Les PME, TPE et ETI représentent la première catégorie de victimes des rançongiciels en France, à hauteur de 48 % des cas. Pourtant, la majorité de ces incidents exploitent des vulnérabilités connues, documentées et corrigeables. Ce ne sont pas des attaques sophistiquées qui mettent les PME en difficulté, ce sont des failles basiques laissées ouvertes faute de temps, de budget ou d’attention. Voici les cinq que l’on retrouve le plus souvent.

Faille n°1 : Le phishing, toujours en tête

Le phishing représente 43 % des cyberattaques déclarées par les TPE et PME françaises, contre 24 % l’année précédente. Cette progression s’explique directement par l’IA générative, qui permet de produire des emails frauduleux parfaitement rédigés, personnalisés et sans faute d’orthographe.

La faille n’est pas technique. Elle est humaine. Un collaborateur qui clique sur un lien frauduleux ou entre ses identifiants sur une fausse page suffit à compromettre l’ensemble du réseau. Le facteur humain est impliqué dans environ 60 % des brèches de sécurité, selon le rapport DBIR 2025 de Verizon.

Ce qui change la donne : des simulations de phishing régulières, couplées à une formation courte sur les signaux d’alerte, réduisent significativement le taux de clics sur les tentatives réelles. Ce n’est pas une dépense, c’est une réduction de risque mesurable.

Faille n°2 : Les mises à jour ignorées

Les failles non corrigées représentent 18 % des incidents cyber déclarés par les PME françaises. Chaque mise à jour ignorée est une vulnérabilité connue que les attaquants peuvent exploiter. Les outils d’attaque automatisés scannent en permanence les réseaux à la recherche de versions logicielles obsolètes.

Le problème dans les PME est structurel : les mises à jour sont perçues comme une contrainte qui interrompt la production. Elles sont reportées, puis oubliées. Un poste qui tourne avec une version de Windows non patchée depuis six mois est une porte ouverte.

Ce qui change la donne : automatiser les mises à jour sur l’ensemble du parc, avec une supervision centralisée qui signale les postes non conformes. C’est l’une des premières actions d’un prestataire d’infogérance sérieux.

Faille n°3 : Les mots de passe faibles et réutilisés

Un mot de passe identique sur la messagerie professionnelle, le VPN et l’outil de comptabilité est une vulnérabilité critique. Quand l’un de ces services est compromis, les trois le sont simultanément. Les bases de données de mots de passe volés circulent librement sur le dark web et sont testées automatiquement sur des milliers de services en quelques minutes.

Le contournement de l’authentification multifactorielle mal déployée figure parmi les vecteurs d’attaque les plus exploités en 2026, aux côtés des mauvaises configurations Microsoft 365.

Ce qui change la donne : un gestionnaire de mots de passe pour toute l’équipe et l’activation de l’authentification à deux facteurs sur tous les accès critiques. Ces deux mesures éliminent une part considérable du risque sans coût significatif.

Faille n°4 : Les droits d’accès trop larges

Dans beaucoup de PME, les droits d’accès ont été attribués en urgence lors des onboardings et n’ont jamais été revus. Des collaborateurs qui ont quitté l’entreprise ont encore des comptes actifs. Des prestataires externes ont des accès administrateurs ouverts en permanence. Des salariés ont des droits sur des dossiers qu’ils n’utilisent jamais.

Chaque accès non nécessaire est une surface d’attaque supplémentaire. Si un compte compromis dispose de droits administrateurs, l’attaquant peut se propager à l’ensemble du réseau en quelques minutes.

Ce qui change la donne : un audit des comptes et des droits d’accès une fois par an minimum, avec application du principe de moindre privilège : chaque utilisateur accède uniquement à ce dont il a besoin pour travailler.

Faille n°5 : Les sauvegardes insuffisantes ou non testées

78 % des PME disposent d’une solution de sauvegarde, mais trois quarts d’entre elles investissent moins de 2 000 euros par an en cybersécurité. À ce niveau de budget, les sauvegardes sont souvent partielles, stockées sur le même réseau que les données de production, et jamais testées.

Un ransomware moderne cherche et détruit les sauvegardes accessibles depuis le réseau avant de chiffrer les données. Une sauvegarde connectée en permanence n’offre aucune protection réelle. Et une sauvegarde non testée est une sauvegarde dont on ignore si elle fonctionne, ce que l’on découvre au pire moment.

Ce qui change la donne : appliquer la règle 3-2-1 (trois copies, deux supports différents, une hors site et déconnectée) et tester la restauration au moins une fois par trimestre.

Ce que ces cinq failles ont en commun

Aucune ne nécessite une attaque sophistiquée. Toutes peuvent être corrigées avec des mesures concrètes et un budget raisonnable. 74 % des PME françaises se situent en dessous du niveau de protection minimal défini par l’ANSSI. Ce n’est pas une question de moyens, c’est une question de priorité et d’organisation.

Un audit de sécurité permet d’identifier en quelques heures lesquelles de ces failles sont présentes dans votre environnement et dans quel ordre les traiter.

Ce que Systup met en place pour ses clients

Systup intègre la correction de ces cinq failles dans son offre d’infogérance : supervision des mises à jour, gestion des accès, sauvegardes automatisées et déconnectées, sensibilisation des équipes et détection proactive des comportements anormaux.

Contactez Systup au 01 46 84 15 00 ou à support@systup.com pour faire le point sur votre exposition.