Cybersécurité PME industrielles : 3 angles morts révélés par notre sondage

Read in Eng­lish

Nous avons mené, fin mars 2026, un sondage en présen­tiel auprès de 30 PME français­es du secteur de l’industrie man­u­fac­turière.

Point méthodologique : Ce sondage, de 3 ques­tions unique­ment, a aus­si don­né lieu à des échanges directs avec les répon­dants, ce qui enri­chit notre analyse au-delà des seules répons­es déclar­a­tives. Cepen­dant, nous sommes con­scients qu’il n’a pas voca­tion à être sta­tis­tique­ment représen­tatif de l’ensemble des PME indus­trielles français­es. Il donne en revanche un sig­nal ter­rain utile.

L’objectif était de mieux com­pren­dre leur per­cep­tion des men­aces cyber ain­si que leur niveau de pré­pa­ra­tion. Cela nous per­me­t­tra d’adapter nos efforts de sen­si­bil­i­sa­tion, car le con­texte l’impose. Les cyber­at­taques à but lucrat­ifs sont aujourd’hui plus indus­tri­al­isées, plus oppor­tunistes et touchent des organ­i­sa­tions de toutes tailles. En par­al­lèle, le cadre français de mise en œuvre de la direc­tive NIS2 con­tin­ue de se pré­cis­er.

Notre sondage met en évi­dence un décalage net entre la réal­ité des cyber­me­n­aces, les exi­gences de pré­pa­ra­tion et la per­cep­tion qu’en ont encore beau­coup de dirigeants de PME.

Source : LINARIS

#1 : “Nous ne sommes pas une cible”

Un sen­ti­ment d’immunité encore présent

La plu­part des entre­pris­es inter­rogées pensent qu’elles sont exposées. Cepen­dant, une part non nég­lige­able, soit 7 sur 30, pense encore qu’elle ne peut pas être une cible.

Les faits dis­ent l’inverse

Or les don­nées publiques les plus récentes mon­trent l’inverse. L’ANSSI (Agence Nationale de la Sécu­rité des Sys­tèmes d’In­for­ma­tion) indique que les PME restent les plus affec­tées par les rançongi­ciels. Elle souligne aus­si que les cyber­crim­inels visent la plu­part des secteurs et des zones géo­graphiques. Autrement dit, il ne faut plus raison­ner en se deman­dant « pourquoi nous ? ». Mais plutôt se deman­der : « qu’est-ce qui nous rend plus faciles à attein­dre ? ».

La cyber­at­taque s’industrialise

Cette logique est d’autant plus impor­tante que la cyber­crim­i­nal­ité s’est pro­fes­sion­nal­isée. L’ANSSI décrit notam­ment le mod­èle du ran­somware-as-a-ser­vice, qui per­met d’industrialiser les attaques et d’en mul­ti­pli­er le nom­bre. Con­crète­ment, un groupe four­nit les out­ils, l’infrastructure et par­fois l’assistance. Des affil­iés mènent ensuite les attaques en échange d’un partage des rançons. On n’est donc plus face à quelques pirates isolés. On est face à une organ­i­sa­tion qua­si indus­trielle de la cyber­at­taque. Et ce mou­ve­ment peut encore s’accélérer avec l’IA généra­tive, qui facilite des cam­pagnes plus rapi­des, plus crédi­bles et plus faciles à déploy­er à grande échelle.

#2 : Savoir redémarrer “en théorie” ne suffit pas

Un délai de reprise sou­vent sup­posé, rarement prou­vé

Dans les répons­es recueil­lies, seuls 7 entre­pris­es sur 30 sem­blent pou­voir affirmer qu’elles con­nais­sent leur délai de reprise et l’ont déjà testé. Par­mi elles, cer­taines l’ont cepen­dant testé il y a plus d’un an.

En cas de cyber­at­taque qui paral­yse tout, c’est à dire de crise cyber, la vraie ques­tion n’est pas seule­ment de savoir si l’on a des sauve­g­ardes. Il faut surtout savoir si l’on peut restau­r­er l’activité dans un délai com­pat­i­ble avec les besoins de l’entreprise. La CNIL rap­pelle d’ailleurs qu’il faut tester régulière­ment la restau­ra­tion des sauve­g­ardes ain­si que l’application du plan de con­ti­nu­ité ou de reprise. Tant que ce test n’existe pas, ce n’est pas une capac­ité prou­vée, et le délai de redé­mar­rage reste une hypothèse.

Redé­mar­rer sans per­dre relève de la Direc­tion

Surtout, un test de reprise n’est pas un sim­ple exer­ci­ce infor­ma­tique. Il faut arbi­tr­er les pri­or­ités méti­er, décider ce qui doit redé­mar­rer en pre­mier et par­fois accepter un mode dégradé tem­po­raire. Il faut enfin coor­don­ner les inter­dépen­dances entre pro­duc­tion, logis­tique, finance et rela­tion client. L’IT restau­re les sys­tèmes. Mais seule la Direc­tion maîtrise une vue d’ensemble des besoins busi­ness, et peut valid­er un ordre de reprise cohérent pour l’entreprise.

#3 : NIS2 reste encore floue pour beaucoup de dirigeants

Un sujet encore peu con­nu

Le niveau de con­nais­sance autour de NIS2 reste faible, puisque 25 des 30 entre­pris­es dis­ent ne pas en avoir enten­du par­ler ou n’en con­nais­sent pas le con­tenu. Ce con­stat ne nous sur­prend pas. Le sujet est nou­veau, dense, régle­men­taire et pas tou­jours sim­ple à trans­pos­er au niveau opéra­tionnel.

Plus qu’une direc­tive, un sig­nal de fond

Pour­tant, le sujet dépasse large­ment le cer­cle des spé­cial­istes. NIS2 est une direc­tive européenne qui vise à élever le niveau de cyber­sécu­rité dans 18 secteurs cri­tiques. Elle impose aux entités con­cernées de mieux prévenir, pilot­er et gér­er le risque cyber. Comme le RGPD, son non-respect peut entraîn­er des sanc­tions.

La Direc­tion désor­mais respon­s­able de la cyber­sécu­rité

Mais au-delà du cadre régle­men­taire, le mes­sage est clair : la cyber­sécu­rité n’est pas seule­ment un sujet IT, elle engage directe­ment la Direc­tion. C’est un sujet de gou­ver­nance, d’organisation et d’anticipation. La Com­mis­sion européenne souligne d’ailleurs que NIS2 ren­force la respon­s­abil­i­sa­tion du top man­age­ment en matière de ges­tion du risque cyber.

En résumé

Ces trois résul­tats racon­tent la même chose. Beau­coup d’entreprises n’ont pas encore totale­ment bas­culé d’une vision IT de la cyber vers une vision busi­ness de la cyber. C’est-à-dire une vision cen­trée sur la con­ti­nu­ité d’activité, la résilience et la respon­s­abil­ité de la Direc­tion.

Auteur
Stéphane HIVERT
Spé­cial­iste Cyber­sécu­rité PME
Spé­cial­iste Secteurs Indus­trie, E‑Commerce

Con­tribu­teur
Lai LY
Spé­cial­iste Gou­ver­nance Cyber­sécu­rité PME
Spé­cial­iste Secteurs Ser­vices Financiers

Remerciements

Nous remer­cions chaleureuse­ment les 30 entre­pris­es du secteur de l’industrie man­u­fac­turière qui ont par­ticipé à ce sondage, leur disponi­bil­ité et la qual­ité de leurs répons­es.

Vous voulez savoir où se situe votre PME sur ces trois points clés : expo­si­tion réelle, capac­ité de reprise ou pré­pa­ra­tion à NIS2 ?

LINARIS peut vous aider.

Nous sommes l’un des rares cab­i­nets spé­cial­isés dans la cyber­sécu­rité PME à pou­voir vous accom­pa­g­n­er sur tout le cycle de la cyber résilience, du diag­nos­tic à la gou­ver­nance.

Con­tactez-nous pour un échange gra­tu­it et sans engage­ment.

Disclaimer

Ce rap­port est fourni à titre infor­matif unique­ment et reflète l’opinion de son auteur à la date de l’analyse. Il ne con­stitue pas un avis juridique ou régle­men­taire et ne garan­tit pas l’absence de risques ou de vul­néra­bil­ités. Les men­aces et niveaux de risque peu­vent évoluer dans le temps. Toute déci­sion prise sur la base de ce rap­port relève de la seule respon­s­abil­ité du lecteur.

Publications similaires