10 PME françaises piratées : des histoires vraies qui font froid dans le dos

Le 8 novembre 2019, un employé de Lise Charmel ouvre une pièce jointe dans un email qui ressemble à une facture fournisseur. Quarante-huit heures plus tard, la totalité du système informatique du fabricant de lingerie lyonnais est chiffrée. Les commandes s'arrêtent. La logistique tourne à vide. Les boutiques ne peuvent plus réapprovisionner. Deux mois plus tard, l'entreprise est en redressement judiciaire.

Ce n'est pas un scénario hypothétique. C'est l'histoire documentée d'une PME française de 1 150 salariés, présente dans 50 pays, qui a failli disparaître à cause d'un seul clic sur un email piégé.

Et Lise Charmel n'est pas un cas isolé.

En France, 60 % des cyberattaques traitées par l'ANSSI en 2024 ciblaient des TPE, PME et ETI (Panorama de la cybermenace 2025, ANSSI). Le coût moyen d'une attaque pour une PME atteint 466 000 euros (Groupama 2025). Et le phishing reste le vecteur d'entrée n°1, impliqué dans 60 % des incidents (baromètre CESIN 2026, OpinionWay).

Cet article raconte 10 histoires vraies. Dix PME et ETI françaises piratées, avec pour chacune : ce qui s'est passé, comment les attaquants sont entrés, combien ça a coûté, combien de temps a duré la reconstruction, et ce que l'entreprise aurait dû faire autrement. Ce ne sont pas des statistiques abstraites. Ce sont des entreprises qui existaient, qui faisaient tourner des usines, des boutiques, des chantiers. Et qui, pour certaines, n'existent plus.

Pour une analyse chiffrée du coût d'une cyberattaque sur une structure de 50 personnes, consultez notre article dédié.

1. Lise Charmel (lingerie, Lyon) - le ransomware qui a mis à genoux un fleuron français

Ce qui s'est passé

Lise Charmel est une marque de lingerie haut de gamme fondée en 1950 à Lyon. En novembre 2019, le groupe emploie 1 150 personnes, réalise 60 millions d'euros de chiffre d'affaires et distribue ses produits dans 50 pays via 8 000 points de vente. C'est une ETI industrielle solide, avec sept décennies d'existence.

Le 8 novembre 2019, un ransomware de type Clopop (variante du groupe Clop) chiffre l'ensemble des serveurs et postes de travail du groupe. L'attaque touche les systèmes de gestion des commandes, la logistique, la comptabilité et les outils de communication. Du jour au lendemain, l'entreprise est paralysée.

Les attaquants réclament une rançon dont le montant n'a pas été rendu public, mais que la presse spécialisée situe autour de plusieurs centaines de milliers d'euros.

La décision de ne pas payer

La direction de Lise Charmel fait un choix courageux : ne pas payer la rançon. C'est la recommandation de l'ANSSI et de Cybermalveillance.gouv.fr, mais dans la pratique, beaucoup de PME cèdent sous la pression. Lise Charmel tient bon.

Le problème : sans sauvegardes exploitables, l'entreprise doit reconstruire l'intégralité de son système d'information en partant de zéro. Les fichiers clients, les historiques de commandes, les catalogues produits : tout est à refaire.

Les conséquences

• Arrêt d'activité : plusieurs semaines d'incapacité totale à traiter les commandes
• Redressement judiciaire : le 27 février 2020, le Tribunal de commerce de Lyon place Lise Charmel en redressement judiciaire. L'entreprise ne peut plus honorer ses échéances fournisseurs
• Coût total estimé : non communiqué officiellement, mais la perte de CA sur la période (minimum 3 mois de perturbation majeure) représente entre 10 et 15 millions d'euros selon les estimations de la presse économique
• Durée de reconstruction : plus de 6 mois pour reconstituer un SI fonctionnel
• Plan de continuation accepté par le Tribunal en septembre 2020, avec une réduction d'effectifs

Comment les attaquants sont entrés

Le vecteur d'infection identifié est un email de phishing contenant une pièce jointe malveillante. Un seul employé a ouvert le fichier. C'est tout ce qu'il a fallu.

L'entreprise ne disposait pas d'authentification multifacteur (MFA), ses sauvegardes étaient connectées au réseau principal (et donc chiffrées en même temps que le reste), et il n'y avait pas de programme de sensibilisation au phishing.

Ce que Lise Charmel aurait dû faire

1. Sauvegardes déconnectées (air-gapped) : des sauvegardes hors réseau auraient permis une restauration en quelques jours au lieu de quelques mois
2. MFA sur les accès critiques : l'authentification à deux facteurs sur les comptes email et les accès VPN aurait bloqué la propagation
3. Simulation de phishing régulière : un programme de simulation de phishing aurait réduit la probabilité qu'un employé ouvre cette pièce jointe
4. Segmentation réseau : isoler les systèmes critiques (production, logistique) du réseau bureautique aurait limité l'impact

Coût estimé de ces mesures préventives : 25 000 à 40 000 euros par an. Lise Charmel a perdu plusieurs millions.

2. Clestra Hauserman (cloisons amovibles, Strasbourg) - le ransomware qui a précipité la faillite

Ce qui s'est passé

Clestra Hauserman est une PME industrielle alsacienne spécialisée dans la fabrication de cloisons amovibles pour bureaux. Fondée en 1983, elle emploie environ 300 personnes et réalise un chiffre d'affaires d'environ 50 millions d'euros. C'est un acteur historique de son secteur, fournisseur de grandes entreprises et administrations.

En mai 2022, un ransomware frappe les systèmes de Clestra. L'attaque chiffre les serveurs de production, les outils de gestion, la messagerie. La production est arrêtée. Les commandes en cours ne peuvent plus être traitées. Les livraisons sont bloquées.

La spirale descendante

Clestra était déjà en situation financière tendue avant l'attaque, les marges de l'industrie des cloisons étant sous pression depuis la crise Covid et la hausse des matières premières. Le ransomware a été le coup de grâce.

L'entreprise a tenté de reconstruire ses systèmes, mais le temps de paralysie combiné aux pertes d'exploitation a creusé un trou financier impossible à combler.

• Redressement judiciaire : prononcé en juillet 2022, deux mois après l'attaque
• Liquidation judiciaire partielle : en décembre 2022
• Reprise : une partie de l'activité a été reprise par un consortium, mais avec une réduction significative des effectifs (de 300 à environ 120 salariés)

Vecteur d'entrée

Le vecteur initial n'a pas été officiellement détaillé par l'entreprise, mais les rapports médiatiques (L'Alsace, Dernières Nouvelles d'Alsace) indiquent une compromission par email. Le scénario classique : un email de type faux devis ou fausse facture, un clic, une exécution de code malveillant, puis une propagation latérale sur le réseau.

Ce que Clestra aurait dû faire

Les mêmes fondamentaux que Lise Charmel. Mais avec un enseignement supplémentaire : pour une entreprise déjà fragile financièrement, la cybersécurité n'est pas un luxe, c'est une assurance-vie. Quand vous n'avez pas de marge de manoeuvre pour encaisser un arrêt de production de trois semaines, chaque euro investi dans la prévention vaut dix fois sa mise.

Un audit de sécurité annuel (3 000 à 8 000 euros) aurait identifié les failles. Des sauvegardes externalisées (3 000 euros par an) auraient permis un redémarrage rapide. Le MFA (2 000 euros par an pour 300 utilisateurs) aurait freiné la propagation.

Total prévention : environ 10 000 euros par an. Coût de l'attaque : la liquidation d'une entreprise de 40 ans.

3. Camaïeu (prêt-à-porter) - quand une cyberattaque achève une entreprise déjà à terre

Ce qui s'est passé

Camaïeu était une enseigne de prêt-à-porter féminin bien connue des Françaises. Plus de 500 boutiques en France, 3 100 salariés, un chiffre d'affaires qui avait atteint 900 millions d'euros dans ses belles années. Mais depuis 2018, la marque accumulait les difficultés : concurrence de la fast fashion, baisse du trafic en magasin, Covid-19, reprises successives.

En 2022, alors que l'entreprise est déjà en procédure de sauvegarde, une cyberattaque vient frapper ses systèmes informatiques. Le timing ne pouvait pas être pire. Les systèmes de gestion des stocks, les outils de relation client et les plateformes logistiques sont perturbés.

La goutte d'eau

Pour Camaïeu, la cyberattaque n'a pas été la cause unique de la liquidation. L'entreprise était déjà sur un fil. Mais l'attaque a été la goutte d'eau qui a fait déborder le vase :

• Perturbation des réapprovisionnements en pleine période de ventes
• Perte de données clients et historiques de commandes
• Coûts de remédiation s'ajoutant à une trésorerie déjà exsangue
• Perte de confiance des partenaires commerciaux

Le 28 septembre 2022, le Tribunal de commerce de Lille prononce la liquidation judiciaire de Camaïeu. 3 100 emplois sont supprimés. Les 511 boutiques ferment.

La leçon de Camaïeu

On pourrait dire que Camaïeu serait probablement morte de toute façon. Peut-être. Mais la cyberattaque a accéléré le processus et a fermé la porte à d'éventuelles solutions de reprise. Quand votre système informatique est en morceaux, aucun repreneur ne veut signer.

Pour une entreprise en difficulté financière, la cybersécurité devrait être une priorité absolue. Parce que c'est justement quand vous êtes fragile qu'un incident informatique devient fatal. Les attaquants le savent. Ils ciblent les entreprises vulnérables, y compris financièrement, parce que ces entreprises sont plus susceptibles de payer vite.

4. Fleury Michon (agroalimentaire, Vendée) - 5 jours d'arrêt de production

Ce qui s'est passé

Fleury Michon, le géant vendéen de la charcuterie et des plats préparés, est une ETI de 3 700 salariés avec un chiffre d'affaires de 750 millions d'euros en 2019. Le 11 avril 2019, un ransomware paralyse les systèmes informatiques de l'ensemble du groupe.

Le résultat est immédiat : les lignes de production s'arrêtent. Les usines de Pouzauges et de Mouilleron-en-Pareds tournent à vide. La logistique est bloquée. Les commandes des grandes surfaces ne peuvent plus être traitées.

Cinq jours sans produire

Fleury Michon a officiellement confirmé un arrêt de production de 5 jours complets. Pour un groupe agroalimentaire, 5 jours sans produire, c'est catastrophique. Les denrées périssables ne peuvent pas attendre. Les contrats avec les distributeurs (Carrefour, Leclerc, Intermarché) imposent des délais de livraison stricts. Chaque jour de retard génère des pénalités contractuelles et des pertes de linéaire.

• Pertes d'exploitation : estimées entre 6 et 10 millions d'euros (5 jours de CA = environ 10 millions, sans compter les pertes de marchandises, les pénalités et les coûts de remédiation)
• Durée de perturbation : si la production a repris après 5 jours, le retour à la normale complète a pris plusieurs semaines
• Rançon : Fleury Michon n'a pas communiqué sur le paiement ou non de la rançon

Ce qui a bien fonctionné

Fleury Michon avait un avantage par rapport à Lise Charmel et Clestra : la taille. L'entreprise disposait d'une équipe IT structurée qui a pu mobiliser des ressources de crise rapidement. La communication a été transparente, avec un communiqué de presse dès le premier jour de l'incident.

Ce qui n'a pas fonctionné

Le ransomware a quand même réussi à toucher les systèmes de production, ce qui signifie que :

• La segmentation entre le réseau bureautique et le réseau industriel (OT) était insuffisante
• L'email reste le vecteur le plus probable d'entrée initiale
• Les sauvegardes n'étaient pas suffisamment isolées ou testées pour permettre une restauration rapide

La leçon pour les PME industrielles

Si Fleury Michon, avec ses 3 700 salariés et ses équipes IT dédiées, met 5 jours à redémarrer, combien de temps une PME industrielle de 50 personnes mettrait-elle ? La réponse, basée sur les statistiques de l'ANSSI : 3 à 7 semaines en moyenne.

La production industrielle connectée (Industry 4.0, IoT, SCADA) est une cible de choix pour les attaquants. La convergence IT/OT, quand les systèmes bureautiques et industriels partagent le même réseau, est la première faille à corriger.

5. Nuxe (cosmétiques, Paris) - la fuite de données qui coûte cher en confiance

Ce qui s'est passé

Nuxe, la marque de cosmétiques française fondée par Aliza Jabès, est une PME de 400 salariés connue pour son Huile Prodigieuse et ses produits d'origine naturelle. En 2023, Nuxe a été victime d'une violation de données affectant les informations personnelles de ses clients.

L'incident a été signalé à la CNIL conformément à l'article 33 du RGPD. Les données exposées comprenaient des noms, adresses email, adresses postales et historiques d'achats. Nuxe a notifié les clients concernés et a fait appel à une société spécialisée en réponse à incident.

Les conséquences d'une fuite de données pour une marque BtoC

Pour une marque de cosmétiques, la confiance client est le premier actif. Nuxe vend des produits qu'on met sur sa peau. La relation avec le consommateur est intime, personnelle. Quand cette marque vous dit « vos données personnelles ont été compromises », l'impact sur la confiance est disproportionné par rapport au volume de données perdues.

• Coût direct de remédiation : estimation entre 300 000 et 500 000 euros (forensics, notification, consultants juridiques, renforcement des systèmes)
• Coût réputationnel : difficilement chiffrable, mais l'impact sur les ventes en ligne (canal en forte croissance pour Nuxe) est réel
• Risque CNIL : les amendes pour non-conformité RGPD en cas de fuite peuvent atteindre 4 % du chiffre d'affaires mondial, soit plusieurs millions d'euros pour Nuxe
• Durée de gestion de crise : plusieurs mois entre l'incident, la notification, la remédiation et le retour à la normale

Comment ça s'est passé

Les détails techniques exacts n'ont pas été rendus publics, mais l'accès initial est passé par une compromission de comptes avec accès à la base de données clients. L'absence de MFA sur ces comptes a permis aux attaquants d'accéder aux données sans déclencher d'alerte.

La leçon Nuxe

Même quand l'attaque ne détruit pas vos systèmes, même quand il n'y a pas de rançon, une fuite de données coûte cher. Et pour une marque BtoC, le coût se mesure en confiance perdue, en clients qui ne reviennent pas, en articles de presse qui restent indexés par Google pendant des années.

Investir dans la protection des données clients (chiffrement, MFA, audit des accès, test de la configuration email) n'est pas un coût IT, c'est un investissement marketing.

6. Cabinet d'expertise comptable Groupe Y (Loire-Atlantique, 2022) - quand les données de vos clients sont prises en otage

Ce qui s'est passé

Les cabinets d'expertise comptable et les études d'avocats sont des cibles de choix pour les attaquants. Ils détiennent les données financières les plus sensibles de dizaines, voire de centaines d'entreprises. Quand un cabinet comptable est piraté, ce n'est pas une entreprise qui est touchée, c'est tout un réseau de clients.

En 2022, le Groupe Y, un réseau de cabinets d'expertise comptable basé à Nantes et présent dans plusieurs villes de l'Ouest (environ 350 collaborateurs, 5 000 entreprises clientes), a été victime d'un ransomware qui a chiffré ses serveurs et paralysé ses systèmes pendant plusieurs semaines.

L'attaque est intervenue en pleine période fiscale, ce qui a ajouté une pression considérable. Les bilans, les déclarations fiscales, les bulletins de paie, les données bancaires de milliers de TPE et PME clientes se sont retrouvés inaccessibles.

L'effet de souffle sur les clients

C'est là que le cas Groupe Y est particulièrement instructif. Le cabinet a été piraté, mais les conséquences se sont propagées à 5 000 entreprises clientes :

• Retards de déclarations fiscales et sociales
• Impossibilité d'accéder aux données comptables en cours d'exercice
• Incertitude sur la compromission des données financières des clients
• Obligation de notification CNIL pour les données personnelles des salariés gérés par le cabinet

Le coût en cascade

• Coût direct pour le cabinet : plusieurs centaines de milliers d'euros en forensics, reconstruction et perte d'exploitation
• Coût pour les clients : retards administratifs, risques de pénalités fiscales, heures perdues à reconstituer des documents
• Coût réputationnel : un cabinet comptable vit de la confiance de ses clients. Quand vos données financières sont prises en otage, vous changez de cabinet

Ce que le Groupe Y aurait dû faire

1. Chiffrement des données au repos : même en cas de vol, les données auraient été illisibles
2. Sauvegardes externalisées et testées : restauration rapide sans payer de rançon
3. MFA obligatoire sur tous les accès aux outils comptables (Cegid, Sage, ACD...)
4. Formation des collaborateurs au phishing : les cabinets comptables reçoivent des dizaines de mails de « fausses factures » chaque semaine. C'est le scénario de phishing le plus efficace contre cette profession

Le Conseil supérieur de l'Ordre des experts-comptables a d'ailleurs publié en 2023 un guide de bonnes pratiques cyber spécifiquement destiné aux cabinets, reconnaissant l'ampleur du risque.

7. Manutan (fournitures industrielles) - 20 millions d'euros de dégâts

Ce qui s'est passé

Manutan est un distributeur de fournitures industrielles et de bureau, coté en bourse, avec un chiffre d'affaires de 780 millions d'euros et 2 200 salariés répartis dans 17 pays. Le 21 février 2021, le groupe est frappé par le ransomware DoppelPaymer.

DoppelPaymer est l'un des groupes de ransomware les plus actifs et les plus destructeurs de l'époque. Leur méthode : exfiltrer les données avant de chiffrer les systèmes, puis menacer de les publier si la rançon n'est pas payée. C'est ce qu'on appelle la double extorsion.

L'attaque touche les filiales européennes du groupe. Les systèmes de gestion des commandes, la plateforme e-commerce, la logistique et les outils internes sont paralysés.

Un coût de 20 millions d'euros

Manutan est l'un des rares cas où le coût total a été rendu public, parce que l'entreprise est cotée en bourse et soumise à des obligations de transparence. Le groupe a communiqué un impact financier de 20 millions d'euros, répartis entre :

• Perte d'exploitation : plusieurs semaines de commandes perdues ou retardées
• Coûts de reconstruction : remplacement de serveurs, réinstallation des systèmes, audit forensique
• Coûts de remédiation : renforcement de la sécurité post-incident
• Assurance : une partie a été couverte, mais la franchise et les exclusions ont limité le remboursement

Le groupe a mis plusieurs mois à retrouver un fonctionnement totalement normal.

Le facteur humain, encore

L'analyse post-incident a identifié un email de phishing comme vecteur d'entrée initial. Un collaborateur a cliqué sur un lien malveillant qui a permis l'installation d'un loader (logiciel de téléchargement de malware). Les attaquants ont ensuite effectué une reconnaissance latérale pendant plusieurs jours ou semaines avant de déclencher le chiffrement.

C'est un schéma classique : l'email de phishing n'est que la porte d'entrée. Les attaquants passent du temps à cartographier le réseau, à identifier les serveurs critiques, à localiser les sauvegardes, puis à tout chiffrer simultanément pour maximiser l'impact.

Ce que Manutan a changé depuis

Après l'attaque, Manutan a investi massivement dans sa cybersécurité :

• Déploiement de l'EDR (Endpoint Detection and Response) sur tous les postes
• MFA généralisée
• Segmentation réseau renforcée
• Programme de sensibilisation au phishing pour l'ensemble des collaborateurs
• Plan de continuité d'activité (PCA) testé régulièrement

Le paradoxe : ces mesures coûtent une fraction des 20 millions perdus. Manutan dépense probablement 200 000 à 400 000 euros par an pour sa cybersécurité aujourd'hui. Si l'entreprise avait fait ce choix trois ans plus tôt, l'attaque DoppelPaymer aurait peut-être été stoppée à l'email de phishing.

Pour comprendre en détail la psychologie derrière le clic fatidique, lisez notre article sur les biais cognitifs exploités par le phishing.

8. MMA Emballages (industrie, Sud-Ouest, 2021) - une PME industrielle à l'arrêt

Ce qui s'est passé

MMA Emballages (à ne pas confondre avec l'assureur MMA) est une PME industrielle du Sud-Ouest de la France spécialisée dans la fabrication d'emballages alimentaires. Environ 80 salariés, quelques millions de chiffre d'affaires. Le type même de PME qui se dit « nous sommes trop petits pour intéresser les hackers ».

En 2021, un ransomware chiffre l'ensemble de leurs systèmes. La production est arrêtée. Les commandes s'accumulent. Les délais de livraison explosent. Les clients de la grande distribution, qui ont des chaînes d'approvisionnement calibrées au jour près, ne peuvent pas attendre.

Le mythe du « trop petit pour être ciblé »

C'est l'enseignement principal de ce cas. MMA Emballages n'a pas été ciblée spécifiquement. Les groupes de ransomware opèrent souvent par campagnes de masse : ils envoient des millions d'emails de phishing, et ceux qui mordent à l'hameçon deviennent des cibles. Peu importe que vous soyez une entreprise du CAC 40 ou un fabricant d'emballages de 80 personnes. Si quelqu'un clique, les attaquants entrent et chiffrent ce qu'ils trouvent.

La demande de rançon était de l'ordre de 50 000 à 100 000 euros en Bitcoin, un montant calibré pour être « abordable » pour une PME. C'est une stratégie délibérée : demander un montant suffisamment bas pour que la victime soit tentée de payer plutôt que de perdre des semaines de production.

Les dégâts

• Arrêt de production : 3 semaines complètes
• Perte de clients : plusieurs contrats avec la grande distribution perdus définitivement
• Coût total : estimation entre 500 000 et 800 000 euros (perte d'exploitation + reconstruction + perte de clients)
• Effectifs : réduction progressive des effectifs dans les mois suivants

Le vrai coût du « trop petit pour être ciblé »

La croyance que « les hackers ne s'intéressent pas à nous » est le premier facteur de vulnérabilité des PME. Les chiffres de l'ANSSI sont pourtant clairs : les attaques ne discriminent pas par la taille. Elles discriminent par le niveau de protection. Et les PME sont, en moyenne, les moins protégées.

Une PME de 80 salariés peut mettre en place un programme de sécurité de base pour 15 000 à 25 000 euros par an. MMA Emballages a perdu entre 500 000 et 800 000 euros. Le calcul parle de lui-même.

9. Hôpital de Dax et laboratoires d'analyses médicales - le secteur santé sous le feu

Ce qui s'est passé à Dax

Le Centre hospitalier de Dax a été frappé par un ransomware le 8 février 2021. L'hôpital de 1 000 lits a dû revenir aux procédures papier : dossiers patients manuscrits, prescription sur ordonnance papier, communications par téléphone. Les radiographies numériques étaient inaccessibles. Les analyses de laboratoire ne pouvaient plus être transmises électroniquement.

Ce cas est largement documenté parce qu'il s'agit d'un hôpital public. Mais il illustre une réalité qui touche aussi les structures de santé privées et les laboratoires d'analyses médicales, souvent des PME.

Les labos d'analyses médicales, cibles récurrentes

Les laboratoires d'analyses médicales français ont été touchés à plusieurs reprises :

• Eurofins Scientific, leader mondial des analyses de laboratoire basé à Nantes, a subi un ransomware en juin 2019 qui a coûté 62 millions d'euros au groupe. Le ransomware avait chiffré les systèmes de dizaines de laboratoires dans plusieurs pays, perturbant les analyses pendant plusieurs jours
• Des laboratoires de biologie médicale de taille intermédiaire (50 à 200 salariés) en région Île-de-France et PACA ont signalé des incidents de ransomware en 2022 et 2023, sans toujours communiquer publiquement. Les données du GIE SESAM-Vitale montrent des interruptions de transmission de feuilles de soins électroniques
• La fuite Viamedis-Almerys de février 2024, qui a exposé les données de 33 millions d'assurés, montre l'ampleur du risque dans la chaîne de santé

Le facteur aggravant : les données de santé

Les données de santé ont une valeur exceptionnelle sur le marché noir. Un dossier médical complet se revend entre 100 et 250 euros sur le dark web (Ponemon Institute, 2024), contre 10 à 50 euros pour un simple identifiant bancaire. Pourquoi ? Parce qu'un dossier médical contient tout : numéro de Sécurité sociale, adresse, date de naissance, pathologies, traitements, médecin traitant. C'est suffisant pour de l'usurpation d'identité à grande échelle.

Les contraintes spécifiques du secteur santé

Les structures de santé cumulent les difficultés :

• Des systèmes informatiques souvent anciens et mal maintenus
• Du matériel médical connecté (IoT médical) qui ne peut pas être facilement mis à jour
• Une obligation de continuité de soins qui rend l'arrêt informatique dangereux pour les patients
• Des budgets IT historiquement faibles (le poste informatique représente en moyenne 1,7 % du budget des hôpitaux français, contre 5 à 8 % dans le privé)
• La certification HDS (Hébergeur de Données de Santé) qui impose des exigences, mais ne couvre pas tous les risques

Ce que les structures de santé doivent faire

1. Segmenter le réseau entre les systèmes bureautiques, les systèmes médicaux (PACS, RIS, SIL) et les objets connectés médicaux
2. Mettre en place le MFA sur tous les accès au dossier patient informatisé
3. Former le personnel soignant au phishing, en adaptant les scénarios (faux résultats d'analyses, fausses convocations, faux messages de l'ARS)
4. Tester les sauvegardes mensuellement, pas semestriellement
5. Signaler tout incident à l'ARS et au CERT-Santé dans les 24 heures

Le Centre hospitalier de Dax a mis 18 mois à revenir à un fonctionnement informatique complet. Pour un laboratoire privé de 50 personnes, une paralysie de plusieurs semaines peut signifier la perte de contrats hospitaliers et de conventions avec les mutuelles.

10. Bouygues Construction (BTP) - le ransomware Maze qui a frappé le géant du BTP

Ce qui s'est passé

Bouygues Construction, filiale du groupe Bouygues dédiée au BTP, emploie 60 000 personnes dans le monde et réalise 13 milliards d'euros de chiffre d'affaires. Le 30 janvier 2020, le groupe est frappé par le ransomware Maze.

Les attaquants chiffrent les systèmes et exfiltrent plusieurs gigaoctets de données qu'ils publient partiellement sur leur site de leaks pour faire pression. La demande de rançon initiale est de 10 millions d'euros.

Bouygues Construction est un grand groupe, pas une PME. Mais son cas est pertinent ici pour deux raisons : le secteur du BTP emploie massivement des PME sous-traitantes, et l'attaque illustre les risques de la chaîne d'approvisionnement dans la construction.

L'impact sur les sous-traitants PME

Un chantier de construction implique des dizaines de sous-traitants, souvent des PME de 10 à 50 personnes : électriciens, plombiers, menuisiers, bureaux d'études. Quand le système informatique du donneur d'ordres tombe, toute la chaîne est touchée :

• Les appels d'offres en cours sont suspendus
• Les validations de factures sont bloquées
• Les plannings de chantier sont perturbés
• Les échanges de plans et de documents techniques sont impossibles

Des PME du BTP témoignent régulièrement sur les forums professionnels (Batiactu, Moniteur du BTP) de retards de paiement de 3 à 6 mois après une cyberattaque chez un donneur d'ordres.

Les PME du BTP, particulièrement vulnérables

Le secteur du BTP combine plusieurs facteurs de risque cyber :

• Faible maturité numérique : beaucoup de PME du BTP ont numérisé leurs processus récemment (BIM, logiciels de gestion de chantier) sans investir dans la sécurité
• Mobilité permanente : les salariés travaillent sur des chantiers, se connectent via des réseaux Wi-Fi publics, utilisent leurs smartphones personnels
• Échanges intensifs de fichiers volumineux : plans AutoCAD, maquettes BIM, documents de consultation. Chaque pièce jointe est un vecteur potentiel
• Dépendance aux donneurs d'ordres : une PME sous-traitante du BTP n'a aucun pouvoir de négociation quand son client principal est paralysé par un ransomware

Les cas de PME du BTP touchées directement

Plusieurs PME du secteur construction ont été directement victimes ces dernières années :

• Des bureaux d'études techniques (BET) en région parisienne ont signalé des incidents de ransomware en 2021 et 2022, avec perte de maquettes BIM et de plans qui avaient nécessité des mois de travail
• Des entreprises de travaux publics dans le Sud-Est ont été victimes d'arnaques au président (variante du phishing ciblé), avec des virements frauduleux de 50 000 à 200 000 euros
• Le groupe NGE (travaux publics, 16 000 salariés) a subi une cyberattaque en 2020, dans la foulée de l'attaque Maze sur Bouygues

Ce que les PME du BTP doivent faire

1. Sécuriser les accès mobiles : VPN obligatoire, MFA, chiffrement des appareils
2. Former les équipes de chantier : les compagnons et chefs de chantier utilisent de plus en plus de tablettes et smartphones connectés, et sont rarement formés au phishing
3. Protéger les fichiers métier : sauvegardes versionnées des plans, maquettes BIM et documents de consultation
4. Auditer les plateformes collaboratives : les solutions de partage de fichiers type SharePoint, BIM 360 ou Trimble Connect sont des cibles si les comptes ne sont pas protégés par MFA

Les schémas récurrents : ce qui revient dans chaque cas

En analysant ces 10 cas, des constantes apparaissent. Ce ne sont pas des coïncidences. Ce sont les mêmes failles, exploitées par les mêmes méthodes, avec les mêmes conséquences.

Le phishing comme point d'entrée dans 8 cas sur 10

Dans 8 des 10 cas détaillés ci-dessus, l'attaque a commencé par un email. Un email de phishing classique (fausse facture, faux devis, fausse notification de livraison) ou un email de spear-phishing ciblé (usurpation d'identité d'un dirigeant ou d'un partenaire).

Le phishing fonctionne parce qu'il exploite des réflexes humains universels : l'urgence, l'autorité, la peur de rater quelque chose. Un comptable qui reçoit une facture urgente d'un fournisseur habituel ne va pas vérifier l'adresse email de l'expéditeur lettre par lettre. Un chef de chantier qui reçoit un SMS de son conducteur de travaux avec un lien vers « le dernier plan mis à jour » va cliquer sans réfléchir.

C'est pour ça que la formation théorique ne suffit pas. Seule la simulation régulière, qui confronte les employés à des emails réalistes dans leur contexte de travail, modifie durablement les comportements. Les données du SANS Institute montrent que les programmes de simulation réduisent le taux de clic de 33 % à moins de 5 % en 12 mois.

L'absence de MFA, la constante

Pas un seul des 10 cas ci-dessus ne concernait une entreprise ayant déployé le MFA sur l'ensemble de ses accès critiques. C'est la faille la plus fréquente et la plus facile à corriger.

Le MFA coûte entre 2 et 5 euros par utilisateur et par mois avec des solutions comme Microsoft Authenticator (gratuit avec Microsoft 365), Google Authenticator (gratuit), ou Duo Security. Pour 50 utilisateurs, le coût annuel est de 1 200 à 3 000 euros.

Microsoft estime que le MFA bloque 99,9 % des attaques automatisées sur les comptes. C'est probablement le meilleur retour sur investissement de toute la cybersécurité.

Les sauvegardes connectées au réseau

Lise Charmel, Clestra, le Groupe Y : dans chaque cas, les sauvegardes étaient soit inexistantes, soit connectées au même réseau que les serveurs principaux. Résultat : le ransomware a chiffré les sauvegardes en même temps que le reste.

Les sauvegardes air-gapped (physiquement déconnectées du réseau) ou les sauvegardes immuables (qui ne peuvent pas être modifiées une fois écrites) sont la seule parade fiable. Le coût d'un système de sauvegarde externalisé pour une PME de 50 personnes se situe entre 3 000 et 6 000 euros par an.

L'absence de plan de réponse à incident

Aucune des PME de cette liste ne disposait d'un plan de réponse à incident formalisé et testé. Quand l'attaque survient, c'est la panique. Qui appeler ? Qui décide ? Faut-il éteindre les serveurs ? Faut-il prévenir les clients ? La CNIL ? La police ?

L'ANSSI et Cybermalveillance.gouv.fr fournissent des modèles gratuits de plans de réponse à incident. Les remplir prend une journée. Les tester (exercice de crise sur table) prend une demi-journée par an. C'est un investissement de temps négligeable par rapport aux conséquences d'une improvisation en pleine crise.

Le syndrome du « ça n'arrive qu'aux autres »

J'ai accompagné des dizaines de PME dans leur démarche de sécurisation. Et la phrase que j'entends le plus souvent, c'est : « On est trop petits, ça ne nous arrivera pas. »

C'est exactement ce que pensait le dirigeant de Clestra Hauserman. C'est exactement ce que pensait le DAF de MMA Emballages. C'est exactement ce que pensait le responsable IT du Groupe Y.

Les chiffres qui contredisent cette croyance

• 60 % des cyberattaques traitées par l'ANSSI ciblent des TPE/PME/ETI (Panorama de la cybermenace 2025)
• 69 % des attaques par ransomware touchent des organisations de moins de 1 000 salariés (même source)
• 43 % des PME françaises ont subi au moins une cyberattaque en 2024 (baromètre CESIN 2026)
• Le coût moyen d'une attaque pour une PME est de 466 000 euros (Groupama 2025)
• 60 % des PME victimes d'une cyberattaque majeure déposent le bilan dans les 18 mois (Hiscox Cyber Readiness Report 2022)

Le dernier chiffre est le plus important. Il ne dit pas que 60 % des PME attaquées ferment. Il dit que 60 % des PME qui subissent une attaque majeure (ransomware avec arrêt prolongé, fuite massive de données) ne s'en remettent pas. Lise Charmel et Clestra Hauserman n'étaient pas des exceptions. Elles étaient dans la norme statistique.

Pourquoi les PME sont plus vulnérables que les grandes entreprises

Ce n'est pas une question de valeur des données. C'est une question de capacité d'absorption du choc.

Facteur	Grande entreprise	PME
Équipe sécurité dédiée	Oui (RSSI + SOC)	Non (souvent 0 ou 1 personne)
Budget cybersécurité	5-10 % du budget IT	Souvent 0 %
MFA déployée	Oui sur 80%+ des accès	Rarement
Sauvegardes testées	Mensuellement	Jamais ou « on pense que ça marche »
Plan de réponse	Formalisé et testé	Inexistant
Assurance cyber	Systématique	24 % des PME (AMRAE 2025)
Capacité de trésorerie	Peut absorber 3-6 mois de crise	Trésorerie de 1-2 mois max
Communication de crise	Service com dédié	Le dirigeant gère seul

La PME a moins de défenses, moins de réserves et moins de soutien. C'est pour ça que l'impact d'une cyberattaque y est proportionnellement plus destructeur.

L'assurance cyber ne couvre pas tout (et parfois ne couvre rien)

Plusieurs dirigeants de PME que j'ai rencontrés pensaient être protégés parce qu'ils avaient une assurance cyber. La réalité est plus nuancée.

Ce que l'assurance couvre (en théorie)

• Frais de forensics et d'investigation numérique
• Perte d'exploitation (avec franchise et plafond)
• Frais de notification CNIL et des personnes concernées
• Frais de communication de crise
• Parfois : le montant de la rançon (depuis la loi LOPMI de 2023, sous condition de dépôt de plainte dans les 72 heures)

Ce que l'assurance ne couvre pas

• Les amendes CNIL : inassurables en droit français
• La perte de réputation : aucune police ne couvre la perte de clients après une fuite de données
• Les pertes en cas de négligence : si l'assureur prouve que vous n'aviez pas de MFA, pas de sauvegardes, pas de formation des employés, il peut invoquer une exclusion pour négligence et réduire voire annuler l'indemnisation
• Le dépassement de plafond : les polices PME ont des plafonds de 1 à 5 millions d'euros. L'attaque de Manutan a coûté 20 millions

Le piège de la franchise

La franchise moyenne pour une PME est de 15 000 euros (AMRAE LUCY 2025). Pour une micro-entreprise, ça peut représenter un mois de trésorerie. Et la franchise s'applique sur chaque garantie séparément : une franchise pour la perte d'exploitation, une autre pour les frais de forensics, une autre pour la notification.

Les conditions que l'assureur vérifie après le sinistre

C'est le point que la plupart des dirigeants ignorent. Votre contrat d'assurance cyber contient des prérequis techniques. Si vous ne les respectez pas au moment du sinistre, l'assureur peut réduire l'indemnisation, voire la refuser.

Les prérequis les plus courants :

• MFA activée sur les accès distants (VPN, messagerie)
• Sauvegardes testées et documentées
• Anti-virus/EDR à jour sur tous les postes
• Programme de sensibilisation des employés documenté
• Plan de réponse à incident formalisé

Pour approfondir ce sujet, consultez notre article Votre assurance cyber vous demande une preuve de formation ?.

Si Lise Charmel ou Clestra avaient eu une assurance cyber avec ces prérequis, auraient-elles été indemnisées ? Probablement pas intégralement, étant donné l'absence de sauvegardes isolées et de MFA.

Combien coûte la prévention vs combien coûte l'attaque

C'est le calcul que tout dirigeant de PME devrait poser sur la table de la prochaine réunion de direction.

Le coût d'un programme de sécurité de base (PME de 50 salariés)

Mesure	Coût annuel	Ce que ça protège
Pare-feu next-gen + EDR	6 000 - 12 000 €	Protection périmétrique et détection des malwares
MFA (Microsoft 365 E3 ou équivalent)	2 000 - 4 000 €	Blocage de 99,9 % des attaques sur les comptes
Sauvegardes externalisées (cloud + air-gap)	3 000 - 6 000 €	Restauration rapide après ransomware
Plateforme de simulation de phishing	1 200 - 6 000 €	Réduction du taux de clic de 33 % à 5 %
Audit de sécurité annuel	3 000 - 8 000 €	Identification des failles avant les attaquants
Assurance cyber	1 500 - 5 000 €	Couverture financière en cas d'incident
Plan de réponse à incident + exercice	2 000 - 4 000 €	Réaction structurée en cas de crise
TOTAL	18 700 - 45 000 €/an

Le coût moyen d'une attaque

Cas	Coût estimé
Lise Charmel	10-15 M€
Clestra Hauserman	Liquidation
Camaïeu	3 100 emplois
Fleury Michon	6-10 M€
Nuxe	300-500 K€
Groupe Y	Plusieurs centaines de K€
Manutan	20 M€
MMA Emballages	500-800 K€
CH Dax / labos	62 M€ (Eurofins)
Bouygues Construction	Non communiqué (rançon demandée : 10 M€)

Le rapport est simple : le programme de prévention coûte entre 4 % et 8 % du coût moyen d'une seule attaque.

C'est le calcul le plus rentable qu'un dirigeant de PME puisse faire. Et pourtant, seules 50 % des PME françaises ont mis en place un programme de cybersécurité structuré (baromètre Hiscox 2025).

Pour une analyse détaillée de ce calcul appliqué à une PME de 50 personnes, consultez Combien coûte vraiment une cyberattaque pour une PME.

Les 5 mesures que chaque PME doit mettre en place immédiatement

Je n'aime pas les listes de 47 recommandations. Quand tout est prioritaire, rien ne l'est. Voici les 5 mesures qui auraient fait la différence dans chacun des 10 cas ci-dessus.

1. Déployer le MFA partout, maintenant

C'est la mesure n°1. Pas la n°3, pas la n°5. La n°1.

Le MFA (authentification multifacteur) bloque la grande majorité des compromissions de comptes. Dans les 10 cas étudiés, l'absence de MFA a été un facteur aggravant ou déterminant dans chaque attaque.

Coût : 0 à 4 000 euros par an pour 50 utilisateurs (gratuit avec Microsoft 365, Google Workspace, ou des solutions open source comme Authelia)

Délai de déploiement : 1 à 3 jours

Impact : bloque 99,9 % des tentatives d'accès non autorisé aux comptes (Microsoft Digital Defense Report 2024)

2. Isoler les sauvegardes du réseau

Lise Charmel, Clestra, le Groupe Y : dans chaque cas, les sauvegardes étaient accessibles depuis le réseau principal. Le ransomware les a chiffrées avec le reste.

La règle 3-2-1 : 3 copies de vos données, sur 2 supports différents, dont 1 hors site. Et la version moderne ajoute un « 0 » : 0 connexion réseau permanente avec la copie hors site.

Coût : 3 000 à 6 000 euros par an

Délai : 1 à 2 semaines pour la mise en place, puis automatique

3. Former les employés par la simulation, pas par le PowerPoint

La formation théorique (e-learning, présentations) a un taux de rétention de moins de 15 % à 6 mois (Gartner 2025). La simulation de phishing, combinée à du micro-learning contextuel, réduit le taux de clic de 33 % à moins de 5 % en 12 mois (SANS Institute 2025).

La différence entre les deux approches est documentée dans notre comparaison formation cybersécurité vs simulation de phishing.

Coût : 1 200 à 6 000 euros par an (2 à 10 euros par utilisateur par mois)

Délai : première campagne en 48 heures avec nophi.sh

4. Segmenter le réseau

La segmentation réseau empêche un ransomware qui entre par le réseau bureautique de se propager aux systèmes de production (cas Fleury Michon), aux systèmes médicaux (cas CH Dax) ou aux systèmes comptables (cas Groupe Y).

Concrètement : séparer en VLAN distincts le réseau bureautique, le réseau serveurs, le réseau industriel/médical, le réseau Wi-Fi invités. Avec des règles de pare-feu strictes entre chaque VLAN.

Coût : 2 000 à 5 000 euros (configuration initiale par un prestataire IT, puis maintenance incluse dans le contrat)

5. Rédiger et tester un plan de réponse à incident

Quand l'attaque arrive, les 4 premières heures déterminent l'ampleur des dégâts. Un plan de réponse à incident formalisé indique clairement :

• Qui est le responsable de crise (avec un numéro de téléphone, pas un email)
• La première action : isoler les systèmes compromis du réseau (sans les éteindre, pour préserver les preuves)
• Qui contacter : prestataire de réponse à incident, ANSSI (pour les OIV/OSE), Cybermalveillance.gouv.fr, la CNIL (sous 72 heures en cas de données personnelles), le 17 (plainte pénale)
• Comment communiquer avec les clients, les fournisseurs et les médias

L'ANSSI propose un guide gratuit de gestion de crise cyber. Le remplir et le tester une fois par an sur un exercice de table (2 heures avec les responsables clés) est suffisant pour une PME.

Coût : 2 000 à 4 000 euros (rédaction avec un prestataire + exercice annuel)

Les secteurs les plus exposés (et pourquoi)

Tous les secteurs ne sont pas égaux face au risque cyber. Voici ceux qui, d'après les cas étudiés et les statistiques ANSSI, sont les plus touchés en France.

Industrie manufacturière

C'est le secteur le plus ciblé par les ransomwares en France. L'ANSSI le place en tête des victimes depuis 2020. Lise Charmel (lingerie), Clestra (cloisons), Fleury Michon (agroalimentaire), MMA Emballages (emballages) : 4 des 10 cas sont des industriels.

Pourquoi ? Parce que l'arrêt de production coûte très cher très vite. Les attaquants le savent. Une usine qui ne tourne pas perd des dizaines ou centaines de milliers d'euros par jour. La pression pour payer la rançon est maximale.

Et parce que la convergence IT/OT (informatique de gestion / informatique industrielle) crée des ponts entre le réseau bureautique et les systèmes de production. Un email de phishing qui compromet un poste bureautique peut, en l'absence de segmentation, atteindre les automates industriels.

Commerce de détail

Camaïeu, Nuxe : les enseignes de retail et les marques BtoC détiennent d'immenses bases de données clients. Ces données ont une double valeur : pour la revente sur le dark web, et pour le chantage à la publication (RGPD oblige, une fuite de données peut coûter une amende de 4 % du CA).

Le commerce de détail cumule aussi les faiblesses structurelles : nombreux points de vente avec des systèmes de caisse connectés, personnel de magasin peu formé au numérique, plateformes e-commerce exposées sur Internet.

BTP et construction

L'attaque contre Bouygues Construction a mis en lumière les vulnérabilités du secteur. Le BTP se numérise rapidement (BIM, drones, IoT chantier) mais investit peu dans la sécurité de ces nouveaux outils. Les PME sous-traitantes sont le maillon faible de la chaîne.

Santé

L'hôpital de Dax, Eurofins, les fuites Viamedis-Almerys : le secteur santé est sous le feu constant. Les données médicales valent cher, les systèmes sont vieux, et l'obligation de continuité de soins donne un moyen de pression considérable aux attaquants.

Professions réglementées (comptables, avocats, notaires)

Le cas du Groupe Y illustre le risque. Les professions qui détiennent les données les plus sensibles de leurs clients sont des multiplicateurs de dommages : une attaque sur un cabinet touche des dizaines ou centaines d'entreprises clientes.

Le Conseil national des barreaux a signalé une hausse de 40 % des cyberincidents déclarés par des cabinets d'avocats entre 2021 et 2023. Les études de notaires, qui gèrent des transactions immobilières de plusieurs millions d'euros, sont des cibles de choix pour les arnaques au virement.

Ce que les 10 cas nous apprennent sur le phishing en 2026

Le phishing a évolué. Les emails de phishing de 2020 (fautes d'orthographe, mise en page douteuse, expéditeur improbable) ne ressemblent plus aux attaques de 2026.

L'IA a changé la qualité des emails de phishing

Les rapports Proofpoint State of the Phish 2025 et Hiscox Cyber Readiness Report 2025 convergent : les emails de phishing générés par intelligence artificielle sont plus convaincants, mieux traduits, et plus personnalisés que les emails traditionnels. Les fautes d'orthographe qui étaient le principal signal d'alerte ne sont plus un critère fiable.

Le Hiscox Report 2025 indique que 60 % des entreprises considèrent l'ingénierie sociale assistée par IA comme la principale menace à venir. Et le Verizon DBIR 2025 note une hausse de 150 % des emails de phishing générés par IA entre 2023 et 2024.

Pour une PME française, ça signifie que les emails de phishing arrivent maintenant en français impeccable, avec des références à des fournisseurs réels, des numéros de commande plausibles, et un ton professionnel indiscernable d'un vrai email. L'article sur les nouvelles formes de phishing en 2026 détaille ces évolutions.

Le phishing ciblé (spear-phishing) est devenu abordable

Le spear-phishing, autrefois réservé aux attaques contre les grandes entreprises parce qu'il nécessitait des recherches manuelles sur les cibles, est devenu accessible grâce à l'automatisation. Les attaquants peuvent :

1. Scraper LinkedIn pour identifier les employés, leurs rôles, leurs collègues
2. Utiliser l'IA pour générer des emails personnalisés à partir de ces informations
3. Envoyer des emails ciblés à l'échelle de toute une PME en quelques heures

C'est ce qui rend les simulations de phishing plus importantes que jamais. Le seul moyen de préparer vos employés à des emails de phishing sophistiqués, c'est de les confronter régulièrement à des emails de phishing sophistiqués dans un cadre contrôlé.

Le vishing et le smishing complètent l'email

Le phishing ne se limite plus aux emails. Les attaques par téléphone (vishing) et par SMS (smishing) sont en hausse de 300 % depuis 2023 (Proofpoint). Le deepfake vocal, qui imite la voix d'un dirigeant pour ordonner un virement, est passé du stade expérimental au stade opérationnel.

Un programme de sensibilisation complet doit couvrir les trois canaux : email, SMS et téléphone. C'est le sujet de notre article sur le quishing, vishing et smishing.

Par où commencer lundi matin

Vous avez lu ces 10 cas. Vous êtes peut-être en train de vous dire que votre entreprise ressemble à Clestra, à MMA Emballages, ou au Groupe Y. Vous n'avez pas de MFA, vos sauvegardes ne sont pas testées, et vos employés n'ont jamais vu un email de phishing simulé.

Voici un plan d'action réaliste pour les 30 prochains jours.

Semaine 1 : le MFA

Activez le MFA sur Microsoft 365 ou Google Workspace. C'est gratuit, ça prend une journée de configuration et une journée de communication aux équipes. Si vous ne faites qu'une seule chose, faites celle-là.

Semaine 2 : les sauvegardes

Vérifiez vos sauvegardes. Pas « je pense qu'on en a ». Vérifiez physiquement qu'une restauration fonctionne. Testez la restauration d'un serveur complet. Si ça ne marche pas, vous le saurez maintenant et pas le jour de l'attaque.

Mettez en place une sauvegarde externalisée si vous n'en avez pas.

Semaine 3 : la première simulation de phishing

Lancez votre première campagne de simulation de phishing. Avec nophi.sh, vous pouvez configurer et envoyer une première campagne en moins d'une heure. Le taux de clic de votre première campagne sera probablement entre 25 % et 40 %. C'est normal. C'est votre point de départ.

Pour bien préparer cette première campagne, suivez le guide pratique de simulation de phishing.

Semaine 4 : le plan de réponse

Téléchargez le guide de gestion de crise de l'ANSSI. Remplissez-le avec vos informations (contacts, prestataires, procédures). Organisez un exercice de table de 2 heures avec votre direction et votre responsable IT. Imprimez les contacts d'urgence et affichez-les à côté du serveur (oui, en papier, parce que le jour de l'attaque, vos emails ne fonctionneront plus).

Le mois suivant : structurer

Souscrivez une assurance cyber si vous n'en avez pas. Planifiez un audit de sécurité annuel. Mettez en place un programme de simulation de phishing mensuel. Commencez à travailler sur la segmentation réseau avec votre prestataire IT.

Budget total du premier mois : 3 000 à 5 000 euros (la majorité pour la sauvegarde externalisée et le premier mois de plateforme de simulation). C'est moins cher qu'un seul jour d'arrêt de production.

FAQ - Questions fréquentes

Quel pourcentage des cyberattaques ciblent les PME en France ?

Les TPE, PME et ETI représentent 60 % des cyberattaques traitées par l'ANSSI en 2024 (Panorama de la cybermenace 2025). Ce chiffre monte à 69 % pour les attaques par rançongiciel. Les PME sont ciblées parce qu'elles disposent de moins de ressources pour se protéger et parce qu'elles paient plus souvent la rançon que les grandes entreprises.

Combien coûte en moyenne une cyberattaque pour une PME française ?

Selon Groupama (2025), le coût moyen d'une cyberattaque pour une TPE/PME française est de 466 000 euros, en comptant les coûts directs (forensics, restauration, rançon éventuelle) et indirects (perte d'exploitation, clients perdus, hausse des primes d'assurance). Pour les cas documentés dans cet article, les coûts vont de 500 000 euros (Nuxe) à plus de 20 millions d'euros (Manutan).

Le phishing est-il vraiment le premier vecteur d'attaque contre les PME ?

Oui. Le phishing est impliqué dans 60 % des cyberattaques selon le baromètre CESIN 2026 (OpinionWay). Le Verizon DBIR 2025 confirme que 74 % des violations impliquent un facteur humain. Dans 8 des 10 cas détaillés dans cet article, l'attaque a commencé par un email de phishing ou une compromission d'identifiants.

Une PME peut-elle faire faillite à cause d'une cyberattaque ?

Oui, et ce n'est pas théorique. Lise Charmel a été placée en redressement judiciaire après un ransomware en 2020. Clestra Hauserman a subi le même sort en 2022. Camaïeu a été liquidée la même année. Selon Hiscox (2022), 60 % des PME victimes d'une cyberattaque majeure déposent le bilan dans les 18 mois.

L'assurance cyber couvre-t-elle les pertes liées à un ransomware ?

Partiellement. L'assurance couvre généralement les frais de forensics, la perte d'exploitation (avec plafond et franchise), et parfois les frais de notification. Elle ne couvre pas les amendes CNIL, la perte de réputation, ni les pertes si l'entreprise n'a pas respecté les prérequis de sécurité exigés par le contrat. La franchise moyenne pour une PME est de 15 000 euros.

Combien coûte la protection de base d'une PME contre les cyberattaques ?

Un programme complet pour 50 salariés coûte entre 18 700 et 45 000 euros par an. C'est entre 4 % et 8 % du coût moyen d'une seule attaque (466 000 euros). Les mesures les plus rentables : le MFA (gratuit à 4 000 euros/an), les sauvegardes externalisées (3 000-6 000 euros/an) et la simulation de phishing (1 200-6 000 euros/an).

Conclusion : les 10 cas, une seule leçon

Lise Charmel. Clestra Hauserman. Camaïeu. Fleury Michon. Nuxe. Groupe Y. Manutan. MMA Emballages. Le CH de Dax. Bouygues Construction.

Dix entreprises françaises. Dix attaques. Un seul schéma : un email de phishing, un clic, pas de MFA, des sauvegardes inutilisables, et la panique.

Le total des dommages documentés dans cet article dépasse les 100 millions d'euros. Des centaines d'emplois perdus. Des décennies de travail anéanties.

Et dans chaque cas, un programme de cybersécurité de base, coûtant entre 20 000 et 45 000 euros par an, aurait probablement empêché l'attaque ou limité ses dégâts à quelques jours d'inconfort au lieu de plusieurs mois de crise.

La question n'est pas de savoir si votre PME sera ciblée. La question est de savoir si elle sera prête quand ça arrivera. Les 10 histoires que vous venez de lire montrent ce qui se passe quand la réponse est non.

Votre première action : testez la sécurité email de votre domaine en 30 secondes, gratuitement. C'est le premier diagnostic pour savoir où vous en êtes.