Les PME\/ETI se disent mieux armées face aux risques, mais l’écart perception\/réalité demeure un angle mort

La dernière enquête de l’assureur QBE montre qu’une part importante des PME et des ETI françaises se perçoit aujourd’hui « mieux armée » face aux risques qu’en 2024. Près de 48 % des dirigeants interrogés déclarent une progression dans leur gestion des risques. Et 88 % se disent capables de faire face à une cyberattaque. Ces chiffres ont été publiés dans plusieurs medias économiques à l’occasion de la présentation du baromètre QBE-OpinionWay aux Rencontres AMRAE 2026.

Cette amélioration de la perception ne doit pas faire oublier une réalité plus complexe. Les dirigeants font face simultanément à de multiples menaces. Et l’attention portée au numérique et à la cyber résilience tend à occulter d’autres risques tout aussi structurants pour l’activité et la pérennité. La divergence entre perception et réalité constitue un angle mort stratégique.

Une exposition accrue, mais une lecture partielle des risques

L’étude QBE-OpinionWay montre que 86 % des PME et ETI affirment être exposées à au moins deux risques en même temps. Les risques humains restent les plus fréquemment cités, touchant 75 % des entreprises, suivis des risques de marché (66 %) et des risques réglementaires (58 %). Cette configuration n’est pas nouvelle mais confirme l’effet cumulatif des risques dans les organisations.

Pourtant, malgré ce constat de complexité, la cyber résilience domine la perception managériale.

Presque neuf dirigeants sur dix estiment qu’ils pourraient gérer une cyberattaque ou une défaillance d’un fournisseur informatique. Ce chiffre élevé peut traduire une confiance réelle, construite sur des actions (renforcement de dispositifs, investissements passés), mais il peut aussi masquer des faiblesses. La cybersécurité n’est plus un sujet isolé : elle s’intègre aujourd’hui à des chaînes critiques dépendantes de fournisseurs externes, d’écosystèmes numériques et de compétences rares.

Dans la littérature spécialisée, plusieurs analyses récentes pointent les limites de cette confiance vis-à-vis du numérique. Une revue scientifique systématique publiée en 2023 souligne que les PME peinent souvent à mesurer et à prioriser les menaces cyber réelles face à des contraintes de ressources, de compétences et de gouvernance dédiées. Un manque d’information, de formation et de financement reste un frein significatif à une cybersécurité robuste.

Risque non numérique : humain, marché, réglementaire

La focalisation sur la cyber peut conduire à sous-estimer d’autres catégories de risques qui affectent déjà des volumes significatifs d’entreprises. Les risques humains (absentéisme, accidents du travail, tensions sociales) constituent un élément structurant de la performance opérationnelle. Ils influencent directement la continuité d’activité, les capacités de production et la relation client.

Les risques de marché (perte de clients, concurrence accrue, fluctuations de prix) sont également mentionnés dans l’enquête QBE. Ils pèsent sur la stratégie commerciale et nécessitent des mécanismes de veille concurrentielle et d’adaptation des modèles économiques. Ces risques peuvent avoir des conséquences aussi graves que des attaques numériques, mais ils reçoivent souvent moins d’attention opérationnelle.

Les risques réglementaires progressent rapidement avec l’évolution constante des cadres européens (régulations sur l’IA, cybersécurité, normes sectorielles). Les dirigeants les perçoivent davantage, mais l’intégration dans les processus internes reste inégale. Une conformité superficielle ne protège pas contre les coûts, les sanctions ou les interruptions d’activité.

Gouvernance et perception : un décalage stratégique

Le constat clé de l’enquête est celui d’un écart perceptuel entre ce que les dirigeants pensent maîtriser et la réalité de l’exposition. La confiance déclarée reflète parfois des investissements visibles (outils de sécurité, partenariats IT) ou des mesures récentes. Mais elle peut aussi masquer des lacunes de gouvernance : absence d’exercices réels de crise, de tests de Plan de Reprise d’Activité (PRA), d’analyse des dépendances critiques ou d’une revue indépendante des processus.

Ce décalage peut conduire à sous-investir dans des scénarios non numériques. Les crises majeures ne sont pas toujours initiées par une cyberattaque. Un accident industriel, un non-respect réglementaire ou une rupture d’approvisionnement peuvent avoir des impacts équivalents sur l’exploitation, la réputation ou la solidité financière. Sans évaluation exhaustive, ces menaces restent sous-estimées.

Cas réel : incidents hors cyber

En novembre 2025, une panne mondiale d’un service cloud majeur a affecté des milliers d’entreprises. Au-delà des interruptions de service, elle a révélé la dépendance critique à quelques fournisseurs numériques. Même des organisations avec des moyens de cybersécurité élevés ont subi des pertes de productivité majeures. Cet épisode montre que les risques technologiques ne se limitent pas à des attaques malveillantes, mais incluent aussi des défaillances externes.

Enjeux pour les dirigeants. Passer de la perception à l’opérationnel

Pour un dirigeant de PME ou d’ETI, la leçon est claire : la gestion des risques doit être holistique et factuelle. Il ne suffit pas de se proclamer capable de faire face à une cyberattaque. Il faut le démontrer. Cela implique de tester les plans de continuité, d’intégrer des scénarios non numériques, de cartographier les dépendances externes et internes et d’inclure le facteur humain dans la gouvernance des risques.

La mise en œuvre de PRA réalistes, d’exercices de crise périodiques et de revues indépendantes permet de réduire l’écart entre perception et réalité. Une stratégie d’assurance adaptée peut compléter ces mesures, mais elle n’est pas un substitut à une gestion proactive.

L’enquête QBE met en lumière une progression dans la perception de la gestion des risques par les PME et les ETI. Mais cette perception ne doit pas devenir une fin en soi. La réalité des expositions est multiple, souvent imbriquée et parfois hors du prisme numérique.

Pour réduire l’angle mort stratégique, les dirigeants doivent enrichir leur lecture des risques, tester leur résilience et adapter leur gouvernance. Sans cela, la confiance affichée risque de laisser des vulnérabilités non traitées dans un environnement incertain.