⇒ Quels sont les équipements informatiques de ces entreprises ?
♦ Si près de 8 entreprises sur 10 disposent de moins de 5 postes informatiques, elles sont bien plus nombreuses chez les 10-49 salariés (63 % ont entre 10 et 49 postes) et chez les 50 salariés et plus (89 % ont au moins 50 postes).Mais 58 % ont aussi recours à des équipements personnels : 91 % le téléphone portable, 43 % un ordinateur personnel, 27 % une messagerie internet personnelle, 19 % une tablette personnelle.
♦ L’investissement : 91 % des sans salarié ont investi en budget HT annuel dédié à l’informatique moins de 5 000 € alors que 78 % des 50 salariés et plus investissaient au moins 5 000 €. En protection informatique 77 % ont dépensé moins de 2 000 €. 92 % n’envisagent aucun recrutement dans ces domaines l’année à venir.
En résultats non pondérés, 15 % envisagent d’augmenter leur budget l’année prochaine : +37 % les 10-49 salariés et +49 % les 50 salariés et plus, Alors que la majorité (64 %) envisagent la stabilité, notamment les 0 salarié (73 %).
Pourquoi cette hausse ? Avant tout pour les solutions techniques et la protection du système (91 %) avant la sensibilisation (36 %), mais davantage pour les secteurs industrie, construction, agriculture (47 %) et les activités de services aux entreprises (41 %), alors que la demande est modeste dans la santé/éducation (12 %) et le commerce/HCR (22 %).
⇒ Qui est en charge de l’informatique au sein de l’entreprise ?
♦ La fonction de la personne en charge de l’informatique au sein de l’entreprise est le dirigeant dans 80 % des cas (47 % pour les entreprises entre 10 et 49 salariés et 10 % pour les 50 salariés et plus) et 5 % la secrétaire. Chez les 10-49 salariés, il s’agit d’une personne affectée à l’informatique (33 % dont 5 un employé évoluant dans le secteur informatique). Au sein des 50 salariés et plus, 74 % sont le fait de chargés de cette fonction (dont 60 % des cadres).♦ La gestion de la sécurité informatique est le fait de l’interne (44 %), du fait d’une bonne sensibilisation sécurité info (42 %), d’une bonne préparation en cas d’attaque (50 %) et d’un bon niveau de protection (41 %).
Mais aussi du recours à des prestataires extérieurs (36 %), notamment les 10-49 salariés (44 %), et ceux ayant déjà été victime d’une attaque (36 %).
Noter que les 50 salariés et plus utilisent les 2 modalités (46 % et 44 %).
Alors que pour 26 % elle est inexistante : pour ceux au faible niveau de protection (50 %), aux non sensibilisés à la sécurité informatique (44 %), et à ceux qui ne sont pas préparés en cas d’attaque (38 %).
⇒ La sécurité
♦ Pour communiquer avec leurs collègues, les clients prestataires ou les administrations (fiscales, sociales, etc.), 52 % utilisent une messagerie externe de type Gmail, Orange, Yahoo, Hotmail… et 48 % une messagerie Interne avec un nom de domaine au nom de l’entreprise, notamment les 50 salariés et plus (89 %) et les 10-49 salariés (74 %), mais aussi ceux préparés en cas d’attaque (71 %) et les services aux entreprises (64 %).♦ Les dispositifs de sécurité utilisés : un antivirus (84 %), des sauvegardes (78 %), un pare-feu (69 %), une politique de mots de passe (longueur, durée, renouvellement) pour 51 %, un gestionnaire de mots de passe (46 %), une double authentification pour se connecter au réseau de l’entreprise depuis l’extérieur (télétravail, télémaintenance…) pour 26 %, une solution de détection d’attaque (EDR, NDR, MDR) pour 16 % et une supervision de sécurité du réseau (12 %).
♦ En termes de niveau de protection perçue, 58 % des entreprises déclarent avoir un bon niveau, notamment les plus grosses structures (les 10-49 salariés 78 % et les 50 salariés et plus 75 %) et les services aux entreprises (69 %), davantage aussi ceux sensibilisées aux enjeux de sécurité pour répondre aux besoins de leurs clients BtoB. 42 % cependant ont un faible niveau de protection ou ne savent pas l’évaluer.
♦ 44 % des entreprises se considèrent fortement exposées aux cyberattaques, notamment les 50 salariés et plus (57 %) quoique bien protégées ou celles déjà victimes d’attaque (62 %). À l’inverse, 37 % ne se sentent pas particulièrement menacés, notamment celles estimant bénéficier d’un très bon niveau de protection (57 %).
49 % reconnaissent ne pas être suffisamment préparées en cas de cyberattaque, alors que 20 % se sentent préparées ; c’est bien moins le cas de celles qui connaissent la procédure en cas d’attaque (52 %), voire les 10-49 salariés ou les services aux entreprises (33 %) vs 7 % ceux du commerce/HCR.
Près des deux tiers déclarent ne pas disposer de procédure de réaction en cas d’incident ; qui plus est, si 42 % savent évaluer les impacts réels d’une cyberattaque (59 % les 10 salariés et plus), 58 % ne le savent pas.
♦ Les impacts exprimés sont l’Interruption ou la baisse de l’activité (48 %), la destruction, la perte de données (24 %) le vol, piratage, détournement de données (20 %), la perte financière de chiffre d’affaires, le piratage de comptes bancaires (23 %), l’atteinte à l’image de l’entreprise, l’usurpation d’identité, le confiance dégradée (19 %), la perte de temps (10 %), voire la demande de rançon (5 %).
Sont les plus redoutées : 64 % la destruction ou le vol de données, 52 % l’interruption des activités et services, 44 % la perte financière, 36 % une atteinte à l’image de l’entreprise.
♦ 16 % déclarent avoir été victimes d’une cyberattaque, dont 43 % par hameçonnage, 18 % du fait d’une faille de sécurité non corrigée, 13 % du téléchargement d’un virus, 11 % de la consultation d’un site internet vérolé, et 10 % du défaut de configuration des équipements de sécurité. Ces attaques ont eu pour conséquences une Interruption des activités et services (29 %), un vol de données (22 %), la destruction de données (16 %), l’atteinte à l’image de l’entreprise (15 %), une perte financière (11 %) ou une procédure judiciaire (4 %).
♦ Pour s’informer ou se faire accompagner en matière de cybersécurité, 39 % des entreprises font appel à des prestataires informatiques, qui restent les interlocuteurs privilégiés (58 % et plus pour les 10 salariés et plus), 31 % à cybermalveillance.gouv, 19 % à L’ANSSI, 17 % à une organisation/fédération professionnelle et 9 % à un organisme consulaire régional (Chambre de commerce et d’industrie, chambre de métiers et de l’artisanat), voire moins encore à d’autres structures.
Pour en savoir davantage.
"Mesure de notoriété et de maturité en matière de cybersécurité auprès des TPE-PME" Cybermalveillance.gouv, Opinion Way, octobre 2025
Méthodologie : échantillon de 588 entreprises de moins de 250 salariés en France et DROM, interrogé par questionnaire auto-administré en ligne entre le 2 juin et le 7 juillet 2025.
Les moins de 10 salariés représentaient 64 % des interrogés, mais redressés ce sont 95 % des répondants ; 35 % n’avaient pas de salarié et 60 % de 1 à 9 salariés. L’enquête concerne donc très largement les TPE.