Selon le rapport DBIR de Verizon, 43 % des cyberattaques visent des PME. Pourtant, moins d'une PME sur deux dispose d'un plan de réponse aux incidents. Le décalage entre le niveau de menace et le niveau de préparation est réel — et coûteux.
Les trois vecteurs d'attaque dominants en 2025
1. Phishing et ingénierie sociale
Le phishing représente 36 % des brèches (Verizon DBIR 2024). Les attaques ont évolué : les e-mails frauduleux sont aujourd'hui générés par des LLMs, parfaitement rédigés, personnalisés. Un employé sur cinq clique encore sur des liens malveillants lors de simulations. La surface d'attaque est humaine avant d'être technique.
2. Ransomware
Les groupes ransomware ciblent désormais délibérément les PME, précisément parce que leurs défenses sont moins matures. Le coût moyen d'un incident ransomware pour une PME française dépasse 200 000 € en 2024 (ANSSI). Ce chiffre inclut la rançon, la restauration des systèmes, et la perte d'exploitation — pas la réputation.
3. Compromission de la supply chain
Vous n'êtes pas seulement exposé par vos propres systèmes. Si votre prestataire IT, votre hébergeur ou votre logiciel de gestion est compromis, vous l'êtes aussi. SolarWinds, 3CX, MoveIT — les attaques supply chain sont devenues la norme, pas l'exception.
Ce que NIS2 change concrètement
La directive NIS2, transposée en droit français depuis fin 2024, élargit le périmètre des entités concernées. Si vous comptez plus de 50 collaborateurs ou dépassez 10 M€ de chiffre d'affaires dans un secteur considéré "important" (industrie, transport, numérique, santé), vous êtes dans le scope.
Les obligations concrètes : gestion documentée des risques, plan de réponse aux incidents, notification obligatoire à l'ANSSI dans les 24h. Les sanctions : jusqu'à 10 M€ ou 2 % du CA mondial pour les entités essentielles.
Trois mesures prioritaires, sans budget déraisonnable
MFA sur tous les accès critiques
L'authentification multi-facteurs bloque 99,9 % des attaques par credential stuffing (Microsoft Security). C'est la mesure à déployer en priorité absolue : messagerie, VPN, outils cloud, accès admin.
Segmentation réseau
Isoler les systèmes critiques limite la propagation latérale d'une attaque. Un ransomware qui entre par un poste de travail ne devrait pas atteindre votre serveur de sauvegarde. La segmentation réseau, même basique, réduit drastiquement l'impact d'une compromission.
Plan de réponse aux incidents
Pas un document de 200 pages. Un document d'une page : qui appelle qui, dans quel ordre, avec quels numéros. Qui est responsable de quoi pendant une crise. Où sont les sauvegardes, comment les restaurer. Testez-le une fois par an — vous serez surpris de ce que vous découvrez.
La question n'est pas "si" mais "quand"
Les équipes de Valtieri accompagnent les organisations dans l'évaluation de leur posture de sécurité et la mise en place d'architectures résilientes. Si vous souhaitez un premier diagnostic, contactez-nous.