/ Cédric Roy

Cyber PME et NIS2 : 10 actions pour bloquer 90 % des attaques

CybersécuritéNIS2Cyber PMEPMERGPD
Cyber PME et NIS2 : 10 actions pour bloquer 90 % des attaques

43 % des entreprises françaises ont subi au moins une cyberattaque réussie en 2024 — et les PME représentent une cible de choix précisément parce qu’elles sont supposées moins bien protégées. Le programme Cyber PME, lancé par l’État en décembre 2023, et la transposition de la directive NIS2 en droit français visent à changer la donne.

La directive européenne NIS2 est désormais transposée en droit français. Pour de nombreuses PME et associations, ce changement réglementaire n’est pas qu’une formalité.

Ce que NIS2 impose en France

NIS2 (Network and Information Security, version 2) étend les obligations de cybersécurité à un périmètre beaucoup plus large que son prédécesseur. En France, sont concernées :

  • Les entreprises de plus de 50 salariés ou de plus de 10 M€ de chiffre d’affaires dans des secteurs critiques (santé, eau, énergie, transport, numérique, administrations publiques, etc.)
  • Les sous-traitants de ces entités, même s’ils sont plus petits — la chaîne de fournisseurs est désormais dans le périmètre

Les obligations concrètes portent sur la gestion des incidents, la sécurité des systèmes, la continuité d’activité, et la notification obligatoire en cas de breach sous 24h pour les incidents majeurs.

Les sanctions peuvent aller jusqu’à 2 % du chiffre d’affaires mondial pour les entités essentielles, et 1,4 % pour les entités importantes.

Le programme Cyber PME : 10 actions prioritaires

Le programme national identifie 10 mesures capables de bloquer 90 % des cyberattaques courantes, pour un coût estimé entre 50 et 200 € par utilisateur et par mois selon les options choisies :

  1. Mots de passe forts et uniques — gestionnaire de mots de passe pour toute l’équipe
  2. Authentification à deux facteurs (2FA) — sur la messagerie, les accès admin, le VPN
  3. Mises à jour automatiques — systèmes d’exploitation, navigateurs, logiciels métier
  4. Sauvegardes régulières testées — règle 3-2-1 : 3 copies, 2 supports, 1 hors site
  5. Antivirus/EDR à jour — solution managée préférable à un antivirus libre sans supervision
  6. Séparation des comptes admin et utilisateur — ne pas travailler en administrateur au quotidien
  7. Filtrage des e-mails — anti-phishing, anti-spam, sandbox pour les pièces jointes
  8. Formation des équipes — simulation de phishing, sensibilisation aux arnaques courantes
  9. Plan de continuité minimal — qui appelle qui en cas d’incident, que faire si le serveur tombe
  10. Audit de surface d’attaque — recenser les accès externes exposés (RDP, services web, VPN)

Ce qui a changé en 2026

Deux évolutions majeures rendent ce sujet plus urgent qu’avant :

Les attaques sont plus automatisées. Les rançongiciels ne ciblent plus seulement les grands comptes — des outils automatisés scannent Internet en continu et exploitent les failles sans intervention humaine. Une PME avec un serveur non patché ou un accès RDP ouvert peut être compromise en quelques heures.

Les assurances cyber durcissent leurs conditions. Plusieurs assureurs exigent désormais la preuve de mesures minimales (2FA, sauvegardes, formation) avant d’accorder une couverture. Un sinistre sans ces preuves peut conduire à un refus d’indemnisation.

À qui s’adresser

L’ANSSI publie des guides gratuits adaptés aux PME et aux collectivités (disponibles sur ssi.gouv.fr). Des prestataires labellisés ExpertCyber ou Prestataire de Réponse aux Incidents (PRIS) proposent des audits et des accompagnements calibrés pour les structures de taille moyenne.

Un premier audit de sécurité basique peut se faire en une journée : il permet de prioriser les actions à fort impact sans disperser les ressources.

La cybersécurité n’est pas réservée aux grandes entreprises. Les PME et associations sont des cibles précisément parce qu’elles sont supposées moins bien protégées. Changer cette perception commence par des actions simples et documentées.