Pourquoi observe-t-on une telle explosion des attaques cyber ces dernières années ?
Serge Touré : Plusieurs facteurs expliquent cette hausse. En France, l’ANSSI a traité 4 386 événements de sécurité en 2024, soit une augmentation de 15 % en un an. La tendance sera a minima équivalente pour 2025. La menace est réelle et mesurable : elle progresse plus vite que la capacité des entreprises à s’en protéger. La digitalisation massive élargit considérablement la surface d’exposition : déploiement du cloud, téléphonie IP, outils collaboratifs, interconnexion avec les fournisseurs etc. Chaque nouveau service numérique est une porte d’entrée potentielle.
L’intelligence artificielle renforce encore cette dynamique. Elle démocratise les outils d’attaque, permet de produire des campagnes de phishing extrêmement crédibles et automatise des actions autrefois réservées à des profils experts. L’ENISA (l’Agence de l’Union européenne pour la sécurité des réseaux et de l’information) [PL1] note d’ailleurs une forte croissance des attaques assistées par IA en Europe.
Enfin, la cybercriminalité obéit à une logique économique. Voler des données ou bloquer un système est aujourd’hui plus rentable et moins risqué que la criminalité traditionnelle, car plus difficile à attribuer à un auteur identifié. Résultat : 67 % des entreprises françaises déclarent avoir subi au moins une cyberattaque en 2024 (contre 53 % en 2023).
Vous affirmez que la cybersécurité n’est pas un sujet informatique, mais un sujet de direction. Pourquoi ?
S. T. : Parce que la cybersécurité commence par une décision stratégique : déterminer par exemple la perte maximale de données que l’entreprise est prête à accepter. Sécuriser, c’est arbitrer. Cela signifie investir dans des sauvegardes plus robustes, accepter parfois une légère perte de confort pour gagner en protection. Ces arbitrages relèvent de la direction, car ils engagent directement la continuité d’activité et l’exposition financière. En France, une PME victime d’une cyberattaque peut subir un coût moyen allant jusqu’à 466 000 euros (CriseHelp – Étude France), incluant les pertes d’exploitation, interruption d’activité, restauration des systèmes et impact réputationnel. Dès lors, considérer ce sujet comme purement technique est une erreur stratégique.
Sécuriser signifie investir dans des sauvegardes plus robustes, accepter parfois une légère perte de confort pour gagner en protection
Beaucoup d’entreprises délèguent entièrement ce sujet à la DSI ou à leur prestataire informatique, en pensant que “c’est leur métier” La DSI ou le prestataire informatique vise avant tout la performance du système d’information. Certaines mesures de sécurité peuvent ralentir les usages ; elles passent donc parfois au second plan si elles ne sont pas portées au plus haut niveau de l’entreprise.
La cybersécurité doit revenir en comité de direction, dans un langage métier : pertes de données maximales acceptables, durée maximum d’interruption acceptable, nombre de factures à ressaisir, impact client, risques assurantiels. Sans ce pilotage, l’entreprise perd la maîtrise de ses priorités et de son niveau réel d’exposition.
L’enjeu est de trouver un équilibre entre performance opérationnelle et niveau de sécurité.
Quelles sont les principales vulnérabilités observées dans les PME et ETI ?
S. T. : La première vulnérabilité est humaine. Le phishing demeure la porte d’entrée privilégiée par les attaquants. Cybermalveillance.gouv.fr confirme que l’hameçonnage est la première cause d’incident déclarée en 2024. Une majorité d’attaques commence par un clic malheureux ou un courriel frauduleux. Les campagnes internes de sensibilisation sont souvent trop génériques ; une campagne efficace doit reproduire des scénarios réalistes : une facture, une fiche fournisseur, un lien imitant une plateforme métier.
La deuxième vulnérabilité réside dans la croyance que l’externalisation suffit. De nombreuses entreprises s’appuient entièrement sur leur prestataire informatique, sans analyser les garanties contractuelles ni piloter la sécurité réelle des environnements externalisés. Un prestataire peut garantir la disponibilité d’un outil ; il n’est pas responsable de la stratégie globale de sécurité, ni de l’appétence au risque de l’entreprise.
Enfin, les sauvegardes illustrent parfaitement l’écart entre perception et réalité. De nombreuses entreprises pensent pouvoir redémarrer rapidement après une attaque, mais découvrent que leurs sauvegardes sont incomplètes, non testées ou inexploitables. Résultat : plusieurs jours de données perdues, alors que peu de PME peuvent se relever après un tel impact.
Existe-t-il des cas typiques qui illustrent ces risques ?
S. T. : Oui, et ils sont malheureusement très représentatifs de la réalité des PME et ETI.
Le premier cas concerne les entreprises dont l’activité est fortement saisonnière. Certaines réalisent jusqu’à 80 % de leur chiffre d’affaires sur quelques semaines. Dans ces structures, une cyberattaque en pleine saison — rançongiciel, paralysie des outils de facturation, impossibilité d’accéder aux commandes ou aux plannings — peut entraîner une perte immédiate et irréversible. Plusieurs études montrent qu’une PME sur deux ne retrouve jamais totalement son niveau d’activité après une cyberattaque majeure. Lorsque la fenêtre de chiffre d’affaires est limitée, l’impact est démultiplié.
Un deuxième cas typique concerne la gestion des accès et des authentifications. Dans beaucoup d’entreprises que nous auditons, un compte compromis permettrait à un attaquant de se déplacer librement dans le système d’information — c’est ce qu’on appelle un mouvement latéral. Lorsqu’en comité de direction nous démontrons qu’un simple mot de passe faible peut ouvrir l’accès à des données sensibles, aux serveurs de fichiers ou aux outils financiers, les dirigeants prennent pleinement conscience que leur vulnérabilité n’est pas technique, mais organisationnelle.
Comment accompagnez-vous les entreprises dans l’évaluation de leur maturité ?
S. T. : Nous intervenons à deux niveaux, en fonction du degré d’analyse souhaité.
1. Le prédiagnostic :
Il s’agit d’une première évaluation de la gouvernance cyber. Nous analysons la compréhension qu’a l’entreprise de son système d’information, la documentation existante, ainsi que sa capacité à identifier, évaluer et gérer ses risques. Ce prédiagnostic met en évidence les zones d’alerte et les écarts majeurs. Pour beaucoup de dirigeants, c’est une première prise de conscience de leur exposition réelle.
2. Le diagnostic complet :
C’est une étude approfondie qui inclut une cartographie détaillée des risques, une analyse de la maturité par domaine (gouvernance, sécurité opérationnelle, sauvegardes, gestion des accès, continuité d’activité, etc.), ainsi qu’un plan d’action priorisé. Certaines entreprises nous sollicitent chaque année pour mesurer les progrès, suivre les recommandations et ajuster leur programme de sécurité. La démarche reste la même : partir du risque réel propre à l’entreprise, et non de la technologie disponible. Adopter une solution simplement parce qu’elle est répandue dans le secteur n’a que peu de sens. Les mesures de sécurité doivent être sélectionnées pour répondre à un risque clairement identifié, priorisé et compris par la direction, car c’est elle qui arbitre le niveau de protection attendu.
Et l’assurance cyber ? Qu’en pensez-vous ?
S.T : L’assurance joue effectivement un rôle important dans la gestion du risque, mais elle n’est réellement utile que si l’entreprise dispose déjà d’un socle de sécurité solide. La plupart des contrats exigent des contrôles minimaux — sauvegardes fiables, authentification multi-facteur, antivirus à jour, plan de reprise régulièrement testé — et ces prérequis ne sont pas toujours respectés par les PME. Être assuré ne signifie donc pas être protégé. Les polices cyber couvrent des événements précisément définis et reposent sur des conditions strictes. Si ces conditions ne sont pas remplies, l’indemnisation peut être réduite, voire refusée. Il faut également rappeler que l’assurance n’évite ni l’attaque ni la paralysie opérationnelle.
Quel conseil donneriez-vous à un dirigeant aujourd’hui ?
S. T. : De remettre la cybersécurité à sa juste place : au cœur de la gouvernance d’entreprise.
La cybersécurité n’est pas un sujet technique, ni un ensemble d’outils. Elle protège l’activité, les salariés, les clients et, in fine, la pérennité de l’entreprise. Chez Exco FSO, nous sommes convaincus que protéger une entreprise, c’est aussi protéger les personnes et les territoires qu’elle fait vivre. La cybersécurité n’est pas une contrainte : c’est un levier de robustesse économique et un marqueur de bonne gouvernance.
La cybersécurité n’est pas une contrainte : c’est un levier de robustesse économique et un marqueur de bonne gouvernance
5 questions clés à se poser en comité de direction
1-Que se passe-t-il si vous êtes victime d’une attaque ?
2-Combien de temps faudra-t-il pour récupérer vos données ? Ce délai est-il acceptable au regard de votre activité ?
3-Quel volume de données pourrez-vous restaurer (et de quelle nature) pour assurer la continuité de l’exploitation ? Ce niveau est-il acceptable ?
4-Combien de temps votre organisation peut-elle fonctionner en mode dégradé avant que l’impact ne devienne critique ?
5-Ces exigences (délai, volume, nature des données, continuité) sont-elles correctement traduites dans vos contrats et cahiers des charges avec vos prestataires ?
6-Tant qu’un dirigeant ne peut pas répondre clairement à ces 5 questions, il subit son risque cyber au lieu de le piloter.
