Par manque de temps et de moyens par rapport aux plus grandes entreprises, les PME sont nombreuses à ne pas se préoccuper sérieusement de leur cybersécurité. Et pourtant elles sont paradoxalement bien conscientes des risques. Une dernière étude de la start-up française spécialisée dans l'EDR HarflangLab, menée par le cabinet Sapio Research, montre ainsi que 46 % des petites et moyennes entreprises européennes estiment le niveau de menace auxquelles elles sont confrontées comme étant sévère (30 %) voire extrêmement sévère (16 %). A l'inverse, elles sont seulement 3 % à penser qu'elles ne courent aucun risque. "Parmi ceux qui se considèrent entièrement préparés à un incident de cybersécurité, 28 % jugent le niveau de menace actuel comme extrême, contre seulement 10 % parmi ceux qui estiment ne pas être bien préparés", peut-on lire dans l'étude.

Par ailleurs, il existe une différence de perception selon les pays : ainsi le niveau de menace est perçu comme extrême en France avec 62 % des répondants estimant que la menace est extrême ou très grave, contre 38 % en Belgique, 37 % en Allemagne et 24 % aux Pays-Bas. L'appartenance à un secteur d'activité joue également dans cette appréhension des risques : "le secteur de la santé est le plus inquiet face aux cybermenaces, avec 70 % des répondants le considérant comme extrême ou très grave. Viennent ensuite les secteurs de la comptabilité et des finances (56 %), de la production industrielle et du commerce de gros/détail (43 % chacun), et enfin de l’éducation (37 %)", poursuit le rapport. "Alors que seulement 40 % des répondants travaillant dans des organisations de 300 à 999 employés jugent la menace comme extrême ou très grave, plus de la moitié (52 %) des entreprises de plus de 2 000 employés partagent ce sentiment."

La schizophrénie d'une IA à la fois offensive et défensive

Parmi les principaux risques qui préoccupent les PME européennes, les fuites de données et d'informations arrivent ex-aeqo en tête (57 %) avec la mise hors service ou destruction des systèmes d'information, suivi par le cyberespionnage (42 %), le paiement de rançons pour récupérer l'accès aux systèmes (41 %), l'arrêt total de la production (36 %) et le vol d'argent (20 %). A noter (bravade ou boutade ?) que 1 % des PME interrogées déclarent ne pas être inquiètent. L'étude pointe également le fait que plus de la moitié des répondants (56%) estiment que les vulnérabilités techniques représentent des risques majeurs et que cette inquiétude est encore plus marquée dans le secteur de l’éducation (61%) et dans les secteurs industriels et de l’énergie (64%). En outre, 49% des PME craignent que les faiblesses dans leur supply chain ne représentent un risque majeur.

La crainte d'attaques plus sophistiquées dopées à la GenAI est également mentionnée par 46 % des répondants, avec un niveau particulièrement élevé pour les entreprises du secteur de la santé (59 %). "Selon les dirigeants de PME européennes, l’IA pourrait entraîner des attaques plus sophistiquées (81% d’accord), mais elle pourrait également permettre une meilleure compréhension des menaces et contribuer à élaborer de meilleures stratégies de sécurité (85%), ainsi qu’à contrer les attaques renforcées par l’IA (82%)", selon Sapio Research.

Des budgets cybersécurité majoritairement en hausse

Concernant le budget consacré à la cyberdéfense, plus de la moitié (57 %) des PME européennes indiquent qu’elles augmenteront leurs dépenses au cours de l’année, contre seulement 17 % qui prévoient de les réduire. En France, cela concerne 58 % des entreprises en 2024, comparé à 44 % aux PaysBas. Le niveau de confiance des PME dans leurs compétences en matière de cybersécurité varie par ailleurs sensiblement selon les pays. Avec en France des taux plus élevés qu'ailleurs que ce soit aussi bien en termes de prévention et de détection (75 %), que de réponse à incidents (74 %) mais pas en matière de rétablissement (72 %) où l'Allemagne arrive en tête (74 %).