Cyberattaques pendant l'été : les PME dans la ligne de mire

L'été est souvent perçu comme une période de relâchement pour les équipes, les agendas, et parfois, sans qu'on l'avoue vraiment, pour les systèmes informatiques. C'est précisément sur cette réalité que misent les cybercriminels. Pendant que les bureaux se vident et que les messageries s'automatisent, les attaques, elles, ne marquent aucune pause. Juillet 2025 l'a démontré de manière spectaculaire : d'après le rapport mensuel de Check Point Research, 487 incidents de ransomware ont été recensés dans le monde en un mois. Soit une hausse de 41 % par rapport à juillet 2024. L'Europe concentrait 24 % de ces attaques.

Les PME françaises ne sont pas épargnées. Selon le Panorama de la cybermenace 2024 publié par l'ANSSI, les TPE, PME et ETI représentaient 37 % des victimes de rançongiciels identifiées sur le territoire national. Elles figurent en tête du classement, devant les collectivités territoriales (17 %) et les établissements de santé. Une position peu enviable, qui s'explique par des défenses plus limitées que celles des grandes entreprises, et par une exposition estivale.

‍

Pourquoi l'été crée une fenêtre d'opportunité pour les attaquants

Effectifs réduits, vigilance en baisse

En juillet et août, une PME peut fonctionner avec 30 à 50 % de ses collaborateurs habituels. Le responsable informatique est en congé, son remplaçant gère plusieurs postes à la fois, et personne ne surveille les alertes de sécurité avec le même niveau d'attention qu'en période normale.

Ce contexte crée des angles morts critiques. Une alerte qui aurait été traitée en quelques heures en mars peut rester sans réponse 48 ou 72 heures en août. C'est précisément le délai dont un attaquant a besoin pour s'implanter discrètement dans un système, élever ses privilèges et déployer une charge malveillante. Les grandes organisations s'appuient sur des SOC (Security Operations Centers) actifs 24h/24 et 7j/7. Pour la majorité des PME, cette capacité n'existe pas en interne, et cet écart est exploité méthodiquement.

Des comportements individuels qui élargissent la surface d'attaque

L'été modifie aussi les réflexes des collaborateurs, souvent sans qu'ils s'en rendent compte. Répondre à un e-mail urgent depuis un Wi-Fi d'hôtel, se connecter au VPN depuis un appareil personnel non mis à jour, cliquer rapidement sur une notification avant de partir en réunion : ces micro-décisions, anodines prises isolément, constituent autant de vecteurs d'entrée exploitables.

L'hameçonnage reste la porte d'entrée privilégiée. D'après le rapport d'activité 2025 de cybermalveillance.gouv.fr  (qui a enregistré plus de 500 000 victimes, en hausse de 20 % par rapport à 2024) le phishing reste la première menace recensée, toutes catégories confondues. Le baromètre national de maturité cyber des TPE-PME, publié en octobre 2025 par cybermalveillance.gouv.fr en partenariat avec la CPME, le MEDEF et l'U2P, révèle que 43 % des TPE-PME ont déclaré avoir subi une attaque par hameçonnage au cours des 12 derniers mois, contre 24 % l'année précédente.

Les prétextes sont rodés et contextualisés : confirmations de réservation, alertes de livraison, notifications de virement urgent, fausses demandes RH. La période estivale fournit aux attaquants un réservoir de scénarios crédibles que les collaborateurs, moins concentrés qu'en temps normal, ont davantage tendance à ne pas remettre en question.

Des circuits de validation contournés

L'absence des dirigeants ou des responsables financiers en été crée un terrain fertile pour l'arnaque au président ou FOVI (Fraude au Virement International). La technique consiste à se faire passer pour un dirigeant, un avocat ou un auditeur afin d'obtenir un virement urgent ou des informations sensibles.

D'après les données compilées dans le rapport d'activité 2025 de cybermalveillance.gouv.fr, la fraude au virement a fait son entrée dans les trois principales menaces pour les entreprises, avec une progression de 93 % des demandes d'assistance par rapport à 2024. L'usurpation d'identité de dirigeants et d'employés est également en hausse.

‍

Les trois menaces à surveiller cet été

Le ransomware : une activité record, une fragmentation préoccupante

Le ransomware demeure la menace la plus dévastatrice pour les PME. Le mécanisme est connu : les données sont chiffrées, les systèmes paralysés, une rançon est exigée. Mais le paysage a évolué de façon préoccupante. D'après les rapports trimestriels Q2 et Q3 2025 de Check Point Research, le nombre de groupes d'extorsion actifs a atteint un record absolu avec 85 entités recensées au troisième trimestre. Cette fragmentation signifie que des acteurs de plus en plus nombreux, de plus en plus petits et de plus en plus difficiles à tracer opèrent désormais de façon autonome, ciblant prioritairement des structures qui ne disposent pas de ressources pour riposter.

En France, juillet 2025 l'a illustré concrètement : Semco Technologies a subi une intrusion le jour même de son introduction en Bourse sur Euronext, et le réseau de pressings 5àSec a confirmé une attaque revendiquée par le groupe DragonForce les 4 et 5 juillet.

L'ANSSI souligne pour sa part, dans son panorama de la cybermenace 2024, que l'exploitation de vulnérabilités sur les équipements de bordure (VPN, pare-feu, routeurs) a représenté plus de la moitié de ses opérations de cyberdéfense sur l'année. Des équipements qui, précisément, ne sont pas toujours mis à jour avant les congés.

L'hameçonnage ciblé, dopé à l'IA

Le phishing a changé de nature. Les campagnes actuelles sont alimentées par des données collectées en amont sur LinkedIn, les sites web d'entreprise ou des bases compromises. Un dirigeant dont l'agenda public indique une absence, un collaborateur ayant partagé sa destination de vacances sur les réseaux sociaux : ces informations suffisent à construire un prétexte convaincant.

L'ANSSI confirme dans son panorama 2024 l'utilisation croissante d'infostealers, des logiciels conçus pour collecter des identifiants menant au déploiement de rançongiciels. Ces outils sont discrets, automatisés et témoignent d'une professionnalisation des attaquants.

L'exploitation des accès mal sécurisés

Le travail à distance, devenu courant, multiplie les points d'entrée potentiels. Les connexions RDP (Remote Desktop Protocol) exposées sans authentification multifacteur, les VPN avec des configurations obsolètes, les équipements non patchés avant les départs en vacances : autant de failles que les attaquants scannent activement, à grande échelle et de façon automatisée. L'ANSSI l'a confirmé : les accès distants non sécurisés représentent l'un des vecteurs d'intrusion les plus utilisés par les cybercriminels opportunistes.

‍

Ce que coûte une attaque pour une PME

Les chiffres sont rarement mis en perspective, mais ils méritent de l'être. Selon les données publiées sur data.gouv.fr par les Ministères économiques et financiers, le coût moyen d'une cyberattaque pour une entreprise française s'établissait à environ 14 720 €. Ce chiffre est une moyenne, une entreprise sur huit déclare des dommages dépassant 230 000 €, intégrant les coûts de remédiation technique, les pertes d'exploitation, les sanctions réglementaires éventuelles et l'atteinte à la réputation.

Au-delà des chiffres directs, c'est la continuité d'activité qui est réellement en jeu. Le baromètre 2025 de cybermalveillance.gouv.fr révèle que 49 % des TPE-PME interrogées se déclarent non prêtes à faire face à une cyberattaque, et que 58 % admettent ne pas être capables d'en estimer les conséquences. Dans ce contexte, une attaque en plein mois d'août, avec des équipes réduites, un DSI absent et des procédures de crise inexistantes peut se transformer en épreuve dont certaines structures ne se remettent pas.

‍

Ce qu'il faut mettre en place avant les vacances

La bonne nouvelle : les mesures les plus efficaces ne sont pas les plus complexes à déployer. Elles demandent surtout de l'anticipation.

Auditer l'existant avant de fermer

Avant tout départ, il est essentiel de connaître l'état réel de son infrastructure. Quels équipements sont exposés sur Internet ? Quels comptes disposent de droits excessifs ? Les sauvegardes sont-elles opérationnelles et testées ? Un audit de sécurité permet d'identifier les points de faiblesse prioritaires et d'y remédier avant la période à risque, plutôt qu'en pleine crise.

Stim Plus réalise des audits de sécurité informatique pour les PME et ETI, avec une restitution claire des vulnérabilités identifiées et un plan d'action priorisé. C'est le point de départ logique pour toute démarche de sécurisation estivale.

Appliquer les correctifs avant juillet

L'ANSSI le rappelle que l'application des correctifs de sécurité sur les équipements exposés doit être « urgente ». VPN, pare-feu, serveurs accessibles depuis l'extérieur, ces composants doivent être à jour avant le début de la période estivale. La fenêtre idéale se situe entre mai et fin juin, pour laisser le temps de tester les correctifs sans créer d'instabilité en plein cœur de l'été.

Activer l'authentification multifacteur sur tous les accès sensibles

L'authentification multifacteur (MFA) est aujourd'hui le rempart le plus simple et le plus efficace contre les tentatives d'intrusion via des identifiants compromis. Elle ne remplace pas une politique de sécurité globale, mais elle bloque la grande majorité des attaques opportunistes. Son déploiement sur les accès VPN, messageries et outils métiers n'est plus un choix ,,c'est un prérequis. Stim Plus accompagne les entreprises dans le déploiement et la configuration du MFA, quel que soit l'environnement technique en place.

Mettre en place une surveillance continue pendant l'été

C'est le point sur lequel la majorité des PME reste la plus exposée. Sans supervision active des événements de sécurité, une intrusion peut rester non détectée plusieurs semaines, précisément la durée d'une fermeture estivale.

Stim Plus propose des solutions de détection et de surveillance externalisées, avec déploiement d'antivirus ou d'EDR (Endpoint Detection and Response) couplés à un SOC managé. Concrètement, cela signifie que vos systèmes sont surveillés en permanence, y compris en août, par des analystes capables d'identifier un comportement anormal et d'intervenir avant qu'un incident mineur ne devienne une catastrophe opérationnelle.

Sensibiliser les équipes avant les congés

Un rappel ciblé ,par e-mail, en réunion d'équipe ou via une courte formation, sur les risques du phishing estival, des connexions depuis des réseaux non sécurisés et de l'arnaque au président peut faire une différence concrète. La sensibilisation ne coûte presque rien. Son absence peut revenir très cher.

Le dispositif public cybermalveillance.gouv.fr met gratuitement à disposition des kits de sensibilisation adaptés aux PME, ainsi qu'un guide de bonnes pratiques téléchargeable pour préparer son entreprise à la période estivale.

Définir une procédure de gestion de crise adaptée à la période

Qui contacter en cas d'incident ? Quel est le circuit de décision quand le RSSI est absent ? Qui a les droits pour isoler un poste compromis ou couper un accès suspect ? Ces questions doivent avoir des réponses écrites, connues de tous les collaborateurs présents, avant le premier départ en vacances. Une page de procédure claire et accessible vaut mieux qu'une improvisation sous pression un dimanche soir de juillet.

‍

Anticiper plutôt que réparer

L'été ne rend pas les PME françaises inévitablement vulnérables. Il concentre simplement plusieurs facteurs de risque simultanément : effectifs réduits, vigilance abaissée, accès distants multipliés, circuits de validation raccourcis. Ces facteurs sont connus, documentés, et dans leur grande majorité, adressables avant le mois de juillet.

Les entreprises qui traversent l'été sans incident ne sont pas celles qui ont dépensé le plus. Ce sont celles qui ont pris le temps d'anticiper, de structurer leurs défenses et de ne pas laisser les vacances devenir une période de relâchement sur les fondamentaux de la sécurité informatique.

La menace, elle, ne prend aucun congé.

Vous souhaitez évaluer l'état de votre infrastructure avant l'été ou mettre en place une surveillance active de vos systèmes pendant la période estivale ? L'équipe Stim Plus accompagne les PME et ETI dans l'audit, la sécurisation et la supervision de leur système d'information. Contactez-nous sur stimplus.com pour définir ensemble les actions prioritaires avant les congés.