Getronics liste les 5 menaces de cybersécurité majeures pour les PME en 2025

En 2025, les PME sont plus que jamais dans le viseur des cybercriminels. Phishing, ransomware, erreurs internes : les menaces se multiplient, alors que les ressources IT restent limitées. Getronics, acteur mondial en matière de solutions technologiques, dresse la liste des 5 risques les plus critiques et explique comment les anticiper avec efficacité.

Le phishing, toujours roi des attaques

Le phishing constitue encore la principale porte d’entrée pour les cyberattaques contre les PME. Les hackers se font passer pour des dirigeants, des fournisseurs ou des organismes publics afin de leurrer les employés pour récupérer des identifiants, valider des paiements frauduleux ou ouvrir des pièces jointes malveillantes.

La protection repose d’abord sur la formation continue des équipes, notamment via des simulations régulières de phishing. Cette vigilance humaine doit être complétée par des solutions techniques solides, telles que des filtres de messagerie avancés et la mise en place systématique de protocoles d’authentification comme DMARC, SPF et DKIM.

Le ransomware, plus offensifs que jamais

Les ransomwares se perfectionnent : ils ne se contentent plus de chiffrer les données, mais les exfiltrent pour mieux faire pression. En menaçant de les diffuser, les attaquants exposent les PME à des sanctions réglementaires, en particulier dans le cadre du RGPD.

Pour limiter l’impact d’une potentielle attaque, il est essentiel de disposer de sauvegardes automatiques, chiffrées et hors de portée des malwares. La segmentation du réseau freine la propagation, et des outils de détection installés sur les endpoints peuvent bloquer l’attaque à temps. Enfin, chaque collaborateur doit être formé aux bons réflexes : isoler immédiatement les machines compromises et alerter sans délai.

Systèmes obsolètes, vulnérabilités assurées

De nombreuses PME s’appuient encore sur des systèmes d’exploitation ou des logiciels dépassés, véritables portes ouvertes aux cyberattaques. Ces technologies anciennes comportent des failles bien connues, faciles à exploiter par les cybercriminels.

Une gestion rigoureuse des correctifs s’impose donc. Les PME doivent inventorier l’ensemble de leurs actifs informatiques et instaurer un cycle de mises à jour régulier. Lorsqu’une mise à jour immédiate n’est pas envisageable, des solutions temporaires existent : cloisonner les accès, restreindre la connexion à Internet ou isoler ces systèmes du reste de l’infrastructure.

Et à plus long terme, migrer vers des environnements cloud ou des outils modernes, qui permettent des mises à jour de sécurité automatisées et intègrent des outils de conformité et de surveillance, reste la solution la plus sécurisée.

Des contrôles d’accès trop souvent négligés

Il suffit parfois d’un seul compte compromis pour qu’un pirate accède à l’ensemble du système de l’entreprise. L’absence d’authentification multifactorielle, l’utilisation de comptes partagés ou de mots de passe faibles expose gravement les PME, surtout dans un contexte d’essor du télétravail et du cloud.

Il est donc essentiel d’activer l’authentification MFA sur tous les outils critiques (email, VPN, cloud, etc.), puis d’appliquer ensuite le principe du « moindre privilège » : chaque employé doit accéder uniquement aux ressources nécessaires à son activité. Des contrôles réguliers des droits d’accès permettent d’éviter les dérives, tout comme l’adoption du « Zero Trust », qui vérifie chaque accès en fonction du contexte.

Les menaces internes, l’angle mort de la cybersécurité

Qu’elles soient intentionnelles ou accidentelles, les erreurs humaines sont l’une des principales causes de violation de données. Il suffit d’un envoi de fichier à la mauvaise adresse, d’une clé USB non sécurisée ou d’un espace de stockage mal configuré pour déclencher une crise.

Pour prévenir ces risques, des politiques claires doivent encadrer l’utilisation des données sensibles. La sensibilisation des équipes reste clé, à travers des exemples concrets et des cas pratiques. Sur le plan technique, des solutions de surveillance des activités ou de prévention des pertes de données (DLP) peuvent alerter en cas de comportement inhabituel.

« Ces 5 menaces sont largement évitables mais la cybersécurité ne doit plus être cantonnée au service IT : c’est une responsabilité qui engage les dirigeants au même titre que les RH ou la finance. Même des mesures simples peuvent changer la donne : des sauvegardes fiables, la formation des collaborateurs, une gestion rigoureuse des accès. Les PME doivent s’entourer de partenaires de confiance et s’équiper de solutions adaptées, couvrant l’ensemble du cycle de sécurité, de l’évaluation des risques à la réponse aux incidents. La cybersécurité n’est plus une option pour les PME, c’est un investissement vital pour protéger la continuité de leurs activités », explique Stojan Lukic, France Sales Manager chez Getronics.