Face à la hausse des cyberattaques, les PME françaises prennent conscience que le risque est réel. Mais entre ressources limitées, absence d’équipe dédiée et complexité des offres du marché, beaucoup peinent à structurer une réponse adaptée.
Des enjeux au cœur de l’intervention de Carole Sénéchal, Global Strategy Lead – SMB Go-To-Market Cybersecurity chez Microsoft, lors de Cyber Show Paris 2026.
Entretien pour L’observatoire de la tech.
Comment les PME abordent-elles aujourd’hui le risque cyber ?
Carole Sénéchal : Les PME prennent conscience du risque. La cybersécurité n’est plus perçue uniquement comme un sujet technique, et les chiffres les prouvent : aujourd’hui, 70 % des dirigeants considèrent que c’est un sujet qui relève du COMEX. Cela montre que la question est désormais stratégique.
Et si elle l’est, c’est tout simplement parce que les PME sont plus exposées que jamais. La hausse des ransomwares sur cette typologie d’entreprise est spectaculaire. Et quand on sait que le coût moyen d’une cyberattaque est proche de 80 000 euros, cela change la perception du risque.
Pourtant, toutes les PME ne disposent pas des ressources nécessaires…
En effet, environ 50 % des PME ne disposent pas de direction IT ou cyber dédiée. Cela crée un décalage entre la prise de conscience et la capacité à mettre en œuvre des dispositifs robustes.
« L’absence d’équipe dédiée n’empêche pas d’agir »
Ne pas disposer d’équipe dédiée n’est cependant pas nécessairement bloquant. Beaucoup de PME externalisent leur cybersécurité auprès de prestataires IT capables d’assurer la gestion opérationnelle et son suivi dans la durée. Des MSP (pour Managed Services Providers, ou fournisseurs de services managés), ou plus précisément des MSSP (lorsqu’ils sont spécialisés dans la cybersécurité). Ces acteurs sont confrontés en continu à des situations réelles d’attaque, dans différents secteurs, ce qui leur confère une vision très large et plus concrète des risques que celle qu’une PME non accompagnée.
Que conseillez-vous aux dirigeants de PME qui se questionnent sur le sujet de leur cybersécurité ?
La première étape que je préconise est toujours l’assessment, établir un diagnostic précis de la situation. Il s’agit de comprendre où l’entreprise en est réellement en matière de cybersécurité : son niveau de maturité, son exposition aux risques et ses priorités d’action.
Cet état des lieux permet d’identifier les points solides et les zones de vulnérabilité. Il donne aussi une base factuelle pour arbitrer les décisions au niveau dirigeant. Sans cette analyse initiale, les investissements peuvent être mal orientés, ou répondre à une perception du risque plutôt qu’à la réalité de l’exposition.
Comment transformer ensuite ce constat en dispositif opérationnel ?
Le dirigeant se retrouve parfois face à une offre très large. Les technologies sont nombreuses, les promesses parfois difficiles à comparer, et il n’est pas toujours simple de faire le tri entre les solutions. Pour une PME, cette complexité peut devenir un frein à la décision.
A mon sens, les PME ont tout à gagner à se tourner vers des solutions packagées, construites spécifiquement pour répondre à leurs besoins et usages. Ces solutions, portées par des prestataires IT locaux ou nationaux, s’appuient généralement sur un modèle économique lisible. Le modèle par abonnement, souvent par utilisateur, permet de maîtriser le budget et d’éviter des investissements initiaux trop lourds. Le dirigeant dispose alors d’un dispositif cohérent et opérationnel, sans multiplier les briques techniques.
Quels sont les éléments à prendre en compte à ce stade ?
L’intelligence matricielle. Aujourd’hui, 70 % des entreprises utilisent déjà l’IA et 90 % envisagent d’intégrer un agent IA dans les douze prochains mois pour améliorer un processus métier. Les dirigeants entendent parler d’IA générative et d’agents, et ils veulent accélérer.
Mais ils craignent de ne pas maîtriser le sujet. Le Shadow AI (l’utilisation par des employés ou des départements, d’outils et d’applications d’IA sans l’approbation ou la supervision de l’organisation, ndlr) représente un risque réel si des collaborateurs utilisent des outils non validés. Cela peut exposer des données sensibles et créer des failles de conformité.
Comment encadrer l’adoption de l’IA sans freiner l’innovation ?
Il faut avant tout structurer sa gouvernance. Cela passe par une charte d’usage de l’IA, par la formation des collaborateurs et par des politiques d’accès adaptées. L’IA peut générer des gains de productivité significatifs – certains dirigeants estiment gagner environ six heures par semaine – mais ces usages doivent être encadrés. L’objectif est d’être plus compétitif et plus résilient face aux cyberattaques, tout en évitant de créer de nouvelles vulnérabilités internes.
C’est un sujet dont vous avez discuté avec les décideurs cyber et les dirigeants présents sur Cyber Show Paris ?
Oui, sur cette édition 2026, c’est le sujet qui a le plus émergé, on ne peut plus dissocier l’IA et la cybersécurité. Cyber Show est un évènement auquel je crois beaucoup : il existait déjà de nombreux salons consacrés à la cybersécurité, mais ils étaient majoritairement orientés vers les très grandes entreprises. Cyber Show Paris s’adresse réellement aux PME et aux ETI. C’est un type de rendez-vous qui a longtemps manqué en France.
