Ransomwares 2026 : pourquoi 74 % des PME françaises restent sous le seuil de sécurité de l'ANSSI

En bref. Les cyberattaques visant les PME françaises ont progressé d'environ 38 % entre 2024 et 2026, et près d'une victime de rançongiciel sur deux est une TPE, PME ou ETI. Pourtant, 74 % des PME resteraient sous le niveau de sécurité « Essentiel » recommandé par l'ANSSI. Décryptage d'un décalage qui coûte cher, et des leviers concrets pour le combler.

+38 % d'attaques contre les PME : l'état des lieux 2026

Le constat est partagé par l'écosystème de la cybersécurité française. En 2025, l'ANSSI a enregistré une hausse d'environ 30 % des incidents touchant les PME et ETI, et la tendance s'est prolongée en 2026 avec une augmentation estimée à 38 % des attaques sur deux ans. Surtout, la répartition des victimes a changé de visage : 48 % des organisations touchées par un rançongiciel en France sont des TPE, PME ou ETI. Le rançongiciel — ou ransomware — reste l'arme la plus rentable pour les attaquants. Le principe n'a pas changé : un logiciel chiffre les fichiers de l'entreprise, puis exige une rançon pour fournir la clé de déchiffrement, souvent doublée d'une menace de divulgation des données volées. Ce qui a changé, c'est l'industrialisation : des groupes structurés louent leurs outils à des affiliés, abaissant le niveau de compétence requis pour frapper.

Akira, RansomHub, Qilin : qui cible les PME françaises

Cinq familles de rançongiciels concentrent l'essentiel des attaques contre les entreprises françaises en 2025-2026. Akira s'est spécialisé dans les PME et ETI, exploitant des accès VPN non mis à jour. RansomHub et DragonForce opèrent sur un modèle d'affiliation à grande échelle. Qilin cible particulièrement la santé et les collectivités. Medusa complète ce paysage. Le point commun de ces groupes n'est pas une prouesse technique, mais l'exploitation de failles connues et de négligences ordinaires : un équipement réseau non corrigé, un mot de passe réutilisé, l'absence de double authentification. Autrement dit, des portes que la plupart des PME pourraient fermer sans investissement majeur.

Pourquoi 74 % des PME restent sous le seuil « Essentiel »

Le niveau « Essentiel » défini par l'ANSSI rassemble un socle de mesures de bon sens : sauvegardes régulières et déconnectées, mises à jour systématiques, double authentification, sensibilisation des équipes, cloisonnement des accès. Que 74 % des PME restent en deçà ne tient pas à un manque d'information, mais à trois obstacles récurrents. D'abord, le sentiment de ne pas être une cible : « nous sommes trop petits pour intéresser des pirates ». Or l'automatisation des attaques rend la taille indifférente — les scanners balaient Internet sans distinction. Ensuite, l'absence de compétence interne dédiée : dans une structure de vingt salariés, la sécurité informatique n'a souvent aucun propriétaire désigné. Enfin, la perception d'un coût élevé, alors que les mesures les plus efficaces sont gratuites ou peu coûteuses. Pour lever ces obstacles, l'ANSSI a renforcé en 2026 ses dispositifs à destination des petites structures, avec des alertes en temps réel et des ressources gratuites publiées sur cyber.gouv.fr. La plateforme cybermalveillance.gouv.fr oriente par ailleurs les victimes vers des prestataires de proximité.

CNIL et NIS2 : le double compteur réglementaire

Au-delà du risque opérationnel, une cyberattaque déclenche des obligations légales. Lorsqu'elle touche des données personnelles, l'entreprise doit notifier la CNIL dans les 72 heures suivant la prise de connaissance de la violation. À cela s'ajoute la directive européenne NIS2, qui élargit le périmètre des entités soumises à des exigences de cybersécurité et fait remonter la responsabilité jusqu'aux dirigeants. Pour une PME des Hauts-de-France, le calcul devient difficile à ignorer : le coût d'un socle « Essentiel » se compte en heures de travail et en quelques outils, quand celui d'un rançongiciel se mesure en jours d'arrêt, en pertes de données et en sanctions potentielles. L'écart de 74 % n'est pas une fatalité technique — c'est une décision de priorité qui se prend en comité de direction.

Questions fréquentes

Mon entreprise est petite : suis-je vraiment une cible ? Oui. La majorité des attaques sont automatisées et ne visent personne en particulier : elles exploitent des failles partout où elles les trouvent. La petite taille n'offre aucune protection. Quelles sont les premières mesures à mettre en place ? Des sauvegardes régulières et déconnectées du réseau, les mises à jour systématiques, la double authentification sur tous les accès sensibles et la sensibilisation des équipes au hameçonnage. Que faire en cas d'attaque par rançongiciel ? Isoler les machines touchées, ne pas payer la rançon, conserver les preuves, déposer plainte et se faire accompagner via cybermalveillance.gouv.fr. Si des données personnelles sont concernées, notifier la CNIL sous 72 heures. Faut-il payer la rançon ? Les autorités le déconseillent fermement : le paiement ne garantit pas la récupération des données, finance l'écosystème criminel et désigne l'entreprise comme cible solvable pour de futures attaques. Où trouver de l'aide gratuite en Hauts-de-France ? Les ressources de l'ANSSI sur cyber.gouv.fr, la plateforme cybermalveillance.gouv.fr et les diagnostics France Num constituent un point de départ accessible et sans frais.

+38 % d'attaques contre les PME : l'état des lieux 2026

Akira, RansomHub, Qilin : qui cible les PME françaises

Pourquoi 74 % des PME restent sous le seuil « Essentiel »

CNIL et NIS2 : le double compteur réglementaire

Questions fréquentes

À lire aussi

Gouverner l'IA agentique dans une PME ou une ETI des Hauts-de-France en 2026 : le guide complet

IA agentique : 40 % des applications d'entreprise intégreront des agents d'ici fin 2026 (Gartner) — ce que les PME des Hauts-de-France doivent anticiper

Design Thinking en pratique : guide complet pour s'assurer de résoudre le bon problème quand on lance une startup en Hauts-de-France