Cybersécurité PME industrielles : 3 angles morts révélés par notre sondage
Nous avons mené, fin mars 2026, un sondage en présentiel auprès de 30 PME françaises du secteur de l’industrie manufacturière.
Point méthodologique : Ce sondage, de 3 questions uniquement, a aussi donné lieu à des échanges directs avec les répondants, ce qui enrichit notre analyse au-delà des seules réponses déclaratives. Cependant, nous sommes conscients qu’il n’a pas vocation à être statistiquement représentatif de l’ensemble des PME industrielles françaises. Il donne en revanche un signal terrain utile.
L’objectif était de mieux comprendre leur perception des menaces cyber ainsi que leur niveau de préparation. Cela nous permettra d’adapter nos efforts de sensibilisation, car le contexte l’impose. Les cyberattaques à but lucratifs sont aujourd’hui plus industrialisées, plus opportunistes et touchent des organisations de toutes tailles. En parallèle, le cadre français de mise en œuvre de la directive NIS2 continue de se préciser.
Notre sondage met en évidence un décalage net entre la réalité des cybermenaces, les exigences de préparation et la perception qu’en ont encore beaucoup de dirigeants de PME.
Source : LINARIS
#1 : “Nous ne sommes pas une cible”
Un sentiment d’immunité encore présent
La plupart des entreprises interrogées pensent qu’elles sont exposées. Cependant, une part non négligeable, soit 7 sur 30, pense encore qu’elle ne peut pas être une cible.
Les faits disent l’inverse
Or les données publiques les plus récentes montrent l’inverse. L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) indique que les PME restent les plus affectées par les rançongiciels. Elle souligne aussi que les cybercriminels visent la plupart des secteurs et des zones géographiques. Autrement dit, il ne faut plus raisonner en se demandant « pourquoi nous ? ». Mais plutôt se demander : « qu’est-ce qui nous rend plus faciles à atteindre ? ».
La cyberattaque s’industrialise
Cette logique est d’autant plus importante que la cybercriminalité s’est professionnalisée. L’ANSSI décrit notamment le modèle du ransomware-as-a-service, qui permet d’industrialiser les attaques et d’en multiplier le nombre. Concrètement, un groupe fournit les outils, l’infrastructure et parfois l’assistance. Des affiliés mènent ensuite les attaques en échange d’un partage des rançons. On n’est donc plus face à quelques pirates isolés. On est face à une organisation quasi industrielle de la cyberattaque. Et ce mouvement peut encore s’accélérer avec l’IA générative, qui facilite des campagnes plus rapides, plus crédibles et plus faciles à déployer à grande échelle.
#2 : Savoir redémarrer « en théorie » ne suffit pas
Un délai de reprise souvent supposé, rarement prouvé
Dans les réponses recueillies, seuls 7 entreprises sur 30 semblent pouvoir affirmer qu’elles connaissent leur délai de reprise et l’ont déjà testé. Parmi elles, certaines l’ont cependant testé il y a plus d’un an.
En cas de cyberattaque qui paralyse tout, c’est à dire de crise cyber, la vraie question n’est pas seulement de savoir si l’on a des sauvegardes. Il faut surtout savoir si l’on peut restaurer l’activité dans un délai compatible avec les besoins de l’entreprise. La CNIL rappelle d’ailleurs qu’il faut tester régulièrement la restauration des sauvegardes ainsi que l’application du plan de continuité ou de reprise. Tant que ce test n’existe pas, ce n’est pas une capacité prouvée, et le délai de redémarrage reste une hypothèse.
Redémarrer sans perdre relève de la Direction
Surtout, un test de reprise n’est pas un simple exercice informatique. Il faut arbitrer les priorités métier, décider ce qui doit redémarrer en premier et parfois accepter un mode dégradé temporaire. Il faut enfin coordonner les interdépendances entre production, logistique, finance et relation client. L’IT restaure les systèmes. Mais seule la Direction maîtrise une vue d’ensemble des besoins business, et peut valider un ordre de reprise cohérent pour l’entreprise.
#3 : NIS2 reste encore floue pour beaucoup de dirigeants
Un sujet encore peu connu
Le niveau de connaissance autour de NIS2 reste faible, puisque 25 des 30 entreprises disent ne pas en avoir entendu parler ou n’en connaissent pas le contenu. Ce constat ne nous surprend pas. Le sujet est nouveau, dense, réglementaire et pas toujours simple à transposer au niveau opérationnel.
Plus qu’une directive, un signal de fond
Pourtant, le sujet dépasse largement le cercle des spécialistes. NIS2 est une directive européenne qui vise à élever le niveau de cybersécurité dans 18 secteurs critiques. Elle impose aux entités concernées de mieux prévenir, piloter et gérer le risque cyber. Comme le RGPD, son non-respect peut entraîner des sanctions.
La Direction désormais responsable de la cybersécurité
Mais au-delà du cadre réglementaire, le message est clair : la cybersécurité n’est pas seulement un sujet IT, elle engage directement la Direction. C’est un sujet de gouvernance, d’organisation et d’anticipation. La Commission européenne souligne d’ailleurs que NIS2 renforce la responsabilisation du top management en matière de gestion du risque cyber.
En résumé
Ces trois résultats racontent la même chose. Beaucoup d’entreprises n’ont pas encore totalement basculé d’une vision IT de la cyber vers une vision business de la cyber. C’est-à-dire une vision centrée sur la continuité d’activité, la résilience et la responsabilité de la Direction.
Auteur
Lai LY
Spécialiste Gouvernance Cybersécurité PME
Contributeur
Stéphane HIVERT
Spécialiste Cybersécurité PME
Remerciements
Nous remercions chaleureusement les 30 entreprises du secteur de l’industrie manufacturière qui ont participé à ce sondage, leur disponibilité et la qualité de leurs réponses.
Vous voulez savoir où se situe votre PME sur ces trois points clés: exposition réelle, capacité de reprise ou préparation à NIS2 ?
LINARIS peut vous aider.
Nous sommes l’un des rares cabinets spécialisés dans la cybersécurité PME à pouvoir vous accompagner sur tout le cycle de la cyber résilience, du diagnostic à la gouvernance.
Contactez-nous pour un échange gratuit et sans engagement.
Disclaimer
Ce rapport est fourni à titre informatif uniquement et reflète l’opinion de son auteur à la date de l’analyse. Il ne constitue pas un avis juridique ou réglementaire et ne garantit pas l’absence de risques ou de vulnérabilités. Les menaces et niveaux de risque peuvent évoluer dans le temps. Toute décision prise sur la base de ce rapport relève de la seule responsabilité du lecteur.