Cybersécurité : le retard des PME pèse lourd sur les finances d'entreprise

Alors que les PME sont exposées à des menaces cyber de même ampleur que les plus grandes organisations, elles peinent encore à mettre en place des défenses adaptées. C'est le principal enseignement de la première étude menée par WatchGuard Technologies sur ses partenaires MSP/MSSP. Objectif : connaître l'état réel de la cybersécurité des PME françaises. L'enquête, menée entre mai et août 2025 auprès de 125 prestataires répartis sur l'ensemble du territoire, met en lumière de fortes lacunes et des moyens limités en réponse.

Des PME trop souvent victimes avant d'agir

La prise de conscience arrive souvent trop tard. Selon les MSP sondés, la moitié des PME ne lancent un projet de cybersécurité qu'après avoir subi une attaque. Plus inquiétant encore, une sur quatre aurait déjà payé une rançon à la suite d'un ransomware. Un mode de réaction qui, pour Pascal Le Digol, directeur France de WatchGuard, expose les entreprises au risque de surinvestir dans l'urgence sous le coup de la panique.

Les attaques les plus redoutées ne sont guère surprenantes : 87 % des MSP citent les rançongiciels en première position, suivis par les fuites de données (66 %), les fraudes à l'identité et arnaques au président (61 %). L'espionnage industriel reste marginal, mentionné seulement par 11 % des répondants.

Des moyens limités et un déficit d'information

Au-delà des menaces, l'enquête révèle les freins persistants à l'investissement cyber. Les MSP pointent d'abord le manque de moyens financiers, mais aussi l'absence de compréhension des risques et le déficit de compétences internes. Sans surprise, 55% des prestataires estiment que les PME sont mal ou très mal équipées.

Le constat est tout aussi sévère en matière de réglementation. Alors que le RGPD est en vigueur depuis 2018, 80 % des MSP affirment que les entreprises de leur région ne sont pas en conformité et 86 % ajoutent qu'elles ignorent encore totalement l'existence de la directive européenne NIS 2, pourtant au coeur du renforcement des obligations de cybersécurité.

La cybersécurité, une brique de plus dans l'offre MSP

Cette enquête témoigne aussi de l'évolution du rôle des MSP. Si seulement 25 % d'entre eux se définissent encore comme des pureplayers en cybersécurité, 75 % ont intégré de nouveaux services liés à l'IT et à l'infogérance, démontrant un élargissement de leur expertise. Pour autant, la cybersécurité ne génère pas encore la majorité de leurs revenus : elle représente moins de 25 % du chiffre d'affaires pour près de la moitié des prestataires, et entre 25 et 50 % pour 44 %.

Côté partenariats technologiques, les MSP restent relativement concentrés : 40 % collaborent avec deux à trois éditeurs, tandis que près d'un quart travaillent avec jusqu'à dix partenaires. Les solutions les plus répandues restent le firewall, l'EDR, le MFA et les services de détection et réponse managés (MDR). Déjà, 40 % des MSP proposent un SOC et 36 % un service complet MDR éditeur.

Vers une démocratisation de la cybersécurité

Ce sondage confirme l'enjeu stratégique pour les PME d'adopter une approche proactive, à long terme et mieux structurée de leur cybersécurité. Selon Pascal Le Digol, la mission des MSP est désormais claire : rendre accessible aux petites structures une cybersécurité unifiée, évolutive et simple à déployer. « La cybersécurité n'est plus réservée aux grandes entreprises. Nous croyons en l'importance d'offrir une solution parfaitement adaptée, une sécurité puissante, simplifiée et spécialement conçue pour répondre aux réalités des PME et des MSP qui les accompagnent au quotidien. »