Rétrospective 2025 : état de la sécurité des PMEs

Nous espérons que l’année 2025 vous a apporté de belles choses, que ce soit sur le plan personnel ou professionnel. De notre côté, nous avons souhaité démarrer l'année 2026 en vous compilant une petite rétrospective des leçons apprises. C'est une manière de vous rafraîchir la mémoire et de démarrer avec de bonnes résolutions en matière de protection de l'information de l'entreprise.

🫵 La sécurité de l'information : priorités mitigées

Selon une étude de DigitalSwitzerland menée en fin 2025 auprès de 515 PMEs, neuf PMEs sur dix définissent le cybercrime comme étant un sujet préoccupant pour leur activité. En revanche, seuls 24% des sondés déclarent ressentir une pression quelconque les incitant à prendre des mesures supplémentaires. Ce que l'on peut déduire, c'est que la majorité des décideurs considèrent que la sécurité est importante, mais qu'ils sont :

  • Déjà suffisamment protégés ; ou
  • Convaincus de ne pas être intéressants pour des attaquants.

Si vous n'avez pas encore lu notre article de novembre 2025, nous vous conseillons d'aller le faire, car nous y dévoilons pourquoi des personnes malveillantes peuvent avoir intérêt à attaquer une PME, même si celle-ci est extrêmement petite.

Notre constat : même une PME de moins de 5 personnes peut être ciblée, mais peu de décideurs choisissent de se protéger contre les menaces les plus communes.

🎯 Facteurs d'attaque les plus courants

Du côté de l'Union Européenne, le rapport de l'ENISA (agence européenne en charge de la cybersécurité) a publié dans son rapport 2025 quelques chiffres concernant les attaques perpétrées durant l'année. Il en ressort les éléments suivants :

  • Le phishing (hameçonnage, ou arnaque par usurpation d'identité) reste la méthode principale pour s'introduire en douce dans les systèmes informatiques des victimes, qu'elles soient privées ou commerciales.
    • Une part substantielle des attaques auprès des privés provient d'arnaques (en Suisse: La Poste, UBS et TWINT ont été des cibles de choix cette année)
    • L'utilisation massive de l'IA dans des produits malveillants a davantage renforcé l'efficacité des attaques, notamment en simplifiant et en réduisant le coût des attaques pour les acteurs malveillants
    • Des attaques par QR Code malveillants ont également été observées
  • Les fournisseurs de services (supply chain) ont également été la cible d'attaques privilégiées, les attaquants préférant attaquer des fournisseurs de grands groupes plutôt que de s'attaquer directement à leurs défenses colossales. On imagine aisément qu'il est plus simple d'attaquer le développeur d'une petite application utilisée par une grande entreprise que la grande entreprise elle-même
  • De nombreuses vulnérabilités dans les logiciels et systèmes informatiques ont également été détectés en 2025. Celles-ci ont été largement exploitées par les attaquants pour pénétrer dans des systèmes informatiques et en exfiltrer des données

Notre constat : sans formation adéquate du personnel ni de mises à jour régulièrement réalisées, les entreprises prennent de grands risques vis-à-vis de leur cybersécurité. Ces deux sujets peuvent néanmoins être traités pour un budget et dans des délais raisonnables.

💪 Les mesures de sécurité les plus prisées

Les entreprises qui choisissent de se protéger mettent en place des mesures qui nous semblent faire beaucoup de sens. Il n'est pas nécessaire de dépenser un budget pharaonique pour se protéger efficacement de la plupart des menaces. Toujours selon l'étude 2025 de DigitalSwitzerland, on apprend ainsi que les mesures les plus fréquemment mises en place par les entreprises sont :

  • Procéder aux sauvegardes des données et des systèmes importants (et les contrôler régulièrement)
  • Sécuriser les réseaux d'entreprise, particulièrement le WiFi
  • Mettre à jour régulièrement les logiciels, les systèmes d'exploitation (Windows, macOS, Linux) et les équipements réseau
  • Mettre en place un pare-feu
  • Déployer l'authentification multifacteur là où c'est possible, de préférence avec une application dédiée (et pas des SMS)
  • Utiliser un gestionnaire de mots de passe pour générer des mots de passe forts sans risquer de les oublier
  • Former les collaborateur-trice-s aux risques et aux responsabilités qui leur incombent
  • Réaliser un plan en cas d'urgence contenant les contacts importants et guidant sur les opérations à réaliser

💬 Et pour 2026 ?

L'année qui vient ne sera probablement pas plus simple. Les attaques continueront d'évoluer, mais les bases restent les mêmes : des accès sécurisés, des collaborateur-trice-s sensibilisé-e-s, des logiciels à jour, et des sauvegardes testées. Ces quelques piliers ne sont pas réservés aux grandes entreprises, ils sont à la portée des structures de toute taille.

Vous avez des doutes sur votre situation actuelle, ou des interrogations sur la marche à suivre ? Nous nous tenons à disposition pour en discuter ensemble et identifier les points d'amélioration prioritaires. Parlons-en ensemble.

Transparence : L'IA générative n'a pas été utilisée dans le cadre de la rédaction de cet article.

Article précédent