On imagine souvent les rançongiciels comme un problème de grandes entreprises, avec des équipes IT dédiées et des systèmes complexes à défendre. Les chiffres 2026 racontent une tout autre histoire : 48 % des victimes de rançongiciels en France sont des TPE, PME ou ETI — la catégorie la plus touchée, devant les collectivités territoriales et les établissements de santé. Et les conséquences sont bien plus graves pour une petite structure que pour un grand groupe.

Des chiffres qui devraient inquiéter toutes les TPE

Les données récentes de l'ANSSI et du ministère de l'Intérieur dessinent un tableau préoccupant :

  • 74 % des PME françaises se situent en dessous du seuil « Essentiel » défini par l'ANSSI — le niveau de protection jugé strictement indispensable
  • 1 347 cyberattaques revendiquées ont été enregistrées contre la France en 2025, soit +27 % en un an
  • 453 200 atteintes numériques recensées en 2025, sur une courbe qui progresse sans interruption depuis 2020
  • Le coût moyen d'une cyberattaque pour une TPE ou PME s'élève à 466 000 € — entre 5 et 10 % du chiffre d'affaires d'une PME française moyenne
  • 55 % des TPE victimes d'une cyberattaque déposent le bilan dans les 18 mois qui suivent

Sources : chiffres ANSSI 2026 sur le tissu français, rapport du ministère de l'Intérieur

Ce dernier chiffre est le plus important : pour une petite entreprise, une cyberattaque n'est pas juste un incident technique à corriger. C'est souvent une menace existentielle.

Pourquoi les TPE sont des cibles privilégiées

Ce n'est pas un hasard statistique. Les attaquants ciblent les TPE précisément parce qu'elles cumulent plusieurs faiblesses structurelles :

  • Peu ou pas de sauvegardes testées : beaucoup de petites structures sauvegardent leurs données, mais ne vérifient jamais qu'elles sont réellement restaurables
  • Des accès trop larges : un seul mot de passe partagé, réutilisé ailleurs, sans double authentification
  • Des logiciels non mis à jour : CMS, plugins, extensions — chaque brique non maintenue est une porte d'entrée potentielle
  • Aucune ligne de défense après le premier accès : une fois entré, l'attaquant circule librement faute de segmentation

C'est exactement le même raisonnement que nous développons à propos des faux sites et du phishing : la sécurité d'une TPE ne se joue pas sur un pare-feu de dernière génération, mais sur une série de bonnes pratiques simples, appliquées avec constance.

La règle 3-2-1 pour les sauvegardes

C'est la mesure la plus rentable, et la plus souvent négligée. La règle 3-2-1 :

  • 3 copies de vos données au total (l'original + 2 copies)
  • 2 supports différents (par exemple le serveur + un espace de stockage externe)
  • 1 copie hors ligne ou hors site, inaccessible depuis le réseau principal

Ce dernier point est celui qui protège réellement contre un rançongiciel : si vos sauvegardes sont accessibles depuis le même réseau que vos données de production, elles peuvent être chiffrées elles aussi. Une copie véritablement isolée est ce qui permet de restaurer sans payer de rançon.

Le site lui-même compte : moins de surface, moins de risque

Un point technique souvent sous-estimé : la nature même de votre site web influence directement votre exposition. Un CMS avec panneau d'administration, base de données et dizaines de plugins constitue une surface d'attaque bien plus large qu'un site statique en HTML/CSS, sans point d'entrée dynamique ni identifiants à protéger côté public. C'est l'un des arguments que nous développons dans notre analyse de WordPress en 2026 : chaque plugin est une dépendance de plus à maintenir, et une vulnérabilité potentielle de plus à corriger dans l'urgence.

Un site vitrine construit en code léger, sans panneau d'administration exposé publiquement, réduit mécaniquement le nombre de portes d'entrée disponibles — c'est l'un des principes que nous suivons dans notre approche de la création de site vitrine.

Cinq gestes qui protègent réellement, sans budget grande entreprise

  • Sauvegardes 3-2-1, testées régulièrement (une sauvegarde qu'on n'a jamais restaurée n'est pas une sauvegarde fiable)
  • Mots de passe uniques et gestionnaire dédié pour chaque accès (hébergement, emails, outils d'administration)
  • Double authentification partout où elle est proposée, en particulier sur les emails professionnels et l'hébergement
  • Mises à jour appliquées sans délai, surtout pour les CMS et leurs extensions
  • Accès limités au strict nécessaire : personne ne devrait avoir plus de droits que ce que son rôle exige

Aucune de ces mesures ne nécessite un budget de grande entreprise. Elles demandent simplement d'être appliquées avant l'incident, pas après.

Votre site est-il exposé sans le savoir ?

On fait le point sur vos sauvegardes, vos accès et votre surface d'attaque réelle — puis on corrige ce qui doit l'être, sans jargon ni y passer des heures.

Faire le point sur ma sécurité
← Retour au blog Discutons de votre projet →