Cybersécurité des PME : ce que révèle l'observatoire ARXO.ai sur l'exposition numérique des entreprises françaises
La cybersécurité des PME, un enjeu majeur pour ARXO.ai
ARXO.ai
La cybersécurité des PME, un enjeu majeur pour ARXO.ai
ARXO.ai
Le constat est connu, mais rarement mesuré aussi directement. Sur la base de plusieurs centaines d'analyses non intrusives conduites par ARXO.ai sur des PME françaises de 10 à 250 salariés, plus de 40 % des entreprises observées présentent au moins une interface d'administration visible ou un signal de configuration sensible. 35 % affichent au moins un signal pouvant faciliter une exposition de données.
Près de 60 % ne disposent d'aucune protection applicative visible, comme un pare-feu applicatif web (WAF), sur leur site principal.
Ces chiffres, agrégés et anonymisés, sont issus d'une méthode d'analyse passive : ARXO.ai observe ce qu'un attaquant peut voir depuis Internet, sans intrusion ni action illégale. La démarche se distingue des études classiques, qui mesurent les coûts des cyberattaques après coup. L'observatoire ARXO.ai mesure l'état d'exposition avant l'incident.
Le déficit est particulièrement marqué sur les professions réglementées : experts-comptables, cabinets d'avocats, cabinets médicaux, cabinets de conseil. Toutes manipulent des données clients sensibles, toutes restent historiquement sous-équipées en cybersécurité. Ces structures concentrent souvent les données financières et juridiques de centaines d'autres entreprises, ce qui en fait des cibles privilégiées pour les attaquants.
Le marché français de la cybersécurité PME est pourtant estimé à plus d'un milliard d'euros, en croissance de 15 % par an. La pression réglementaire s'intensifie avec la directive NIS 2, qui élargit les obligations de cybersécurité aux PME sous-traitantes de secteurs critiques. Les assureurs cyber, de leur côté, exigent désormais des garanties techniques minimales avant d'accepter un risque.
Mais l'offre disponible reste largement inadaptée au segment. Les solutions historiques sont conçues pour des organisations dotées d'un DSI ou d'un RSSI. La majorité des PME françaises n'en disposent pas, et se retrouvent face à un marché qui parle aux équipes techniques plutôt qu'aux dirigeants. ARXO.ai documente précisément ce paradoxe : les PME ne manquent pas de signaux d'alerte, elles manquent de capacité à les lire et à les interpréter.
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.
Fondé en 2025 et basé à Paris, ARXO.ai propose une approche fondée sur trois piliers : une lecture continue de l'exposition externe de l'entreprise, une protection web adaptative baptisée Iron Shield, et une intervention humaine opérée par l'éditeur sans nécessité d'expertise technique en interne chez le client. L'objectif est de rendre ce type de protection accessible à des structures ne disposant pas d'équipes cybersécurité dédiées avec un positionnement tarifaire raisonnable.
La logique défendue par l'éditeur est explicitement complémentaire à celle des outils existants. Là où un EDR (Endpoint Detection and Response) protège le poste de travail interne, ARXO.ai traite la surface externe : sites web, APIs, accès visibles depuis Internet. Selon l'observatoire, 80 % des PME analysées n'ont aucune protection web active, alors même qu'il s'agit du périmètre le plus exposé aux attaques automatisées.
Cette approche s'inscrit dans une catégorie de solutions encore peu développée en France : l'External Attack Surface Management, qui consiste à surveiller en continu ce qui est visible depuis l'extérieur. ARXO.ai combine cette surveillance avec une protection applicative opérée, ce qui distingue le modèle des outils de scan classiques, lesquels produisent un rapport ponctuel sans intervenir sur la protection elle-même.
Dans un cas anonymisé documenté par ARXO.ai, un cabinet d'expertise comptable parisien présentait une exposition sensible au niveau de son espace client en ligne, susceptible de rendre accessibles des documents financiers de ses propres clients. Le risque n'était pas une attaque sophistiquée mais une configuration affaiblie, restée non détectée. Une protection Iron Shield et des mesures de durcissement ont été déployées en 48 heures, réduisant le risque de confidentialité, de réputation et de conformité.
Ce type de scénario illustre une tendance de fond. La majorité des incidents de cybersécurité chez les PME ne sont pas le fait d'attaques ciblées et sophistiquées, mais d'attaques automatisées qui exploitent des configurations faibles ou des composants obsolètes laissés en ligne. La surveillance continue, lorsqu'elle est opérée par un tiers, permet d'identifier ces signaux avant qu'ils ne deviennent une porte d'entrée.
Florent Covilette, fondateur d'ARXO.ai, place sa solution dans une perspective de marché plus large : faire de la surveillance continue le nouveau standard pour les PME françaises. « Dans trois ans, un dirigeant de PME n'aura plus à se demander s'il doit faire un audit cyber. Il exigera que son entreprise soit sous surveillance continue, comme il exige aujourd'hui d'être assuré. » Reste à savoir si le marché PME, longtemps perçu comme un acheteur de réassurance plutôt que de cybersécurité réelle, suivra ce mouvement. La pression réglementaire de NIS 2 et la sélectivité croissante des assureurs cyber pourraient accélérer le calendrier. L'enjeu de souveraineté numérique, dans un secteur encore dominé par des acteurs nord-américains, ajoute une dimension supplémentaire à un débat français qui sort progressivement de la sphère technique pour rejoindre l'agenda économique.
La rédaction de La Tribune n'a pas participé à la réalisation de ce contenu en partenariat avec OpenMedias.
Face à l'essor de l'IA, Fortinet plaide pour une cybersécurité intégrée
TRANSEARCH Paris : « A l’ère de l’incertitude, le leadership change de nature »
Extrom, l’expertise abrasifs au service des industriels français
Best Managed Companies, le label des ETI, qui conjuguent croissance, adaptation et vision de long terme