Failles les plus courantes, manque d'implication des équipes dirigeantes, stratégies cantonnées aux documents... Le Kaspersky Europe & Africa SMB Report 2025 révèle le paradoxe des PME en matière de cybersécurité. Suivez-nous sur WhatsApp Suivez-nous sur Telegram Selon le nouveau Kaspersky Europe & Africa SMB Report 2025, une tendance préoccupante se dessine : la majorité des petites et moyennes entreprises estiment être suffisamment armées en matière de sécurité numérique, alors que leurs dispositifs restent souvent théoriques. Kawtar Tarki, Responsable de canal territorial Kaspersky France et Afrique du Nord, explique pourquoi tant de stratégies échouent à produire des effets concrets, comment les cybercriminels tirent parti de ces failles et pourquoi l'implication de la direction demeure la clé de voûte d'une véritable culture de la cybersécurité. -Votre dernier rapport indique que la plupart des PME disposent d'un plan de cybersécurité, alors même que les incidents demeurent fréquents. Où se situe le problème ? Le véritable défi réside dans l'exécution. Beaucoup d'entreprises ont rédigé des politiques ou des cadres de sécurité, mais ceux-ci ne se traduisent pas toujours en actions concrètes. Notre étude révèle que seulement 29 % des PME en Europe et en Afrique disposent d'une stratégie de cybersécurité pleinement déployée et opérationnelle. Toutes les autres se limitent à des initiatives partielles, à quelques objectifs isolés ou à des intentions qui ne se matérialisent pas dans la pratique. C'est précisément dans cet écart entre la conscience du risque et l'action que les attaquants prospèrent. Les cybercriminels ciblent volontiers des organisations qui paraissent conformes sur le papier, mais dont les défenses n'ont jamais été testées. C'est ce que nous appelons le piège de la stratégie papier : une illusion de contrôle entretenue par des documents, des audits et des procédures, sans réelle application au quotidien. Autrement dit, une entreprise peut disposer d'un plan d'évacuation parfaitement rédigé, sans que personne ne sache où se trouvent les issues de secours. -À quoi ressemblent ces vulnérabilités dans la réalité marocaine ? Ce sont souvent de petites négligences qui se transforment en brèches majeures : un serveur non mis à jour, un agent de protection désactivé, ou encore un test de phishing réalisé une fois puis jamais répété. Au Maroc, ces failles prennent une dimension particulièrement préoccupante. Le rapport révèle que 41 % des applications potentiellement indésirables (PUA) détectées à l'échelle du continent ciblent des PME marocaines, un taux supérieur à celui observé dans n'importe quel autre pays africain. Ces attaques ne reposent pas sur des techniques d'avant-garde, mais exploitent des erreurs quotidiennes : logiciels obsolètes, mauvaises configurations, absence de supervision continue. Par ailleurs, 47 % des PME marocaines reconnaissent éprouver des difficultés à optimiser leurs procédures de réponse aux incidents et à résoudre efficacement les attaques. 37 % admettent ne pas identifier clairement les outils de cybersécurité réellement adaptés à leurs besoins, tandis que 32 % peinent à assurer une bonne visibilité sur leur Cloud Discovery et à évaluer leurs vulnérabilités. Ces chiffres traduisent une même réalité : la maturité opérationnelle reste insuffisante face à la complexité des menaces actuelles. -Le rapport évoque également un manque d'implication au niveau des directions générales. En quoi cette déconnexion impacte-t-elle la performance en matière de sécurité ? C'est un facteur décisif. Près de 27 % des cadres interrogés admettent que leurs pairs ne perçoivent pas encore toute l'importance stratégique de la cybersécurité. Tant que ce sujet demeure cantonné aux équipes techniques, il ne bénéficie ni des budgets nécessaires ni d'une intégration dans les décisions de gouvernance. Cette absence de soutien se répercute directement sur le terrain. Les équipes informatiques se retrouvent souvent débordées : 29 % estiment que le simple suivi des menaces constitue déjà un emploi à temps plein, et 21 % affirment être submergées par le volume d'alertes quotidiennes. De plus, 18 % déclarent passer davantage de temps à résoudre des problèmes techniques liés à leurs outils qu'à contrer les attaques elles-mêmes. Dans un tel contexte, la sécurité devient fragmentée, parfois découragée. Une stratégie n'a de sens que si elle est portée par la direction. Lorsqu'elle n'est qu'un exercice de conformité, elle reste lettre morte. -Comment les PME peuvent-elles concrétiser leur stratégie malgré des ressources souvent limitées ? Tout commence par le réalisme. La sécurité ne dépend pas de la longueur d'une politique, mais de la rigueur avec laquelle elle est appliquée. Trois leviers concrets peuvent être activés immédiatement. Premièrement, intégrer la détection et la réponse. Les antivirus classiques ne suffisent plus. Les solutions EDR (Endpoint Detection and Response) et XDR (Extended Detection and Response) apportent une visibilité en temps réel, une compréhension du contexte et une automatisation qui transforme la stratégie en défense active. Deuxièmement, privilégier la clarté plutôt que la complexité. Un empilement d'outils mal coordonnés augmente les risques d'erreur humaine et la fatigue des équipes. La simplification de l'environnement technologique est en soi un acte de sécurité. Troisièmement, renforcer la sensibilisation des collaborateurs. Les employés constituent la première ligne de défense. Au Maroc, 33 % des PME placent la formation continue en cybersécurité parmi leurs priorités, un taux supérieur à la moyenne régionale africaine. Ces initiatives contribuent à instaurer une culture numérique solide et partagée. -Les technologies EDR et XDR paraissent parfois trop complexes pour de petites structures. Sont-elles réellement accessibles aux PME marocaines ? Elles le sont, et elles changent profondément la donne. L'EDR et sa déclinaison XDR permettent de passer d'une approche réactive à une posture proactive. Ces outils offrent aux entreprises une visibilité complète sur leurs réseaux, détectent les comportements suspects, retracent la propagation des menaces et guident les actions de confinement. Chez Kaspersky, la solution Kaspersky Next associe une protection avancée des terminaux à des capacités d'analyse et de réponse intégrées, adaptées à des environnements de taille moyenne. Pour les très petites structures, Kaspersky Small Office Security fournit une sécurité de niveau professionnel simple à déployer, même en l'absence d'administrateur dédié. Ces technologies ne remplacent pas une stratégie de cybersécurité : elles en constituent l'aboutissement. Elles permettent de transformer un cadre théorique en contrôle opérationnel. -Quel message souhaiteriez-vous adresser en priorité aux dirigeants de PME marocaines ? Ne considérez plus la cybersécurité comme un exercice administratif. Les menaces évoluent trop vite pour se contenter de documents et de politiques. Testez vos défenses, rapprochez vos équipes informatiques de votre comité de direction et investissez dans des outils qui transforment la visibilité en action. Lorsque les ressources sont limitées, l'externalisation devient une option stratégique. Au Maroc, 30 % des PME souhaitent désormais collaborer avec des experts externes capables d'assurer une surveillance continue, 24 heures sur 24 et 7 jours sur 7. Cette approche mutualisée permet d'accéder à des compétences rares sans alourdir les charges internes. La sécurité n'est plus un luxe ni une ligne de dépense optionnelle. Elle conditionne la résilience et la compétitivité. Une PME qui veut prospérer dans le monde numérique d'aujourd'hui doit faire de la cybersécurité un pilier de sa gouvernance, au même titre que la finance ou la stratégie commerciale.
