Posons la question autrement. Vous laisseriez vos locaux ouverts la nuit sans fermer à clé ? Vous stockeriez vos fichiers clients dans un carton sur le trottoir ? Vous donneriez les codes de votre compte bancaire professionnel à un inconnu qui vous a appelé ? Non. Évidemment non. Pourtant, c’est exactement ce que font des milliers de dirigeants de TPE et PMI chaque jour — numériquement parlant.
La cybersécurité n’est pas une obligation abstraite inventée par des techniciens pour justifier leur budget. C’est la version numérique du verrou sur la porte. Et en 2025, ne pas l’avoir, c’est une faute de gestion. Securite Off le répète très souvent lors de nos interventions auprès de chefs d’entreprise, de salons et des conférences.
TPE : « trop petite pour être attaquée » est le mythe le plus dangereux
Les dirigeants de TPE ont un angle mort quasi universel : la conviction que leur taille les protège. Que les hackers s’attaquent aux grandes entreprises, aux hôpitaux, aux multinationales. Que personne ne perdrait son temps sur un artisan, un cabinet de 4 personnes ou un commerce de proximité.
Les chiffres démontent ce mythe sans appel. Selon le rapport Hiscox 2023 sur la cybercriminalité, 43 % des cyberattaques ciblent des petites entreprises. Non pas parce qu’elles sont des proies lucratives en elles-mêmes — mais parce qu’elles sont des proies faciles. Pas de DSI, pas de politique de sécurité, mots de passe partagés par SMS, sauvegardes inexistantes ou non testées. Un ransomware déployé sur le réseau d’une TPE en moins de 20 minutes, c’est documenté et reproductible à l’échelle industrielle.
Et quand ça arrive, les conséquences sont souvent fatales. Pas de service informatique pour gérer la crise. Pas de plan de continuité. Pas de sauvegarde récente. Des jours, parfois des semaines d’activité à l’arrêt. Des clients perdus. Une réputation abîmée. En cette période tendue et anxiogène à cause notamment du contexte géopolitique, ne pas renforcer son niveau de cybersécurité doit être considéré comme un risque pour votre résilience et votre business : vos donneurs d’ordre et vos gros clients ne prendront pas de gants pour vous rayer de leur liste de partenaires !
Alors oui, la cybersécurité est une obligation pour une TPE. Pas parce que la loi le dit explicitement — même si le RGPD l’impose indirectement dès que vous traitez des données personnelles. Mais parce que ne pas la traiter revient à exposer votre entreprise à un risque existentiel que vous n’avez pas les moyens d’absorber.
PMI : le temps de l’excuse « on n’a pas les moyens » est révolu
Pour une PMI, le débat est encore plus tranché. Entre 50 et 250 salariés, une entreprise industrielle possède des outils de production connectés, des données clients sensibles, des sous-traitants avec des accès distants, et souvent des liens contractuels avec des donneurs d’ordre qui commencent à exiger des garanties de sécurité. La surface d’attaque est réelle. Les enjeux financiers en cas d’incident le sont tout autant.
Et pourtant, combien de PMI industrielles fonctionnent encore avec des postes non mis à jour depuis des années, des mots de passe « azerty123 » sur l’ERP, et aucune procédure documentée de réponse à incident ? La réponse est : beaucoup trop.
L’argument budgétaire ne tient plus. Les solutions de base — antivirus, gestion des mots de passe, sauvegardes cloud, formation des équipes — coûtent quelques milliers d’euros par an pour une PMI de taille moyenne. Moins que la prime d’assurance voiture de votre flotte. Infiniment moins que les 150 000 à 300 000 euros de coût moyen d’un incident majeur pour une structure de cette taille.
Ce qui manque, ce n’est pas le budget. C’est la décision. Et la décision appartient au dirigeant — pas au DSI, pas à l’informaticien externe, pas au comptable. Au dirigeant.
L’obligation morale avant l’obligation légale
Il y a une dimension que les textes réglementaires ne capturent pas, mais qu’aucun chef d’entreprise ne peut ignorer longtemps : la responsabilité vis-à-vis des autres.
Vos salariés vous font confiance avec leurs données personnelles, leurs bulletins de salaire, parfois leur numéro de sécurité sociale. Vos clients vous confient leurs coordonnées, leurs habitudes d’achat, parfois leurs données de santé. Vos partenaires interconnectent leurs systèmes avec les vôtres. Une compromission de votre réseau n’est jamais un problème isolé — elle se propage.
La question n’est donc pas « est-ce que la loi m’oblige à sécuriser mon système informatique ? » La bonne question est : « Est-ce que je serais à l’aise si mes clients, mes salariés et mes partenaires savaient exactement ce que j’ai fait — ou pas fait — pour protéger leurs données ? »
Si la réponse vous met mal à l’aise, vous avez votre réponse.