PME suisses 2025 : la cybersécurité recule malgré la menace élevée

Seules 42 % des PME suisses se disent prêtes à une cyberattaque, illustrant une situation paradoxale en 2025 alors que la menace reste constante.

La dernière édition de l’étude « PME Cybersécurité 2025 » révèle une situation paradoxale : alors que la cybercriminalité reste perçue comme un risque majeur, la priorité accordée à la sécurité numérique diminue au sein des petites et moyennes entreprises suisses. Le nombre d’organisations se sentant capables de faire face à une attaque recule nettement, tandis que les investissements se réduisent. L’écart entre menace et préparation se creuse.

La publication de l’étude PME Cybersécurité 2025 met en lumière une tendance déjà observée dans le tissu économique suisse. Alors que les cyberattaques touchent régulièrement des organismes de toutes tailles, les entreprises peinent encore à inscrire la cybersécurité dans la durée. Selon les informations présentées sur le site de l’étude disponible sur cyberstudie.ch, les dirigeants reconnaissent l’importance du sujet, mais ne perçoivent pas toujours la nécessité d’y consacrer des ressources spécifiques. La décision d’agir apparaît souvent lente, diffuse, ou repoussée au profit de sujets jugés plus urgents.

Un sentiment de protection en recul

L’un des enseignements centraux est la baisse de confiance dans la capacité à résister à une attaque. En 2025, seules 42 % des PME se considèrent suffisamment préparées. Un an auparavant, elles étaient encore 55 % à estimer leur protection satisfaisante. En parallèle, la part des entreprises se sentant mal protégées augmente. Cette évolution touche aussi bien les organisations récemment digitalisées que celles disposant d’une infrastructure plus établie.

Le rapport souligne également que la perception du risque reste élevée. Près de neuf entreprises sur dix estiment que la cybercriminalité constitue un problème sérieux. Cependant, cette conscience ne se traduit pas encore en actions concrètes, notamment en matière de gouvernance. Seule une minorité désigne une personne ou une fonction responsable de la sécurité numérique. L’absence d’objectifs clairs ou de pilotage structuré contribue à maintenir une dépendance forte aux prestataires externes.

Les attaques recensées dans l’étude montrent la diversité des vecteurs. Certaines organisations ont subi du chantage, impliquant des tentatives d’extorsion, tandis que d’autres ont transféré des fonds après des e-mails frauduleux. Ces incidents rappellent que les menaces les plus courantes reposent souvent sur l’ingénierie sociale, combinant manipulation et connaissance des processus internes. La prévention passe autant par la technologie que par l’attention portée aux comportements.

La cybersécurité peine à devenir une priorité stratégique

Bien qu’elle soit reconnue comme un enjeu important, la cybersécurité recule dans les priorités de gestion. En 2025, près d’un tiers des PME n’en font plus un sujet prioritaire. Cette tendance est encore plus marquée parmi les organisations utilisant les technologies de manière plus tardive. À l’inverse, celles qualifiées de pionnières ou early followers maintiennent une attention plus soutenue.

Plusieurs explications peuvent être évoquées. Certaines entreprises sous-estiment encore l’impact potentiel d’un incident, perçu comme peu probable ou limité dans ses conséquences. D’autres estiment ne pas disposer du temps ou des moyens financiers nécessaires. Dans certains cas, la responsabilité de la sécurité n’est rattachée à aucune fonction précise, ce qui dilue la capacité à agir.

Les prestataires de services IT interrogés partagent ce constat. S’ils anticipent une progression de la demande en matière de sécurité, ils observent en parallèle un recul de l’investissement immédiat. Seuls 40 % des PME prévoient de renforcer leurs mesures au cours des prochaines années, contre 48 % l’année précédente. L’écart entre besoin perçu et mise en œuvre concrète tend ainsi à se stabiliser, voire à s’accentuer.

Des mesures techniques en place, mais des dispositifs organisationnels insuffisants

Si les outils techniques sont largement adoptés – pare-feu, mises à jour logicielles, sauvegardes – la dimension organisationnelle apparaît nettement moins développée. Seules 30 % des PME disposent d’un concept de sécurité formalisé, d’un plan d’urgence, ou de programmes de formation réguliers. La préparation aux incidents repose donc souvent sur des réflexes individuels et non sur des structures établies.

L’étude souligne l’importance de la résilience, définie comme la capacité à absorber une attaque et à rétablir les opérations. Elle nécessite une combinaison de moyens techniques, de pratiques documentées, et d’un entraînement régulier. Dans les entreprises où la cybersécurité est considérée comme un facteur clé de continuité, ces éléments sont articulés dans un ensemble cohérent.

Les recommandations issues du rapport visent à encourager une prise en compte plus systématique. Elles rappellent que la sensibilisation, l’investissement adapté, et l’intégration de spécialistes peuvent améliorer significativement la posture de sécurité. Elles insistent également sur l’importance de sélectionner des partenaires disposant de certifications reconnues, afin d’assurer un niveau de protection adapté au contexte.

Ces constats doivent pousser les PMEs à repenser la manière dont elles abordent la sécurité numérique. Celle-ci ne concerne pas seulement la technologie, mais l’organisation, la culture et la capacité à anticiper. Le renforcement de la résilience passe autant par la formation que par l’adoption d’outils.