Le panorama Cyber ESET 2026 met en évidence de nombreuses évolutions positives. Toutefois, l’absence de mesures élémentaires et une mauvaise compréhension des menaces les plus récentes continuent d’alimenter des failles de sécurité.

Les cyberattaques ne sont plus perçues par les petites et moyennes entreprises comme des événements rares ou comme un risque ne concernant que les grandes organisations. Face à cette nouvelle réalité, les PME affichent leur confiance dans leur capacité de résilience, tout en reconnaissant ne pas suffisamment comprendre le paysage actuel des menaces, notamment celles liées à l’IA.

C’est l’un des principaux enseignements de l’Indice de préparation à la cybersécurité des PME ESET 2026, une étude mondiale menée auprès de 4 400 décideurs de PME (de 25 à 1 000 postes) issus de multiples secteurs d’activité.

La confiance progresse

Si vous êtes une PME, vous avez pratiquement une chance sur deux d’être confrontée à un incident de cybersécurité cette année. Ainsi, 45 % des PME ont subi un incident de cybersécurité au cours des 12 derniers mois, et 14 % en ont connu plusieurs. L’Allemagne (64 %) affiche le taux d’incidents enregistrés (un ou plusieurs) le plus élevé, suivie des États-Unis (54 %) et de l’Espagne (53 %).

Il est également notable que 61 % de l’ensemble des PME interrogées se déclarent sérieusement préoccupées par les cyberattaques, et que 75 % considèrent la cyberguerre et les conflits mondiaux comme de véritables menaces cyber susceptibles d’avoir un impact sur leur activité.

Cependant, 68 % des entreprises ont confiance dans leur niveau de cybersécurité pour prévenir ces attaques et 75 % se déclarent sûres d’elles dans leur résilience face aux cyberattaques, c’est-à-dire dans leur capacité à y faire face.

La confiance en matière de résilience cyber est encore plus élevée parmi les organisations ayant déjà subi plusieurs incidents (81 %), ce qui laisse penser que l’expérience directe des attaques contribue à l’adoption de postures de sécurité plus réalistes et plus matures.

Perception versus réalité

Cependant, l’étude met également en lumière un écart important entre les risques perçus et les risques réels. D’un côté, les discussions au sein des directions et sur les Unes des grands médias sont majoritairement dominées par le sujet des logiciels malveillants alimentés par l’IA ainsi que les autres menaces perçues évoquées dans cette enquête. Toutefois, de l’autre côté, les incidents observés dans le monde réel continuent d’être principalement causés par des problèmes plus familiers, tels que le phishing, les identifiants faibles, les systèmes non corrigés et une surveillance insuffisante.

« Aujourd’hui, l’impact concret de l’IA réside bien moins dans l’apparition de nouveaux logiciels malveillants autonomes que dans sa capacité à permettre des campagnes de phishing toujours plus convaincantes et diffusées à grande échelle. Elle permet notamment d’accélérer le développement de malwares et de faciliter l’exploitation en grand nombre d’outils d’IA accessibles au public ainsi que de déployer ses capacités agentiques », explique Juraj Jánošík, Vice-Président de l’Intelligence Artificielle chez ESET.

Au moment de la rédaction de ce rapport, les ingénieurs d’ESET ont clairement constaté que l’utilisation directe de l’IA pour générer des malwares et des scripts restait limitée et ciblée. « Les attaquants s’appuient de plus en plus sur l’automatisation et sur la création d’une apparence de confiance plutôt que sur de véritables capacités d’IA. Ils exploitent l’IA pour reproduire des présentations et des interactions d’apparence professionnelle, renforçant ainsi davantage l’ingénierie sociale comme l’un des principaux champs de bataille de la cybersécurité », poursuit Juraj Jánošík.

Pourtant, les outils d’IA jouent un double rôle dans ce paysage des menaces en constante évolution. D’un côté, les PME les intègrent rapidement afin d’améliorer leur productivité et leur efficacité, avec un taux d’adoption particulièrement élevé aux États-Unis (81 %). De l’autre, 40 % des entreprises interrogées ne disposent d’aucune politique encadrant l’utilisation de la shadow AI, qui constitue un vecteur d’attaque émergent.

Dans l’ensemble, le phishing demeure la première cause d’incidents de cybersécurité (26 %). Une tendance également confirmée par la télémétrie d’ESET pour l’ensemble de l’année 2025, selon laquelle 34 % de toutes les menaces détectées étaient liées au phishing ou à des activités associées.

La compromission de la chaîne d’approvisionnement, bien qu’elle figure parmi les principales menaces impliquées dans les incidents et qu’elle puisse avoir des conséquences particulièrement dévastatrices en cascade, reste étonnamment peu préoccupante pour les PME, avec seulement 14 % d’entre elles la considérant comme un sujet d’inquiétude majeur.

Des tendances encourageantes

Dans l’ensemble, l’étude met en évidence plusieurs tendances positives, notamment une plus grande satisfaction à l’égard des budgets alloués à la cybersécurité (65 % des répondants se déclarent satisfaits et 15 % plus que satisfaits), ainsi qu’une adoption plus large des niveaux de protection les plus avancés (seulement 11 % indiquent disposer d’une protection essentielle, c’est-à-dire minimale).

La formation et la sensibilisation figurent parmi les points les plus positifs et les plus constants de l’étude. Pas moins de 87 % des PME considèrent que la formation des employés est très importante, voire essentielle, pour leur résilience cyber. Par ailleurs, nombre d’entre elles (72 %) vont désormais au-delà des programmes de base en mettant en place des formations plus structurées, incluant des simulations de phishing et des actions de sensibilisation régulières.

Des délais d’investigation plus courts (41 % des entreprises ont besoin de moins de deux semaines pour mener leurs investigations) et un signalement plus systématique des incidents (seulement 5 % ne les signalent pas) laissent également penser que la stigmatisation associée aux violations de sécurité s’atténue. Les PME semblent davantage disposées à informer leurs assureurs, partenaires, clients et les autorités lorsqu’un incident survient.

L’adoption généralisée de l’assurance cyber (71 %), et plus particulièrement des contrats assortis d’exigences spécifiques (37 %), contribue clairement à soutenir ces évolutions positives.

Des tendances encourageantes

Dans l’ensemble, l’étude met en évidence plusieurs tendances positives, notamment une plus grande satisfaction à l’égard des budgets alloués à la cybersécurité (65 % des répondants se déclarent satisfaits et 15 % plus que satisfaits), ainsi qu’une adoption plus large des niveaux de protection les plus avancés (seulement 11 % indiquent disposer d’une protection essentielle, c’est-à-dire minimale).

La formation et la sensibilisation figurent parmi les points les plus positifs et les plus constants de l’étude. Pas moins de 87 % des PME considèrent que la formation des employés est très importante, voire essentielle, pour leur résilience cyber. Par ailleurs, nombre d’entre elles (72 %) vont désormais au-delà des programmes de base en mettant en place des formations plus structurées, incluant des simulations de phishing et des actions de sensibilisation régulières.

Des délais d’investigation plus courts (41 % des entreprises ont besoin de moins de deux semaines pour mener leurs investigations) et un signalement plus systématique des incidents (seulement 5 % ne les signalent pas) laissent également penser que la stigmatisation associée aux violations de sécurité s’atténue. Les PME semblent davantage disposées à informer leurs assureurs, partenaires, clients et les autorités lorsqu’un incident survient.

L’adoption généralisée de l’assurance cyber (71 %), et plus particulièrement des contrats assortis d’exigences spécifiques (37 %), contribue clairement à soutenir ces évolutions positives.

Vivre avec les cybermenaces

Au final, l’Indice de préparation à la cybersécurité des PME ESET 2026 dresse un tableau nuancé de la cybersécurité des PME. La confiance progresse, non pas parce que les menaces diminuent, mais parce que les entreprises apprennent à vivre avec elles. L’assurance cyber, l’amélioration de la formation, une réponse plus rapide aux incidents et une plus grande transparence ont contribué à renforcer la résilience.

En parallèle, les fondamentaux restent déterminants. La majorité des violations de sécurité trouvent encore leur origine dans des problèmes évitables et, alors que les cyberattaques réussies deviennent la norme, il est plus important que jamais de maîtriser ces bases. Pour les PME évoluant dans un environnement de menaces de plus en plus complexe et influencé par l’IA, la résilience dépendra moins de la réaction aux sujets médiatisés que d’investissements durables et stratégiques dans les personnes, les processus et les pratiques de sécurité éprouvées.

Découvrez le rapport complet international en cliquant ici (en anglais).

Restez connectés, nous vous dévoilerons prochainement des éléments inédits relatifs à ce panorama appliqué à la France. Des éléments concrets pour mieux comprendre le rapport des entreprises à la cybersécurité en 2026.