Les 10 façons les plus courantes dont les petites entreprises sont victimes de cyberattaques en 2026
- David Chernitzky
- il y a 5 heures
- 18 min de lecture
Les petites entreprises sont la cible. Les chiffres le prouvent.
Un mythe persiste chez les petites entreprises : les pirates informatiques cibleraient les banques et les gouvernements, et non un cabinet comptable de dix personnes ou un distributeur régional. Les données, elles, racontent une tout autre histoire.
Le rapport 2025 de Verizon sur les enquêtes relatives aux violations de données a analysé plus de 22 000 incidents de sécurité et plus de 12 000 violations confirmées. Il a révélé que 88 % des violations dans les petites et moyennes entreprises (PME) impliquaient des rançongiciels. Le rapport 2024 du FBI sur la cybercriminalité a enregistré des pertes totales liées à la cybercriminalité de 16,6 milliards de dollars, soit une augmentation de 33 % par rapport à l'année précédente. IBM a estimé le coût moyen mondial d'une violation de données à 4,44 millions de dollars.
Les petites entreprises sont ciblées non pas en raison de leurs importants profits, mais plutôt à cause de la facilité d'accès au marché. Le manque de personnel informatique, les mises à jour tardives, l'absence de formation des employés et de plan de réponse aux incidents font des PME des cibles faciles pour les pirates informatiques, qui utilisent de plus en plus l'automatisation et l'intelligence artificielle.
88% Les failles de sécurité dans les PME impliquaient des rançongiciels. | 4,44 millions de dollars Coût moyen mondial de la non-conformité | 33% Augmentation des pertes dues à la cybercriminalité en 2024 |
Sources : Rapport annuel 2025 de Verizon DBIR ; Rapport annuel 2025 d’IBM sur le coût d’une violation de données ; Rapport annuel 2024 du FBI IC3
Figure 1 : Principales statistiques d’attaques issues du rapport DBIR 2025 de Verizon. Basées sur plus de 22 000 incidents et plus de 12 000 violations confirmées.
1. Hameçonnage : désormais généré par IA par défaut.
Le phishing était le cybercrime le plus signalé dans le rapport IC3 2024 du FBI, avec environ 193 000 plaintes déposées. Ce qui a changé, c’est la qualité.
D'après le rapport 2025 de KnowBe4 sur les menaces et les tendances en matière de phishing, 83 % des courriels d'hameçonnage sont générés à l'aide de l'intelligence artificielle. L'étude 2025 de Kaseya sur la sécurité des courriels a identifié le phishing basé sur l'IA comme le point de départ des opérations criminelles et a constaté que 80 % de ces attaques ciblent les petites et moyennes entreprises (PME), avec une perte moyenne de 50 000 $ par incident.
Les anciens signaux d'alarme — fautes de grammaire, adresses d'expéditeur incorrectes, style maladroit — ont quasiment disparu. Les outils d'IA créent désormais des messages contextuellement pertinents à partir des profils LinkedIn, des sites web des entreprises et des données publiques extraites.
Comment cela se traduit-il en pratique ? • Une facture provenant d'un véritable fournisseur, avec des coordonnées bancaires à jour et le ton approprié. • Une alerte de connexion Microsoft 365 vous demandant de vérifier votre identité après une « activité de connexion inhabituelle ». • Un code QR sur un document imprimé qui renvoie vers une page de collecte des identifiants. • Un courriel sans lien vous invitant à répondre ou à appeler un numéro ; il ne contient pas de pièces jointes susceptibles de déclencher des filtres. |
✔ Que faire • Effectuez des simulations de phishing à l'aide de modèles basés sur l'IA, et non de scénarios obsolètes datant de 2019. • Mettre en œuvre DMARC, SPF et DKIM pour bloquer l'usurpation de domaine. • Former le personnel à signaler les courriels suspects plutôt que de simplement les supprimer. • Configurez votre filtre anti-spam pour détecter les attaques de phishing sans charge utile (attaques basées sur une réponse et attaques par code QR). |
Sources : Rapport KnowBe4 sur les menaces et les tendances en matière de phishing 2025 ; Rapport annuel 2024 du FBI IC3 ; Rapport 2025 de Kaseya sur la sécurité du courrier électronique ; Rapport DBIR 2025 de Verizon
2. Identifiants volés : principal vecteur de fuite de données.
D'après le rapport DBIR 2025 de Verizon, les identifiants compromis constituent le vecteur d'accès initial le plus fréquent, présent dans 22 % des violations de sécurité confirmées. De plus, 88 % des attaques contre des applications web utilisent des identifiants volés.
Comment les identifiants sont-ils volés ? Les logiciels malveillants voleurs d’informations collectent discrètement les mots de passe et les jetons de session enregistrés. Le phishing les capture directement. Les plateformes criminelles vendent quotidiennement des bases de données d’identifiants mises à jour. Et comme la plupart des employés réutilisent leurs mots de passe, une faille de sécurité dans un centre de service client tiers permet souvent d’accéder également aux comptes de l’entreprise.
Le rapport DBIR a révélé qu'en moyenne, seulement 49 % des mots de passe d'un utilisateur, tous services confondus, étaient uniques. Le bourrage d'identifiants (tentatives automatisées d'utilisation de comptes volés) représentait 19 % de toutes les tentatives d'authentification observées quotidiennement dans les journaux des fournisseurs d'authentification unique (SSO).
22% De toutes les fuites confirmées, tout a commencé par des identifiants volés. Rapport d'enquête de Verizon sur les violations de données de 2025 |
Comment cela se traduit-il en pratique ? • Un compte Microsoft 365 a été consulté depuis un emplacement inconnu à 3 h du matin ; aucune alerte n’a été déclenchée car les informations d’identification sont valides. • Des robots automatisés qui explorent votre portail client avec des paires email/mot de passe filtrées. • Une connexion à un compte de comptabilité en nuage depuis l'étranger, en utilisant les mêmes identifiants que votre employé utilise sur un site d'achat personnel. |
✔ Que faire • Mettez en œuvre l’authentification multifacteurs (MFA) sur toutes les plateformes d’accès externes, en commençant par le courrier électronique. • Mettre en place un gestionnaire de mots de passe pour éviter la réutilisation des identifiants sur différents comptes. • Surveillez l'exposition de vos identifiants en vérifiant votre domaine par rapport aux bases de données de violations de données connues. • Vérifier et désactiver les comptes inactifs immédiatement après la fin de l'utilisation. |
Sources : Verizon DBIR 2025 · Étude Verizon DBIR 2025 sur le bourrage d’identifiants (Langlois, 2025)
3. Les rançongiciels : une attaque disproportionnée contre les PME.
Les rançongiciels étaient présents dans 44 % des violations de données recensées dans le rapport DBIR 2025 de Verizon , soit une augmentation de 37 % par rapport à l'année précédente. Plus précisément, pour les petites et moyennes entreprises (PME), 88 % des violations impliquaient des rançongiciels.
D'après une étude Sophos de 2025 sur les rançongiciels, le coût moyen de récupération s'élevait à 1,53 million de dollars. Le montant moyen des rançons a diminué de 34 % pour atteindre environ 1,3 million de dollars ; toutefois, ce chiffre est pratiquement négligeable pour les petites entreprises, dont le véritable risque réside dans la paralysie de leurs activités, et non dans le montant de la rançon elle-même.
Fait crucial : 69 % des entreprises ayant payé une rançon ont subi une nouvelle attaque. Payer ne vous rend pas plus en sécurité ; cela montre simplement que vous êtes prêt à payer.
Les attaquants utilisent désormais une double méthode d'extorsion : ils chiffrent vos fichiers et menacent de publier les données volées si vous ne payez pas. 87 % des attaques en 2025 impliquaient l'exfiltration de données en plus du chiffrement.
Comment cela se traduit-il en pratique ? • À leur arrivée, les employés constatent que tous les fichiers partagés sont cryptés et qu'une demande de rançon se trouve sur chaque poste de travail. • Les sauvegardes sont également chiffrées car elles étaient connectées au même réseau. • Vous recevez une notification : vos données volées seront publiées dans 72 heures à moins que vous n’effectuiez le paiement. |
✔ Que faire • Conserver des sauvegardes hors ligne ou immuables qui sont régulièrement testées. • Segmentez votre réseau afin que les ransomwares ne puissent pas se propager latéralement à partir d'un appareil compromis. • Appliquer les correctifs aux systèmes connectés à l'extérieur selon un calendrier défini. La plupart des ransomwares exploitent des vulnérabilités connues. • Mettez en place un plan de réponse aux incidents documenté avant même d'en avoir besoin. |
Sources : Verizon DBIR 2025 ; Sophos State of Ransomware 2025 ; Rapport annuel 2024 du FBI IC3
4. Compromission de messagerie professionnelle (BEC) : aucun logiciel malveillant requis.
La fraude au faux ordre de virement (BEC) est l'une des menaces financières les plus dévastatrices car elle ne nécessite aucune attaque technique. Un escroc se fait passer pour un fournisseur, un dirigeant ou un conseiller juridique et détourne un paiement légitime . Aucun logiciel malveillant. Aucune alerte de pare-feu. Aucune détection.
En 2023, l'IC3 du FBI a reçu 21 489 signalements de fraudes aux faux ordres de virement (BEC), pour un préjudice estimé à 2,9 milliards de dollars. Sur une période de trois ans (2022-2024), l'IC3 a été informée de pertes liées à ces fraudes pour un montant de près de 8,5 milliards de dollars. L'enquête 2025 de la Police fédérale australienne (AFP) sur la fraude a révélé que 63 % des organisations ont été victimes de fraudes aux faux ordres de virement en 2024.
L'équipe IC3 du FBI chargée du recouvrement d'avoirs a fait état d'un taux de réussite de 66 % dans le blocage des transferts frauduleux, mais uniquement lorsque les victimes signalent le vol dans les heures qui suivent. Tout retard, même de quelques heures, entraîne généralement une perte définitive.
8,5 milliards de dollars pertes liées aux escroqueries aux faux ordres de virement (BEC) signalées au FBI IC3 entre 2022 et 2024 Rapport du FBI IC3/Nacha, 2025 |
Comment cela se traduit-il en pratique ? • Un courriel provenant du véritable domaine de votre fournisseur, contenant vos coordonnées bancaires à jour pour votre prochain paiement. • Un message de votre PDG demandant un virement bancaire urgent avant la fin de la journée de travail. • Une demande des ressources humaines visant à mettre à jour les informations de dépôt direct de la paie, envoyée depuis un compte employé compromis. |
✔ Que faire • Un appel téléphonique à un numéro connu est nécessaire pour toute modification des coordonnées de paiement ou bancaires. • Activez l’authentification multifacteurs (MFA) sur tous les comptes de messagerie professionnels. • Exiger une double approbation pour les virements bancaires dépassant un seuil défini. • Dispenser une formation spécifique sur la sécurité des communications électroniques aux personnels financiers et opérationnels : cette attaque réussit grâce à des erreurs de jugement humain, et non à des défaillances techniques. |
Sources : Rapport annuel IC3 2024 du FBI ; Enquête AFP sur la fraude et le contrôle 2025 ; Analyse IC3 2024 de Proofpoint (mai 2025)
5. Logiciels non patchés et périphériques exposés
L'exploitation des vulnérabilités a augmenté de 34 % en un an selon le rapport DBIR 2025 de Verizon, représentant 20 % des violations confirmées et dépassant le phishing comme deuxième méthode d'accès initiale la plus courante. Les attaques ciblant les VPN ont été multipliées par près de huit.
Le risque pour les PME est concentré dans leur infrastructure de périmètre : pare-feu, dispositifs VPN, routeurs et serveurs de bureau à distance. Ces équipements sont directement connectés à Internet et utilisent souvent des micrologiciels obsolètes. Le rapport DBIR a révélé qu’environ la moitié des vulnérabilités des dispositifs de périmètre sont restées non corrigées durant toute la période analysée.
Les attaquants ne ciblent pas des entreprises spécifiques ; ils effectuent des analyses automatisées qui identifient les appareils vulnérables à grande échelle, puis monétisent l’accès. Un pare-feu obsolète est détecté de la même manière que Google indexe une page web.
Comment cela se traduit-il en pratique ? • Un périphérique VPN exécutant un firmware de 2022 présentant une vulnérabilité critique documentée publiquement. • Protocole de bureau à distance (RDP) exposé directement sur Internet sans contrôles d'accès supplémentaires. • Un plugin CMS ou un composant de site web qui n'a pas été mis à jour depuis six mois et qui présente une vulnérabilité d'injection connue. |
✔ Que faire • Tenir un inventaire de tous les appareils ayant accès à Internet et de leurs versions logicielles. • Abonnez-vous aux alertes de sécurité des fournisseurs : la plupart des vulnérabilités sont divulguées publiquement en quelques jours. • Désigner un responsable désigné chargé d'appliquer les correctifs à chaque système. • Désactivez ou remplacez les périphériques plus anciens qui ne reçoivent plus de mises à jour de sécurité. |
Sources : Rapport DBIR 2025 de Verizon ; Analyse DBIR 2025 d’Enzoic (août 2025)
6. Attaques de tiers contre la chaîne d'approvisionnement
Les violations de données impliquant des partenaires tiers ont doublé d'une année sur l'autre, selon le rapport DBIR 2025 de Verizon, passant de 15 % à 30 % de l'ensemble des violations . Votre fournisseur de comptabilité en nuage, votre société de gestion informatique, votre prestataire de paie et votre fournisseur de système de point de vente (PDV) introduisent des risques dans votre environnement.
L'attaque ne vise généralement pas vos systèmes, mais ceux de votre fournisseur. Les attaquants utilisent ensuite la connexion de confiance existante pour infiltrer votre environnement.
Une étude SensCy de 2025 a révélé que 41,4 % des attaques de rançongiciels proviennent de tiers. Toutes les 38 secondes, une cyberattaque touche un fournisseur, un partenaire, un consultant ou un client. Les petites entreprises sont également ciblées, car elles servent souvent de tremplin aux grandes entreprises qu'elles accompagnent.
Comment cela se traduit-il en pratique ? • Votre fournisseur de services informatiques gérés a subi une faille de sécurité ; des attaquants utilisent des outils à distance pour déployer un ransomware sur les réseaux des clients. • La plateforme de paie qu'ils utilisent subit une violation de données et les données des employés sont divulguées. • Une mise à jour logicielle légitime provenant d'un fournisseur contient un logiciel malveillant intégré, qui est installé automatiquement. |
✔ Que faire • Demandez à chaque fournisseur ayant accès au système de fournir la preuve de ses contrôles de sécurité : mise en œuvre de l’authentification multifacteurs, tests d’intrusion et capacités de réponse aux incidents. • Examinez et limitez les autorisations accordées aux intégrations tierces ; la plupart disposent de plus d’accès que nécessaire. • S’assurer que les contrats incluent des obligations de notification des manquements et des délais de réponse. • Mettez en place une procédure permettant de révoquer rapidement l'accès du fournisseur en cas de suspicion de faille de sécurité. |
Sources : Rapport DBIR 2025 de Verizon ; Rapport SensCy sur les menaces de cybersécurité pour les PME 2025
7. Omission de l'authentification multifactorielle : lorsque l'authentification multifactorielle n'est pas suffisante.
L'authentification multifacteurs (AMF) n'est plus une solution quasi parfaite. Le bombardement de notifications (saturation d'un utilisateur en notifications push jusqu'à ce qu'il en accepte une pour arrêter les alertes) est apparu dans 14 % de tous les incidents recensés dans le rapport DBIR 2025 de Verizon.
Les attaques de type « homme du milieu » (AiTM) interceptent les requêtes d'authentification multifacteurs (MFA) en temps réel. Le vol de jetons détourne les cookies de session après la connexion. L'échange de cartes SIM permet aux attaquants de contrôler le numéro de téléphone d'un employé et tous les codes SMS entrants. Le rapport DBIR met explicitement en garde contre l'utilisation de codes OTP par SMS et recommande les clés d'accès FIDO2 comme alternative la plus fiable.
Cela ne signifie pas que l'authentification multifacteurs (AMF) doive être supprimée ; elle demeure essentielle. Cela signifie simplement que l'AMF par notifications push n'est plus suffisante pour les comptes sensibles.
Comment cela se traduit-il en pratique ? • À 23h00, un employé reçoit 30 demandes d'authentification multifacteurs en deux minutes et en accepte une pour empêcher leur arrivée. • Un site d'hameçonnage capture simultanément le mot de passe et le code OTP, et les restitue en temps réel. • Un échange de carte SIM donne à l'attaquant le contrôle du numéro de téléphone de l'employé et de tous les codes de vérification par SMS. |
✔ Que faire • Pour la messagerie électronique, les systèmes financiers et l'accès administrateur : passer de l'authentification multifacteurs (MFA) via notifications push ou SMS aux clés matérielles FIDO2 ou aux clés d'accès résistantes au phishing. • Formez les employés à signaler immédiatement les demandes d’authentification multifacteurs (MFA) inattendues ; n’acceptez jamais une demande que vous n’avez pas initiée. • Configurez les systèmes de connexion pour qu'ils émettent des alertes sur les schémas de connexion inhabituels, que l'authentification multifacteurs (MFA) réussisse ou non. |
Sources : Analyse DBIR 2025 de Verizon · Analyse DBIR 2025 de Beyond Identity · Analyse DBIR 2025 de Descope
8. Appareils personnels Bye-by-Doe (BYOD)
Le rapport DBIR 2025 de Verizon a révélé que 46 % des appareils compromis par des voleurs de données et contenant des identifiants de connexion d'entreprise n'étaient pas gérés : il s'agissait d'ordinateurs portables personnels, d'ordinateurs de bureau et de téléphones portables utilisés pour accéder aux plateformes professionnelles.
Un appareil personnel non enregistré auprès d'un service de gestion des appareils mobiles (MDM) est dépourvu de politiques de sécurité, de détection des terminaux, de chiffrement obligatoire et d'effacement à distance. S'il est infecté par un logiciel malveillant voleur d'informations (via un courriel frauduleux, une extension de navigateur ou un téléchargement illégitime), tous les mots de passe et jetons de session enregistrés sont extraits. Cela inclut les identifiants de connexion à Microsoft 365, Google Workspace, les plateformes bancaires et les systèmes CRM.
Une étude VikingCloud de 2025 a révélé que 74 % des dirigeants de petites entreprises gèrent eux-mêmes la sécurité de leurs systèmes ou font appel à une personne sans formation spécifique. Dans de nombreuses petites entreprises, personne n'est chargé de définir ni d'appliquer les normes de sécurité des terminaux.
Comment cela se traduit-il en pratique ? • L’ordinateur portable personnel d’un employé est infecté par une extension de navigateur malveillante installée à son domicile. • Vos identifiants Microsoft 365 sont extraits et utilisés pour accéder à votre messagerie professionnelle en quelques heures. • Comme l'appareil n'a jamais été enregistré dans le système MDM, il n'y a aucune visibilité sur la faille de sécurité. |
✔ Que faire • Définir une politique BYOD qui spécifie quelles plateformes sont accessibles depuis des appareils personnels. • Exiger des contrôles de conformité des appareils avant d'accorder l'accès aux systèmes sensibles. • Mettre en œuvre l'authentification multifacteurs (MFA) et configurer les délais d'expiration de session sur toutes les plateformes cloud. • Pour les environnements à haut risque : mettre en œuvre un accès réseau zéro confiance qui valide l’état du périphérique lors de la connexion. |
Sources : Rapport DBIR 2025 de Verizon ; Étude du paysage des cybermenaces de VikingCloud en 2025
9. Usurpation d'identité vocale, deepfakes et intelligence artificielle
En 2025, 30 % des entreprises ont été touchées par le vishing (hameçonnage vocal) , soit une augmentation de 15 % par rapport à l'année précédente. Le clonage vocal par intelligence artificielle atteint désormais une précision de 98 % à partir d'un échantillon audio de trois minutes. La technologie des deepfakes vidéo est suffisamment avancée pour permettre l'usurpation d'identité en temps réel lors d'appels vidéo en direct.
Une étude de SensCy de 2025 a documenté une augmentation spectaculaire des fichiers deepfake, passant de 500 000 en 2023 à huit millions prévus d’ici la fin de 2025. Un employé du département financier d’une entreprise de Hong Kong a transféré 25 millions de dollars après un appel vidéo au cours duquel tous les participants, y compris le prétendu directeur financier, étaient des deepfakes générés par l’IA.
Pour les petites entreprises, le risque concret est plus simple : un appel d’une personne ayant la même voix que leur PDG, demandant un virement bancaire urgent. L’oreille de leurs employés n’est plus un moyen d’authentification fiable.
Comment cela se traduit-il en pratique ? • Un appel d'une personne dont la voix ressemble trait pour trait à celle de votre PDG, demandant au service financier de traiter un paiement urgent. • Un appel vidéo avec votre « comptable » vous demandant de confirmer vos coordonnées bancaires avant un audit. • Un SMS provenant du numéro réel du fournisseur (téléphone compromis) contenant un lien vers les conditions de facturation mises à jour. |
✔ Que faire • Définir un mot-clé verbal pour les demandes financières importantes, qui devra être utilisé quel que soit l'interlocuteur. • Former les employés à savoir qu'un cadre légitime ne s'opposera pas à un appel de vérification. • Élargir la formation en matière d'hameçonnage pour inclure les scénarios d'hameçonnage vocal et de deepfake, et pas seulement les courriels. • Mettre en œuvre un processus de confirmation hors bande pour tout transfert dépassant un seuil défini. |
Sources : Rapport SensCy sur les menaces de cybersécurité 2025 ; Rapport KnowBe4 sur les menaces et les tendances en matière de phishing 2025
10. Erreur humaine et risque interne
Le rapport DBIR 2025 de Verizon révèle qu'environ 60 % des violations de données confirmées sont dues à une action humaine : un clic malveillant, un appel d'hameçonnage ou la transmission erronée de données sensibles. Le Forum économique mondial estime quant à lui que 95 % des violations sont imputables à une erreur humaine.
Il ne s'agit pas d'une accusation portée contre les employés. Cela reflète le fait que les attaquants conçoivent leurs méthodes spécifiquement pour exploiter les biais cognitifs humains et que les contrôles techniques ne peuvent pas éliminer toutes les failles.
Pour les petites entreprises, le problème est aggravé par des permissions d'accès excessives. Lorsque tous les employés ont accès à tous les dossiers et bases de données pour simplifier la configuration, un seul compte compromis peut tout accéder. Le principe du moindre privilège – qui n'accorde aux employés l'accès qu'aux ressources nécessaires à leur fonction – est l'un des contrôles les plus efficaces, et pourtant l'un des moins utilisés.
Comment cela se traduit-il en pratique ? • Un fichier de données client a été envoyé par courriel à une adresse externe incorrecte, ce qui a entraîné l'obligation de signaler la violation de sécurité. • Le compte d'un ancien employé était toujours actif deux semaines après sa démission et était utilisé pour accéder aux fichiers de l'entreprise. • Un mot de passe d'administrateur partagé, qui n'a jamais été modifié, utilisé par un ancien sous-traitant pour accéder à un système cloud depuis l'étranger. |
✔ Que faire • Mettre en place une liste de contrôle pour la résiliation des comptes utilisateurs : désactivation immédiate du compte et révocation de l’accès sur toutes les plateformes. • Vérifiez régulièrement les autorisations. Supprimez les accès qui ne sont plus nécessaires. • Dispenser une formation de sensibilisation à la sécurité au moins une fois par an, avec des séances de rappel spécifiques suite aux incidents. • Enregistrer et recevoir des alertes concernant les schémas d'accès anormaux : heures inhabituelles, volumes de données inhabituels, emplacements inhabituels. |
Sources : Verizon DBIR 2025 ; Forum économique mondial : Perspectives mondiales de la cybersécurité 2025 ; BD Emerson 2025
Le coût de l'inaction
Aucune des attaques mentionnées n'est exotique. Aucune ne nécessite de ressources étatiques. Leur succès repose sur des défaillances opérationnelles parfaitement corrigibles : identifiants réutilisés sur différentes plateformes, mises à jour retardées de plusieurs mois, employés n'ayant jamais vu d'e-mail d'hameçonnage généré par IA, fournisseurs disposant d'un accès excessif et anciens employés possédant des comptes actifs.
Le rapport d'IBM intitulé « Coût d'une violation de données 2025 » a révélé que les entreprises ayant intégré l'IA et l'automatisation à leurs opérations de sécurité ont économisé en moyenne 2,2 millions de dollars par violation. VikingCloud a constaté que les temps d'arrêt causés par une cyberattaque coûtent aux PME environ 53 000 dollars par heure. Le coût des mesures de prévention est presque toujours inférieur au coût de la violation elle-même.
Le problème est clair. Pour la plupart des petites entreprises, la question n'est pas de savoir si elles peuvent se permettre d'investir dans la sécurité, mais si elles peuvent se permettre de ne pas le faire.
Guide rapide : Les 10 vecteurs d’attaque
vecteur d'attaque | Statistiques clés | Contrôle primaire |
1. Vol d'identité (avec l'aide de l'IA) | 193 000 plaintes, FBI IC3 2024 | Simulations d'hameçonnage ; DMARC/SPF/DKIM |
2. Identifiants volés | 22 % des infractions ; DBIR 2025 | Authentification multifactorielle ; surveillance des identifiants ; gestionnaire de mots de passe |
3. Ransomware | 88 % des violations de données proviennent des PME ; DBIR 2025 | Sauvegardes hors ligne ; segmentation du réseau ; application de correctifs |
4. Engagement relatif aux courriels professionnels | Pertes de 2,9 milliards de dollars en 2023 ; FBI IC3 | Vérification verbale ; authentification multifactorielle par courriel ; authentification à deux facteurs |
5. Vulnérabilités non corrigées | Résultat d'exploitation en hausse de 34 % sur un an ; DBIR 2025 | Inventaire des actifs ; calendrier des correctifs ; mise hors service des systèmes existants |
6. Chaîne d'approvisionnement / Tiers | Les infractions commises par des tiers ont doublé ; DBIR 2025 | Évaluation des fournisseurs ; limitation des autorisations ; clauses de notification |
7. Contournement de l'authentification multifacteur | Bombardement immédiat dans 14 % des incidents. | Clés d'accès FIDO2 pour les comptes à haut risque |
8. Appareils personnels non gérés (BYOD) | 46 % de l'exposition aux certifications ; DBIR 2025 | Politique MDM ; contrôles de conformité ; confiance zéro |
9. Deepfakes et vishing | Vishing : 30 % des organisations ; 2025 | Mots-clés ; vérification hors bande |
10. Erreur humaine / Risque interne | 60 % des infractions ; DBIR 2025 | Processus de séparation ; traitement préférentiel ; formation de sensibilisation |
Foire aux questions
Quel sera le moyen le plus courant pour les petites entreprises de subir des cyberattaques en 2026 ?
D'après le rapport DBIR 2025 de Verizon, le vol d'identifiants demeure le principal vecteur d'accès initial, présent dans 22 % des violations de données confirmées. Le phishing est le type d'attaque le plus fréquent en termes de volume.
Combien coûte une cyberattaque à une petite entreprise ?
Le rapport d'IBM intitulé « Coût d'une violation de données 2025 » estime le coût moyen mondial d'une violation de données à 4,88 millions de dollars. Pour les petites et moyennes entreprises (PME), une étude de VikingCloud évalue le coût d'une interruption de service à environ 53 000 dollars par heure. L'étude 2025 de Total Assure révèle une perte moyenne par violation d'environ 120 000 dollars pour les PME.
L’authentification multifacteurs protège-t-elle contre toutes les attaques ?
L’authentification multifacteurs (AMF) réduit considérablement les risques, mais ne constitue plus une solution infaillible. Le rapport DBIR 2025 de Verizon a mis en évidence une recrudescence des techniques de contournement de l’AMF, notamment le spamming (dans 14 % des incidents), les attaques de type « homme du milieu » et l’échange de carte SIM. Pour les comptes à haut risque, l’utilisation de clés d’accès FIDO2 résistantes au phishing est recommandée, en remplacement des notifications push ou des codes SMS.
Les petites entreprises sont-elles réellement une cible pour les pirates informatiques ?
Oui. Le rapport DBIR 2025 de Verizon a révélé que 88 % des violations de données dans les petites et moyennes entreprises (PME) impliquaient des rançongiciels, et l'étude 2025 de KnowBe4 a constaté que 80 % des attaques de phishing pilotées par l'IA ciblent les PME plutôt que les grandes entreprises. Les petites entreprises sont des cibles privilégiées précisément parce qu'elles ont souvent des défenses plus faibles.
Quel est le contrôle de sécurité le plus important pour une petite entreprise ?
L'authentification multifacteurs sur les plateformes de messagerie et financières permet de prévenir la grande majorité des attaques par usurpation d'identité et est généralement gratuite. Pour optimiser votre retour sur investissement en matière de sécurité, combinez-la avec un programme de simulation d'hameçonnage et une procédure formelle de désactivation des comptes utilisateurs.
À propos de ce document
Préparé par Armour Cybersecurity ( armourcyber.io ) à titre informatif et de sensibilisation. Toutes les statistiques proviennent de sources primaires publiées en 2025 ou 2026 : Verizon 2025 DBIR, FBI IC3 2024 Annual Report (publié en mai 2025), IBM Cost of a Data Breach 2025, Sophos State of Ransomware 2025, KnowBe4 2025 Phishing Trends Threat Report, Kaseya 2025 Email Security Report, VikingCloud 2025 Cyber Threat Landscape Study, AFP 2025 Fraud and Control Survey, et autres sources citées dans chaque section. Pour une utilisation officielle, il est recommandé de vérifier les statistiques dans les rapports originaux. Armour Cybersecurity ne garantit pas l’exactitude des données tierces.
armorcyber.io · © Armor Cybersecurity 2026
Commentaires