Le 26 février 2026, les employés de 1 500 cabinets médicaux français ont découvert que leur logiciel de gestion de patients, MonLogicielMédical (édité par Cegedim Santé), avait été compromis. Les données administratives de 15 millions de patients — noms, prénoms, numéros de téléphone, adresses postales — ont fuité. Pour 164 000 d'entre eux, des données sensibles, incluant des annotations libres rédigées par les médecins, ont également été exposées, selon la ministre déléguée chargée de la Santé. Une enquête a été ouverte à Paris. L'ANSSI, la CNIL et le procureur de la République ont été saisis.
Quelques jours plus tard, c'est le fichier FICOBA (Fichier des comptes bancaires et assimilés) qui faisait l'objet d'accès illégaux : 1,2 million de comptes bancaires consultés frauduleusement. Ces deux incidents, en l'espace de quelques semaines, illustrent une réalité que le Panorama de la cybermenace 2025 de l'ANSSI, publié le 11 mars 2026, a confirmée en chiffres : les PME françaises sont les premières victimes d'une guerre numérique qu'elles ignorent.
Les PME, cibles faciles d'une menace industrialisée
Les chiffres du Panorama 2025 de l'ANSSI sont sans ambiguïté. Sur les 3 586 événements de sécurité traités par l'agence en 2025, les PME, TPE et entreprises de taille intermédiaire représentent 48 % des victimes de rançongiciels. Au total, 75 % des cyberattaques en France ciblent des TPE et PME. Et les conséquences sont souvent fatales : 60 % des PME victimes d'une attaque sérieuse ferment dans les six mois suivant l'incident.
Pourquoi les PME ? Parce qu'elles concentrent trois faiblesses que les attaquants exploitent systématiquement.
Des défenses minimales. Le baromètre 2026 de Cybermalveillance.gouv.fr révèle que seulement 26 % des PME françaises ont activé l'authentification multifacteur (MFA), la mesure de base qui bloque la grande majorité des attaques par vol d'identifiants. Le nombre moyen de dispositifs de sécurité installés par les PME a progressé — de 3,62 en 2024 à 4,06 en 2025 — mais reste insuffisant face à des attaquants de plus en plus outillés.
Un manque de connaissance. 66 % des organisations ne suivent pas les bonnes pratiques de l'ANSSI, et seules 27 % connaissent l'existence du guide de l'agence. Paradoxalement, 58 % des TPE-PME pensent bénéficier d'un bon ou très bon niveau de protection, selon le même baromètre. C'est l'angle mort le plus dangereux : croire qu'on est protégé quand on ne l'est pas.
Une surface d'attaque étendue. La numérisation accélérée des PME — logiciels en cloud, télétravail, outils collaboratifs — a multiplié les points d'entrée pour les attaquants. Une PME qui utilise un logiciel de gestion de patients (comme les 1 500 cabinets touchés par Cegedim) ou un outil de comptabilité en ligne expose ses données à la sécurité de son fournisseur. Si le fournisseur est compromis, la PME l'est aussi. C'est ce qu'on appelle une attaque par rebond (supply chain attack).
Le contexte géopolitique aggrave tout
La cyberguerre entre États n'est pas un phénomène abstrait pour les PME. Elle les touche directement, de deux manières.
L'effet d'aubaine. Les conflits géopolitiques créent un bruit de fond numérique qui profite aux cybercriminels classiques. Pendant que les agences de cybersécurité concentrent leurs ressources sur les menaces étatiques (APT iraniens, groupes pro-russes), les attaques par rançongiciel contre les PME passent sous le radar. Comme l'analysait Regards Actuels dans le décryptage de la cyberguerre Iran-Europe, plus de 60 groupes hacktivistes pro-iraniens sont actifs depuis le 28 février 2026. Mais les groupes criminels « classiques » n'ont pas cessé leurs activités pour autant — ils en profitent.
L'attaque par la chaîne d'approvisionnement. Les PME françaises qui travaillent avec des grands groupes ou des administrations sont des cibles de choix pour des attaquants étatiques cherchant à atteindre des cibles plus importantes par rebond. L'ANSSI a signalé que 29 % des vulnérabilités exploitées en 2025 l'ont été le jour même de leur publication ou avant. Plus de 6 200 actifs en France restaient encore vulnérables fin 2025 à des failles connues depuis 2023 ou 2024.
Vincent Strubel, directeur général de l'ANSSI, a déclaré le 11 mars 2026 que la France « se prépare à des attaques destructrices sur des infrastructures critiques » dans un contexte d'« escalade géopolitique ». Pour les PME sous-traitantes de ces infrastructures, le risque est direct et immédiat.
Ce que les PME peuvent faire concrètement
La bonne nouvelle est que la majorité des attaques qui frappent les PME exploitent des failles basiques — et donc corrigeables. L'ANSSI, la CISA américaine et le NCSC britannique convergent sur un socle de cinq mesures prioritaires que toute PME peut mettre en place, souvent gratuitement.
1. Activer l'authentification multifacteur sur tous les comptes. Le MFA (une confirmation par SMS, application ou clé physique en plus du mot de passe) bloque la quasi-totalité des attaques par vol d'identifiants. Seules 26 % des PME françaises l'ont fait. C'est la mesure au meilleur rapport coût-efficacité qui existe.
2. Mettre à jour les logiciels immédiatement. 29 % des vulnérabilités exploitées en 2025 l'ont été le jour de leur publication. Attendre « la prochaine maintenance » pour installer un correctif, c'est laisser la porte ouverte. Les mises à jour automatiques doivent être activées partout où c'est possible.
3. Sauvegarder hors ligne. Un rançongiciel chiffre les données accessibles sur le réseau. Une sauvegarde déconnectée (disque dur externe, bande) est la seule garantie de récupération sans payer de rançon. La règle dite « 3-2-1 » : trois copies des données, sur deux supports différents, dont un hors site.
4. Former les employés au phishing. L'ingénierie sociale — un email piégé, un faux site de connexion — reste le vecteur d'entrée le plus courant. Une formation annuelle de deux heures, avec des simulations de phishing, réduit le taux de clic de 50 à 75 %, selon les données de Cybermalveillance.gouv.fr.
5. Auditer les fournisseurs. L'affaire Cegedim a démontré qu'une PME peut être compromise via son prestataire. Poser trois questions à chaque fournisseur de logiciel : avez-vous un plan de réponse aux incidents ? Vos données sont-elles chiffrées au repos ? Avez-vous été audité par un tiers ? Si le fournisseur ne peut pas répondre, c'est un signal d'alerte.
Ce qui va se passer dans les mois à venir
L'ANSSI a annoncé le déploiement de son projet CYBERSOC National, qui centralise la surveillance des entités d'importance vitale. Mais ce dispositif ne couvre pas les PME. Pour elles, le filet de sécurité repose sur des initiatives de proximité : les référents régionaux en cybersécurité, déployés depuis 2025, et la plateforme Cybermalveillance.gouv.fr, qui propose un diagnostic gratuit et des parcours de sécurisation.
Deux échéances réglementaires vont changer la donne. La directive européenne NIS 2, transposée en droit français, élargit les obligations de cybersécurité à des milliers d'entreprises supplémentaires, y compris des PME sous-traitantes de secteurs critiques. Et le règlement DORA (Digital Operational Resilience Act), qui entre en vigueur en janvier 2025, impose aux entreprises du secteur financier — et à leurs prestataires informatiques — des tests de résilience réguliers.
Mais la réglementation ne protège que ceux qui l'appliquent. Et pour les 66 % de PME qui ne suivent pas les recommandations de base de l'ANSSI, le risque n'est pas de savoir si elles seront attaquées, mais quand. Comme le résume le rapport de l'agence avec une métaphore maritime : la France n'est « pas sur un raz-de-marée, mais une marée haute qui perdure ». Pour les PME sans digue, la marée monte.
