Celles que l’on appelle les « petites et moyennes entreprises » sont intrinsèquement moins bien armées que les plus grandes pour faire face aux risques cyber. Leurs ressources humaines et techniques sont limitées, et leurs services IT vite engorgés. Elles se voient souvent contraintes de faire l’impasse sur les bons outils, comme les solutions de protection de messagerie, sur les bons équipements informatiques, et n’ont pas le temps de mettre en place des programmes de sensibilisation à la cybersécurité à destination de leurs collaborateurs.