En effet, 57 % d’entre elles ont été victimes d’au moins une attaque au cours des 12 derniers mois. Ce chiffre est d’autant plus préoccupant que ces entreprises représentent 99 % du tissu économique français et génèrent plus de 35 % du chiffre d’affaires national, selon l’Insee.

Une menace qui s’intensifie avec la taille de l’entreprise

Le rapport révèle que plus une entreprise est grande, plus elle est ciblée. Celles dont le chiffre d’affaires dépasse 10 millions de dollars subissent en moyenne six attaques par an, contre quatre pour les plus petites. Un tiers des entreprises touchées ont subi une perte financière mettant en péril leur activité. Les ransomwares restent une menace majeure : 26 % des TPE-PME ont été ciblées cette année, mais seules 55 % de celles ayant payé une rançon ont récupéré tout ou partie de leurs données.

Des attaques répétées et de plus en plus complexes

Si 42 % des TPE-PME françaises n’ont signalé aucune attaque cette année, celles qui sont touchées le sont souvent à plusieurs reprises. 53 % ont subi entre une et dix attaques. Payer une rançon ne garantit pas la résolution du problème : dans 31 % des cas, une somme supplémentaire est exigée, et 27 % des entreprises subissent une nouvelle attaque.

La France se distingue par un taux de paiement élevé en cas de cyberattaque : seules 12 % des entreprises refusent de payer pour récupérer leurs données, un taux inférieur à celui observé dans plusieurs pays européens. Pourtant, les résultats ne sont pas meilleurs, sauf au Portugal, qui affiche un taux de récupération supérieur.

Une vigilance accrue mais un équipement encore insuffisant

Malgré une vigilance croissante — 76 % des TPE-PME réalisent des tests de vulnérabilité mensuels et 94 % au moins une fois par trimestre — les entreprises restent vulnérables. Le sous-équipement technique et le manque de contrôle des partenaires aggravent les risques.

Comme le souligne Nicolas Kaddeche, Directeur Technique et de la Distribution directe chez Hiscox : « Payer la rançon ne permet malheureusement pas toujours de résoudre le problème. Nous conseillons nos assurés au mieux sur la stratégie à adopter en fonction de notre connaissance des procédés des hackers et des possibilités de restauration du système d’information. »

Des impacts qui dépassent les pertes financières

Les conséquences d’une cyberattaque ne se limitent pas aux pertes techniques. 36 % des entreprises ont subi une amende significative, 32 % ont vu leurs coûts de notification client augmenter, et 31 % ont constaté une baisse de leurs indicateurs commerciaux. Pour 73 % des répondants français, il devrait être obligatoire de divulguer les montants versés aux cybercriminels.

L’intelligence artificielle : entre menace et opportunité

L’IA est perçue comme un double enjeu. 65 % des TPE-PME la considèrent comme un atout, tandis que 29 % la voient comme une vulnérabilité. Les principales menaces identifiées sont les attaques d’ingénierie sociale, les logiciels malveillants et le phishing, ainsi que la prise de contrôle des données.

Victorine Bailleul, Responsable Technique Cyber chez Hiscox, précise : « L’IA accroît la vulnérabilité des organisations qui ne disposent pas d’une expertise dédiée. Elle peut cependant être mise au service du renforcement de la cybersécurité. Nos polices couvrent les sinistres liés à l’utilisation d’IA, y compris lorsqu’elles sont elles-mêmes piratées. »

Une cyber-résilience en progression

La majorité des TPE-PME françaises (85 %) ont renforcé leur cyber-résilience au cours des 12 derniers mois. 72 % mettent à jour les formations en cybersécurité, 63 % recrutent du personnel dédié, et 80 % forment spécifiquement les collaborateurs en télétravail. 98 % prévoient d’augmenter leurs investissements en cybersécurité dans l’année à venir.

Une assurance cyber encore trop peu répandue

Malgré les risques, 39 % des entreprises françaises ne disposent pas de police d’assurance cyber. Parmi elles, une sur trois envisage d’y remédier dans l’année.