience opérationnelle et à la gouvernance de l'IA. Pour Eset, elle témoigne d'une évolution de la maturité des organisations face aux risques numériques. « Le véritable enseignement de cette étude est que les entreprises françaises ne se demandent plus si elles seront ciblées, mais comment elles pourront résister lorsqu'une attaque surviendra. Cette évolution marque une maturité croissante du marché. La résilience en cybersécurité ne repose plus uniquement sur les technologies, mais sur un équilibre entre protection, anticipation, formation des collaborateurs et capacité de réaction », conclut Benoit Grunemwald.