Pour la plupart des petites et moyennes entreprises (PME), le « bureau » est désormais un ensemble de réseaux wifi domestiques, de points d’accès de cafés, d’espaces de travail partagés et d’outils SaaS basés sur le cloud.
Pourtant, même si le travail continue à devenir plus distribué, de nombreuses entreprises n’ont pas mis en place de contrôles réseau. Moins de la moitié des PME utilisent un VPN pour protéger l’accès à leur réseau, selon une nouvelle étude de Proton.
Dans le même temps, les incidents de sécurité augmentent. Une PME sur quatre a subi une cyberattaque ou une fuite de données au cours de l’année écoulée.
Alors pourquoi, malgré un passage apparemment permanent au travail hybride, l’adoption des VPN reste-t-elle si inégale ? Et cela explique-t-il autant d’incidents de sécurité récents ?
Notre rapport 2026 sur la cybersécurité des PME éclaire cette question. Pour notre étude exclusive, nous avons interrogé des milliers de dirigeants d’entreprise à travers le monde avec des dizaines de questions sur leurs pratiques de sécurité. Vous pouvez télécharger le rapport gratuit sur la cybersécurité afin d’obtenir quatre enseignements clés et cinq recommandations pour votre entreprise.
Pourquoi les attaquants ciblent les PME
Pendant des années, les cybercriminels se sont concentrés principalement sur les grandes entreprises. Mais à mesure que les défenses des grandes organisations se sont améliorées, les attaquants ont de plus en plus ciblé les PME(nouvelle fenêtre) en raison de :
Ressources limitées : les petites équipes manquent souvent de personnel de sécurité dédié et de politiques de sécurité formelles.
Réseaux distribués : les employés se connectent depuis leur wifi domestique, des espaces de travail partagés et des points d’accès publics, créant davantage de points d’entrée pour les attaquants.
Données à forte valeur : les PME peuvent stocker les mêmes données sensibles que les grandes entreprises(nouvelle fenêtre) — y compris des informations clients, des dossiers financiers et de la propriété intellectuelle — mais avec moins de protections en place.
Le fossé de l’adoption : les PME négligent les VPN
Le rapport 2026 de Proton sur la cybersécurité des PME a mis en évidence deux lacunes parmi les petites et moyennes entreprises :
- Fossé de l’adoption : moins de la moitié des PME utilisent un VPN pour sécuriser leurs points de terminaison(nouvelle fenêtre).
- Fossé de l’exécution : même parmi les entreprises qui ont adopté un VPN, les pratiques de sécurité restent incohérentes.
Commençons par le fossé de l’adoption.
L’essor du logiciel en tant que service a créé un faux sentiment de sécurité chez les petites entreprises. Si la plupart des plateformes SaaS utilisent un chiffrement fort (c.-à-d. TLS(nouvelle fenêtre)) pour protéger le trafic en transit, et si certaines comme Proton Mail ou Proton Drive utilisent aussi le chiffrement de bout en bout(nouvelle fenêtre) au repos, elles ne sécurisent pas le chemin d’accès emprunté par vos employés pour se connecter.
Par exemple, votre organisation peut utiliser une boite mail chiffrée(nouvelle fenêtre) pour protéger le contenu de vos messages, mais sans VPN, vous ne pouvez pas imposer de restrictions basées sur l’IP pour contrôler qui peut se connecter à la plateforme. Ainsi, un attaquant disposant d’un ensemble d’identifiants ayant fuité pourrait se connecter et compromettre votre réseau.
Si le passage au travail hybride est mondial, les adaptations de sécurité qui l’accompagnent ont été inégales. Les États-Unis sont le seul pays de notre étude où une majorité de PME utilisent un VPN. Sur tous les autres marchés, l’adoption est inférieure à 50 %. Cet écart est encore plus prononcé en dehors du secteur technologique, où la sécurité n’a pas suivi le rythme du passage au travail hybride.
Le fossé de l’exécution : la véritable sécurité va au-delà d’un VPN
52 % des PME utilisant un VPN se disent très ou totalement confiantes dans leur capacité à résister aux attaques. Mais nos données montrent que même parmi ce groupe, 26 % ont subi une fuite de données au cours des 12 derniers mois. Si une entreprise sécurise déjà son réseau, comment cela peut-il encore arriver ?
Le problème ne vient pas du VPN lui-même, mais des contrôles qui l’entourent et de la prévalence de l’erreur humaine. Seuls 56 % des entreprises ayant adopté un VPN dans notre étude imposent l’authentification à deux facteurs(nouvelle fenêtre) (A2F). Lorsqu’on sait que près de la moitié des entreprises s’appuient uniquement sur des mots de passe, le risque est aggravé par une mauvaise discipline en matière d’identifiants. Au lieu d’utiliser systématiquement un gestionnaire de mots de passe professionnel(nouvelle fenêtre) :
- 31,5 % partagent encore des identifiants par message
- 33,4 % via des documents partagés
- 28 % s’appuient sur des applications de messagerie pour partager des identifiants
- 24,6 % notent encore les mots de passe
Nos données suggèrent que de nombreuses entreprises traitent la sécurité comme un investissement fragmenté dans des produits isolés plutôt que comme un système cohérent, sans politiques de sécurité appliquées de manière cohérente.
La sécurité comme infrastructure, pas comme réflexion après coup
L’étude a révélé un autre enseignement précieux : la sécurité est un moteur de revenus.
Dans notre rapport, 66 % des entreprises disent qu’il est « très » ou « essentiel » de démontrer une gestion sécurisée des données pour remporter de nouveaux contrats. Un VPN pour la sécurité des points de terminaison vous donne l’infrastructure et la visibilité nécessaires pour en apporter la preuve à des clients potentiels.
Sans périmètre réseau défini, les points d’entrée se multiplient, la visibilité diminue et le contrôle d’accès est dispersé entre des plateformes tierces. Tout cela élargit la surface d’attaque et rend plus difficile la détection de comportements suspects, le confinement des incidents ou la démonstration du contrôle aux clients et partenaires. Un VPN rétablit la frontière et établit un périmètre contrôlable autour des employés, quel que soit leur lieu de travail.
Voici comment vous pouvez appliquer cet enseignement dans votre entreprise :
- Restreindre l’accès par IP ou par emplacement : n’autorisez l’accès aux outils internes qu’à partir d’appareils ou de réseaux approuvés.
- Avoir une visibilité complète sur le réseau : lorsque les identifiants ne sont autorisés que depuis votre VPN, vous pouvez surveiller le trafic vers vos ressources et repérer d’éventuelles attaques.
- Appliquer des politiques cohérentes : appliquez des règles de sécurité sur votre réseau, plutôt que de vous fier à des promesses de tiers.
Sans VPN, le trafic distant circule sur des réseaux publics sans contrôle centralisé, ce qui augmente l’exposition. Une vraie sécurité exige que la couche réseau et la couche identité fonctionnent comme un système unique et renforcé.
Téléchargez le rapport complet 2026 sur la cybersécurité des PME
Le rapport 2026 de Proton sur la cybersécurité des PME examine où la confiance dans la sécurité se fissure, pourquoi les contrôles fondamentaux manquent et comment le travail hybride a remodelé la surface d’attaque des entreprises en croissance.
À l’intérieur du rapport, vous trouverez :
- Des tendances mondiales en matière de fuites de données et d’erreurs humaines
- L’impact financier des fuites de données modernes
- Les écarts de confiance dans le cloud et l’IA parmi les dirigeants d’entreprise
- Des étapes concrètes pour bâtir des systèmes de sécurité multicouches
