Face à des cyberattaques plus fréquentes et dopées à l’IA, les TPE-PME françaises renforcent outils, compétences et assurance. Le rapport Hiscox 2025 révèle une mobilisation réelle, mais des angles morts persistent, notamment autour des rançons et des partenaires assurantiels.
À l’ouverture du Cybermois, le rapport Hiscox 2025 dresse un constat inquiétant : 57 % des TPE-PME françaises ont subi au moins une cyberattaque en douze mois. Plus l’entreprise grandit, plus elle est visée : au-delà de 10 M$ de chiffre d’affaires, on compte en moyenne six attaques par an, contre quatre sous 1 M$. Une entreprise sur trois a essuyé une perte financière menaçant son activité.
Le ransomware reste central : 26 % des TPE-PME ont été ciblées. Nicolas Kaddeche, Directeur Technique et de la Distribution directe chez Hiscox, le rappelle : « Payer la rançon ne permet malheureusement pas toujours de résoudre le problème ». En effet, seules 55 % récupèrent tout ou partie des données. Le cycle peut même s’envenimer : 31 % des victimes se voient réclamer une somme supplémentaire et 27 % subissent une nouvelle attaque.
Toutefois, la France se distingue par un faible taux refus de paiement : seules 12 % des entreprises ne paient pas pour récupérer leurs datas, sans meilleur taux de récupération qu’ailleurs (sauf au Portugal). Ce paradoxe survit malgré des contrôles réguliers (76 % tests mensuels, 94 % trimestriels) et s’explique par un sous-équipement technique et un suivi insuffisant des prestataires.
Les impacts dépassent la technique : 36 % rapportent une amende significative ayant significativement affecté leur santé financière, 32 % une hausse des coûts de notification client, 31 % une baisse des indicateurs commerciaux. Pour 73 % des répondants, la divulgation des montants versés aux cybercriminels devrait être obligatoire. Question de transparence : pour mieux comprendre les risques, il faut pouvoir les connaître et les évaluer précisément.
L’intelligence artificielle est jugée à la fois comme un risque et une opportunité : 65 % la voient comme un atout, 29 % comme une vulnérabilité. Dans les menaces citées, on retrouve : les attaques sur l’ingénierie sociale (61 %), les logiciels malveillants et phishing (61 %), la prise de contrôle des données (59 %).
« Avec le développement de l’intelligence artificielle, la mauvaise nouvelle, c’est qu’elle est désormais utilisée par les hackers pour perfectionner leur technique. Mais la bonne, c’est qu’elle peut être mise au service du renforcement de la cybersécurité des entreprises. Dans tous les cas, l’IA accroît la vulnérabilité des organisations qui ne disposent pas d’une expertise dédiée, et qui ont besoin de se protéger par une couverture assurantielle adaptée. À ce titre, nos polices couvrent les sinistres liés à l’utilisation d’IA – y compris lorsqu’elles sont elles-mêmes piratées. » explique Victorine Bailleul, Responsable Technique Cyber chez Hiscox.
La riposte s’organise : 85 % des TPE-PME estiment avoir amélioré leur cyber-résilience en un an. 72 % actualisent les formations, 63 % recrutent des profils dédiés, 80 % forment les télétravailleurs. 98 % prévoient d’accroître les investissements en technologie et protection des données. Côté assurance, 61 % ont une police cyber autonome, 27 % sont couvertes via une autre police, 15 % comptent souscrire.
Reste un angle mort selon Nicolas Kaddeche : « Notre étude révèle que 39 % des entreprises françaises ne disposent pas de police d’assurance cyber : c’est le plus bas taux d’équipement des pays interrogés. Parmi elles, seulement une entreprise sur trois envisage d’y remédier dans l’année qui vient. Pour faciliter l’équipement des entreprises, en particulier des plus petites, Hiscox a conçu une offre totalement modulaire où il est facile d’ajouter une garantie cyber à ses autres couvertures d’assurance. »