Les petites et moyennes entreprises africaines restent vulnérables face aux menaces informatiques. Selon un rapport publié ce mercredi par Kaspersky, 65 % d’entre elles ne disposent pas d’une stratégie de cybersécurité réellement opérationnelle. En Afrique du Nord, de l’Ouest et Centrale, l’Algérie figure parmi les pays les plus visés, avec 15,5 % des attaques de malwares et d’applications potentiellement indésirables détectées depuis le début de l’année 2025.
« La majorité des décideurs impliqués dans la cybersécurité des petites et moyennes entreprises (PME) en Afrique ne sont pas suffisamment préparés pour protéger leur entreprise. Les deux tiers (65 %) déclarent suivre une stratégie plus solide en théorie qu’en pratique, ou ne poursuivre qu’un certain nombre d’objectifs fragmentés, à défaut de mettre en œuvre un plan exhaustif », indique Kaspersky, une société internationale de cybersécurité et de protection de la vie privée fondée en 1997.
Et d’ajouter : « De plus, certains reconnaissent des lacunes dans leur compréhension des aspects fondamentaux de la cybersécurité : 34 % reconnaissent notamment la nécessité de mieux appréhender la gestion et la résolution des incidents cyber. Ce manque de stratégie et de savoir-faire concret les empêche d’assurer une protection réelle de leur entreprise, ainsi rendues vulnérables aux cyberattaques », selon le dernier rapport de Kaspersky.
Selon la même source : « Les PME en Afrique manquent de connaissances adéquates et d’une stratégie cohérente pour se protéger. Seules 29 % d’entre elles peuvent affirmer avoir mis en place une stratégie de cybersécurité pleinement opérationnelle. Dans l’ensemble, elles sont deux tiers (65 %) à reconnaître que leur approche actuelle est une stratégie largement théorique et partiellement mise en œuvre, voire pas un véritable plan du tout, mais simplement un ensemble d’objectifs fragmentés. »
« Plus précisément, 46 % des entreprises interrogées révèlent que, bien que leur stratégie soit mûrement réfléchie, elle n’est pas encore pleinement mise en place, tandis que 19 % affirment qu’elles travaillent à la réalisation d’un ensemble d’objectifs plutôt qu’à la mise en œuvre d’une stratégie concrète. Ces résultats mettent en évidence un décalage généralisé entre l’idée et la pratique, un écart qui se traduit par des faiblesses structurelles dans les opérations quotidiennes des PME en matière de cybersécurité », selon Kaspersky.
Les PME en Algérie, parmi les plus ciblées en Afrique
« L’absence de stratégie de cybersécurité concrète chez les PME est également mise en évidence par l’intensité des attaques recensées par Kaspersky dans la région », indique le rapport, et de souligner : « En 2025, les cyber-attaquants ont ciblé les PME africaines en déguisant des malwares et des applications potentiellement indésirables (PUA) en applications métier populaires. »
Selon la même source : « L’Algérie enregistrant 15,5 % de l’ensemble des cas d’attaques de logiciels malveillants et PUA déguisés en applications légitimes détectés dans les pays d’Afrique du Nord, de l’Ouest et Centrale analysés, figure ainsi parmi les pays les plus ciblés de la région. »
Les trois principales menaces affectant les PME en Afrique sont le Downloader (qui représente 55,39 % du total des menaces déceler), le Dangerous Object (13,56 %) et le Cheval de Troie (Trojan) (12,84 %). Les Downloaders sont des applications non malveillantes par nature, mais souvent exploitées pour installer des charges utiles dangereuses sur les appareils des victimes, sans les en informer clairement, précise le même document.
À titre de comparaison, note le rapport, certains pays européens enregistrent des niveaux de ciblage similaires pour les entreprises en tête de liste (par exemple, 40,2 % pour le pays le plus ciblé dans la sélection européenne des PME), « ce qui confirme que la pression cyber est intense sur le continent africain. »
« Ces statistiques soulignent un écart notable entre la stratégie et la mise en œuvre. Ce doute ne devient que plus évident si l’on s’en réfère à la confiance limitée des décideurs dans leurs connaissances et leurs outils en matière de cybersécurité. Par exemple, 34 % d’entre eux souhaitent mieux comprendre comment optimiser leurs capacités de réponse et de résolution lors d’un incident cyber, et ils sont un tiers (30 %) à se montrer curieux de savoir si leur protection des terminaux est suffisamment solide pour faire face à l’éventail des menaces actuel », relève Kaspersky.
Les répondants ont également déclaré souhaiter une meilleure connaissance : Des outils dont ils ont réellement besoin, parmi ceux disponibles sur le marché (28 %); De la marche à suivre pour garantir l’observabilité de leur environnement cloud et conduire des évaluations de vulnérabilité (24 %); Des exigences législatives et réglementaires qui s’appliquent à leur entreprise (24 %). Kaspersky indique : « Ces résultats, combinés au fait que 30 % des PME doutent de la véracité des descriptions de risques fournies par les fournisseurs, soulèvent une question cruciale : les entreprises savent-elles réellement comment se protéger efficacement ? »
« Les décideurs en charge, de près ou de loin, de la cybersécurité des PME s’appuient trop souvent sur des stratégies qui semblent bonnes sur le papier, mais qui s’avèrent insuffisantes dans la pratique, car elles ne prévoient pas les mesures opérationnelles concrètes nécessaires pour résister aux attaques actuelles. Notre étude montre que les deux tiers d’entre eux n’ont pas encore mis ces mesures en pratique de manière efficace, ce qui fait des PME des cibles de choix pour les cyber attaquants. Pour y remédier, les organisations doivent développer des stratégies de cybersécurité non seulement clairement définies, mais aussi complètement intégrées aux structures, aux responsabilités et aux décisions quotidiennes. Pour mitiger les risques et être moins exposées aux menaces, les organisations doivent passer de la théorie à la pratique, combler les lacunes essentielles en matière de connaissances et élaborer une stratégie de cybersécurité cohérente, intégrée dans les opérations quotidiennes, ne se limitant pas à des documents isolés ou à des mesures non coordonnées », commente Tim de Groot, directeur général de Kaspersky Afrique du Nord, Centrale et de l’Ouest.
Méthodologie
Pour cette enquête, Kaspersky a chargé Arlington Research de mener une enquête en ligne auprès de décideurs dont le rôle implique la cybersécurité de manière significative, travaillant pour des organisations de moins de 500 employés en Europe et en Afrique, en août et septembre 2025. Arlington a mené au total 820 entretiens auprès de ce public en Europe (600) et en Afrique (280) avec 60 entretiens menés dans chacun des pays suivants : Allemagne, Autriche, Suisse, Royaume-Uni, France, Italie, Espagne, Grèce, Roumanie, Serbie, Maroc, Algérie, Tunisie et Cameroun; et 20 entretiens chacun au Sénégal et en Côte d’Ivoire.
