Les budgets ne suffisent plus, l'exécution fait défaut
Le dernier baromètre d'ESET, réalisé auprès de 500 décideurs cybersécurité entre février et mars 2026, dresse un constat contrasté pour les PME françaises : 80 % estiment disposer d'un budget suffisant ou plus que suffisant pour la cybersécurité, et 42 % envisagent de l'augmenter l'an prochain. Malgré cet effort financier, 44 % des entreprises interrogées ont subi au moins un incident évitable au cours des douze derniers mois.
La situation se révèle encore plus préoccupante pour les structures disposant de 500 à 1 000 endpoints, où la proportion d'incidents atteint 49 %. Autrement dit, l'allocation de moyens ne se traduit pas encore de manière homogène en résilience opérationnelle.
Failles connues, remèdes insuffisants
Les modalités d'intrusion restent classiques : hameçonnage (31 %), vulnérabilités non corrigées (24 %) et mauvaises gestions des accès (20 %) figurent en tête des causes identifiées. Ces vecteurs montrent que nombre d'incidents pourraient être évités par des mesures de base mieux appliquées.
« Les entreprises françaises ne sont plus dans le déni face aux risques. Elles savent que la survenance d’un incident d’origine numérique est fort probable » — Benoit Grunemwald, ESET France
Ce renversement d'attitude rend les arbitrages plus contraignants : il ne s'agit plus seulement de justifier des investissements, mais d'en maximiser l'efficacité. Les répondants pointent la complexité et les difficultés d'intégration (21 %) des solutions déployées, ainsi que la pénurie de compétences (20 %), comme principaux freins à une protection opérationnelle robuste.
Conséquences pour les entreprises, les salariés et les clients
- Pour les entreprises : l'enjeu est d'optimiser les choix technologiques et les processus pour transformer le budget disponible en protection tangible.
- Pour les salariés : la formation et la vigilance restent déterminantes — les premiers maillons peuvent réduire significativement le risque d'hameçonnage.
- Pour les clients : la fréquence des incidents montre que la chaîne de confiance entre fournisseurs et donneurs d'ordre comporte des fragilités qui peuvent affecter la continuité des services.
Chiffres clés
| Indicateur | Valeur |
|---|---|
| Entreprises ayant subi un incident évitable (12 mois) | 44 % |
| Structures 500–1 000 endpoints concernées | 49 % |
| Jugent leur budget cybersécurité suffisant | 80 % |
| Prévoyant d'augmenter le budget | 42 % |
Le baromètre souligne un basculement : la cybersécurité cesse d'être un poste sous-doté pour devenir un chantier d'efficience. Les décideurs disposent désormais de ressources — il leur faut désormais combler le déficit d'exécution : intégration technique, gouvernance des accès, processus de correction des vulnérabilités et renforcement des compétences.
En pratique, les entreprises devront arbitrer entre externalisation (MDR, SOC externalisés), montée en compétence interne et rationalisation des outils. Les pouvoirs publics et les filières professionnelles ont, de leur côté, intérêt à soutenir des dispositifs de formation et des référentiels d'intégration pour aider les PME à transformer les moyens financiers en capacités opérationnelles réelles.