Les failles de cybersécurité ne viennent pas toujours d’un mot de passe faible ou d’un clic malheureux d’un salarié. Dans de nombreuses PME et ETI françaises, ce sont les dirigeants eux-mêmes qui exposent leur entreprise à des risques majeurs, souvent sans en avoir conscience. Par excès de confiance, de négligence ou d’ignorance du cadre réglementaire, certaines décisions stratégiques ou habitudes personnelles participent à fragiliser tout un système d’information. Les attaquants l’ont bien compris, ciblant de plus en plus les échelons les plus élevés avec des approches sur mesure.
Une exposition directe par les usages numériques personnels
L’un des risques les plus sous-estimés par les chefs d’entreprise reste l’usage simultané de terminaux personnels et professionnels sans protection adaptée. En 2022, l’entreprise française Fleury Michon a été victime d’une intrusion via un appareil mobile non sécurisé, identifié comme appartenant à un membre du comité de direction. L’appareil, utilisé pour accéder à la messagerie professionnelle en déplacement, n’avait ni VPN actif, ni pare-feu à jour. L’attaque a permis de récupérer des identifiants, facilitant ensuite un accès aux serveurs internes.
Ce type d’usage est courant. Selon une étude de l’ANSSI, plus de 40 % des dirigeants de PME interrogés utilisent leur téléphone personnel pour consulter des données sensibles de leur entreprise, sans passer par un environnement sécurisé. Cette confusion entre sphère privée et professionnelle crée une surface d’attaque idéale, souvent négligée dans les plans de cybersécurité traditionnels.
Des arbitrages technologiques faits sans expertise dédiée
Dans nombre de PME, le dirigeant conserve une prérogative directe sur les choix informatiques majeurs : changement d’hébergeur, adoption d’un nouvel outil métier, externalisation du stockage. Cette centralisation décisionnelle devient problématique lorsqu’elle n’est pas accompagnée d’un avis expert. En 2023, une enquête de la CPME révélait que dans 38 % des cas, c’est le dirigeant seul qui choisit les prestataires informatiques, sans validation croisée de la DSI ou d’un RSSI.
L’exemple de l’entreprise Aquassay, spécialisée dans l’optimisation de la gestion de l’eau, est parlant. Lors de la refonte de son architecture logicielle en 2021, la direction a opté pour une solution cloud sans consultation préalable de son intégrateur. Résultat : des données sensibles liées aux installations clients ont transité par des serveurs hors UE, en contradiction avec les exigences de certains donneurs d’ordre industriels. Une erreur de pilotage plus qu’un problème technique.
Une posture défensive insuffisante face aux risques de rançongiciels
La montée en puissance des ransomwares a mis en lumière un autre point faible : le refus ou le retard à investir dans la sauvegarde active et la redondance. Plusieurs PME attaquées ces deux dernières années, comme les transports Chabas en Provence ou le groupe Anaveo, ont subi des paralysies totales de leur activité. Dans les deux cas, les attaques ont révélé une dépendance extrême à un seul environnement numérique, sans sauvegarde hors ligne ni plan de redémarrage structuré.
Certains dirigeants estiment que leur entreprise ne présente pas suffisamment d’intérêt pour être ciblée. Pourtant, les attaques opportunistes ne font pas de distinction de taille. En 2022, selon le rapport annuel de Cybermalveillance.gouv.fr, près de 60 % des victimes recensées étaient des structures de moins de 250 salariés. Dans la plupart des cas, les dirigeants reconnaissaient n’avoir pas pris la menace au sérieux, ou en avoir sous-estimé les conséquences.
Une communication inadaptée lors des incidents
Autre erreur récurrente : la gestion de la communication lors d’un incident. Trop souvent, les dirigeants cherchent à minimiser ou à cacher l’impact d’une cyberattaque par crainte d’alerter leurs clients ou leurs partenaires. En 2020, lors de l’infiltration du réseau de l’entreprise OMP Mechtron, fournisseur de composants mécaniques dans les Hauts-de-France, le silence observé pendant plusieurs jours a suscité des suspicions chez certains donneurs d’ordre, qui ont provisoirement suspendu leurs commandes.
À l’inverse, certaines entreprises comme TSE (Transition énergétique) à Toulouse ont fait le choix de la transparence. Victime d’une attaque par hameçonnage en 2021, l’entreprise a communiqué dans les 24 heures sur l’incident, les mesures prises, et les délais de rétablissement. Cette stratégie de clarté a permis de maintenir la confiance des partenaires financiers et institutionnels. Une leçon que peu de dirigeants intègrent avant d’y être confrontés.
Une sous-estimation du facteur humain à leur propre niveau
Enfin, beaucoup de dirigeants négligent leur propre vulnérabilité aux techniques d’ingénierie sociale. En 2022, plusieurs cas d’escroqueries au faux président ont touché des PME françaises à travers des appels ou courriels usurpant directement l’identité du dirigeant. À chaque fois, les fraudeurs disposaient d’informations glanées sur les réseaux sociaux professionnels ou dans les communiqués de presse, parfois validées involontairement par les dirigeants eux-mêmes.
Le cas de Sirea, entreprise d’électronique industrielle basée à Castres, reste emblématique : une tentative de fraude a été déjouée de justesse après qu’un assistant administratif a vérifié un ordre de virement douteux censé provenir du président. L’affaire a conduit la direction à revoir l’ensemble de ses procédures de validation interne, et à intégrer un volet de sensibilisation ciblée pour l’équipe dirigeante.
Quand la posture du dirigeant devient une faille
Dans la grande majorité des cas, les dirigeants ne refusent pas la cybersécurité : ils l’abordent à travers une grille de lecture partielle, parfois encore ancrée dans une logique de risque industriel classique. Pourtant, leur propre exposition, leurs décisions techniques, leur gestion de crise ou leurs habitudes numériques peuvent devenir les premières brèches.
Ce constat pousse de plus en plus d’acteurs à développer des programmes de sensibilisation spécifiquement destinés aux dirigeants, comme celui proposé par Hexatrust ou la formation Cyber dirigeant co-développée par l’ANSSI et Bpifrance. Car aujourd’hui, dans la chaîne de protection numérique, l’homme-clé est aussi le maillon faible.