Cybersécurité : les PME négligent un poste clé, faute de budget

Une cyberattaque coûte en moyenne plus de 250 000 dollars aux petites et moyennes entreprises (PME). Le salaire d’un directeur de la sécurité des systèmes d’information (DSSI), ou Chief Information Security Officer (CISO), varie entre 250 000 et 400 000 dollars par an, selon le rapport annuel 2026 de Sophos et Cybersecurity Ventures. Face à ces chiffres, les PME, qui forment l’épine dorsale de l’économie américaine, renoncent souvent à embaucher un responsable dédié. Résultat : elles jouent à la roulette russe avec leur cybersécurité.

Pourtant, une solution existe : le DSSI virtuel (vDSSI) ou le DSSI fractionné (fDSSI). Ces modèles permettent aux PME d’accéder à une expertise senior en cybersécurité, à moindre coût, en externalisant partiellement ou totalement cette fonction stratégique.

Des risques accrus à l’ère du numérique

Avec la digitalisation, les PME utilisent les mêmes infrastructures que les grandes entreprises : services cloud, systèmes de paiement, accès à distance, données clients et partenaires tiers. Pourtant, sans leadership cyber expérimenté, leur approche se résume souvent à un assemblage de solutions ponctuelles, de listes de contrôle et de contrats d’assurance, sans véritable stratégie de résilience.

Les chiffres sont alarmants : près de la moitié des cyberattaques signalées impliquent des PME. D’ici 2031, ces incidents pourraient coûter jusqu’à 12 200 milliards de dollars à l’économie mondiale. Les cybercriminels exploitent désormais l’intelligence artificielle pour automatiser leurs attaques, ciblant les PME à grande échelle avec des campagnes de phishing sophistiquées et des logiciels malveillants.

Autre menace émergente : le vol de données chiffrées, stockées en attendant que des ordinateurs quantiques suffisamment puissants permettent de les décrypter. Les PME des secteurs de la défense, de la santé ou des chaînes d’approvisionnement financières détiennent souvent des identifiants sensibles, offrant un accès indirect aux réseaux des grandes entreprises. Pourtant, peu d’entre elles sont préparées à adopter des protocoles de chiffrement résistants aux futures attaques quantiques.

Le leadership cyber, un maillon manquant

Les PME reconnaissent l’importance de la cybersécurité, mais peinent à combler le déficit de leadership. Un bon DSSI ne se contente pas de gérer des outils techniques : il transforme les vulnérabilités en décisions stratégiques, priorise les actions, sensibilise la direction, prépare les audits et exige des comptes aux prestataires.

Hélas, recruter un DSSI à temps plein reste un luxe pour la plupart des PME. Les modèles vDSSI et fDSSI offrent une alternative réaliste :

• vDSSI : un expert externe intervient à la demande, généralement pour plusieurs entreprises simultanément. Idéal pour des conseils ponctuels ou une supervision stratégique.
• fDSSI : un professionnel dédié, à temps partiel, s’intègre plus profondément à l’organisation, participant aux réunions de gouvernance et à la planification opérationnelle.

Ces solutions permettent aux PME d’accéder à une expertise de haut niveau, sans les contraintes d’un salaire annuel dépassant souvent leur budget annuel.

Un appel à l’action pour les institutions publiques

Le marché privé ne suffit pas à combler ce vide. Pour aider les PME à naviguer dans l’écosystème complexe des prestataires cyber, les autorités américaines pourraient jouer un rôle clé. La Cybersecurity and Infrastructure Security Agency (CISA) et la Small Business Administration (SBA) pourraient publier des guides d’achat détaillés, incluant :

• Des critères de sélection pour évaluer les prestataires.
• Des exemples de cahiers des charges et de livrables attendus.
• Des études de cas concrètes illustrant des collaborations réussies.

Ces ressources permettraient aux dirigeants de PME de distinguer un véritable expert en cybersécurité d’un simple revendeur de solutions, d’un consultant axé uniquement sur la conformité ou d’un contrat générique de services managés.

Les critères de sélection devraient privilégier :

• Une expérience avérée dans la conception et la gestion de programmes de sécurité.
• Une indépendance vis-à-vis des incitations commerciales ou des quotas de produits.
• Une approche centrée sur la résilience, et non sur la simple réponse aux exigences réglementaires.

« Les PME sont des cibles privilégiées pour les cybercriminels, mais elles n’ont pas les moyens de se doter d’une défense à la hauteur des enjeux. Sans leadership cyber, leur sécurité reste un puzzle incomplet. »

Conclusion : une question de survie économique

À l’ère du tout-numérique, la cybersécurité n’est plus une option, mais une nécessité vitale pour les PME. Investir dans un DSSI – qu’il soit virtuel, fractionné ou à temps plein – n’est plus un luxe, mais une stratégie de résilience. Les institutions publiques ont un rôle à jouer pour démocratiser l’accès à ces expertises, évitant ainsi que des milliers d’entreprises ne deviennent les prochaines victimes collatérales de la cybercriminalité.