Guide pilier PME / TPE françaises ~30 min de lecture Plan d'action concret

Cybersécurité PME : le guide complet 2026

Couvre : menaces · protections essentielles · conformité (RGPD, NIS2) · cyber-assurance · ressources publiques
Réponse rapide

Une PME française fait face en 2026 à 4 menaces principales : ransomware (paralysie du SI), phishing (vecteur d'entrée dans 60-80% des cas), fraude au président (millions d'euros par incident), fuite de données (sanctions RGPD). Le plan d'action minimal tient en 10 actions : sauvegardes 3-2-1, MFA partout, mises à jour automatiques, antivirus moderne, sensibilisation continue, procédures virements, gestionnaire de mots de passe, cyber-assurance, conformité RGPD, plan de réponse documenté. Budget réaliste : 5 000 à 30 000 € selon la taille.

En une phrase — Ce guide propose un plan d'action concret pour les PME : comprendre les vraies menaces, mettre en place les protections essentielles, gérer la conformité RGPD/NIS2, choisir une cyber-assurance, savoir réagir en cas d'incident. Avec un budget réaliste pour une PME française.
PME victimes
~50% des entreprises françaises touchées par une cyberattaque chaque année
Vecteur principal
Phishing — 60-80% des incidents
Coût moyen incident
50 k€ à plusieurs millions selon ampleur
Conformité minimum
RGPD pour toutes, NIS2 pour entités essentielles/importantes
Aide publique
Cybermalveillance.gouv.fr — diagnostic gratuit + ExpertCyber
Budget cyber TPE/PME
5-15 k€ minimal · 30+ k€ pour PME structurées

01 — RéalitéLes PME en 2026

Pourquoi les PME sont des cibles privilégiées

Idée reçue : « les attaquants visent les grandes entreprises ». Faux. Les PME sont au contraire des cibles privilégiées parce qu'elles offrent :

  • Moins de protections : peu ou pas de RSSI, équipe IT réduite.
  • Moins de sensibilisation : équipes peu formées au phishing.
  • Argent réel : trésoreries souvent suffisantes pour rançons rentables (50 k€-500 k€).
  • Effet supply chain : porte d'entrée vers leurs clients grands comptes.
  • Données sensibles : clients, fournisseurs, salariés, comptable, R&D.

Les chiffres clés

  • ~50% des entreprises françaises victimes d'au moins une cyberattaque par an (baromètre CESIN).
  • Coût moyen d'un incident pour PME française : 30 000 à 500 000 € selon ampleur.
  • 1 PME sur 5 disparaît dans les 6 mois suivant une cyberattaque majeure (étude IBM/Ponemon).
  • ~300 000 victimes accompagnées par Cybermalveillance.gouv.fr par an, dont la majorité PME et TPE.

Les fausses excuses fréquentes

  • « On n'intéresse personne » : les attaques sont massives et automatisées. Vous êtes ciblé sans qu'on vous connaisse.
  • « On a un antivirus » : l'antivirus seul ne couvre que ~30% des attaques modernes.
  • « On est trop petits pour intéresser les hackers » : les ransomwares ciblent en priorité les PME (rançons modulables, défenses faibles).
  • « C'est trop technique pour nous » : 80% de la sécurité tient en 5-10 actions simples.
  • « On verra quand on sera plus gros » : 1 attaque peut couler l'entreprise.

La cybersécurité est devenue un enjeu de survie économique, pas un luxe pour grands comptes.

02 — MenacesLes 4 menaces principales

1. Ransomware

Voir : Ransomware.

Chiffrement des données et demande de rançon. La menace la plus destructrice pour les PME :

  • Paralysie complète du SI : comptabilité, ERP, CRM, fichiers clients.
  • Double extorsion fréquente : exfiltration des données + chiffrement + menace de publication.
  • Rançons typiques : 50 k€ à 500 k€ pour une PME.
  • Coût total (rançon + récupération + impact business) : souvent 5-10x la rançon.
  • Vecteur d'entrée principal : phishing + RDP exposé + VPN non patché.

2. Phishing et BEC

Voir : Phishing et notre guide complet phishing.

Premier vecteur d'entrée des cyberattaques. Forme spécifique B2B : le BEC (Business Email Compromise) qui regroupe :

  • Fraude au président : usurpation du PDG pour virement urgent.
  • Fraude au fournisseur : changement de RIB sur facture.
  • Compromission de messagerie pro : usage de la vraie boîte email pour tromper clients/collègues.

3. Fuite de données et conformité RGPD

Voir : RGPD et CNIL.

  • Compromission de bases de données clients/salariés.
  • Obligation de notifier la CNIL sous 72h.
  • Sanctions CNIL : jusqu'à 4% du CA mondial ou 20 M€.
  • Coûts collatéraux : notification clients, gestion de crise, perte de confiance.
  • Vecteurs typiques : vol d'identifiants, IDOR sur applications, base mal configurée exposée publiquement.

4. Compromission via fournisseurs

Voir : Supply chain attack.

  • Le maillon faible peut être un prestataire IT, un éditeur logiciel, un sous-traitant.
  • Cas connus : SolarWinds 2020, Kaseya 2021, MOVEit 2023, XZ Utils 2024.
  • Pour les PME : souvent via leur prestataire informatique (MSP).
  • Difficile à anticiper individuellement, nécessite vigilance contractuelle.

03 — PlanPlan d'action en 10 étapes

Approche pragmatique : 80% du risque est couvert par 10 actions prioritaires. À mettre en place dans cet ordre.

1. Sauvegardes 3-2-1 — la priorité absolue

La sauvegarde est la dernière ligne de défense contre le ransomware. Voir : PRA.

  • 3 copies des données critiques.
  • 2 supports différents (NAS local + cloud).
  • 1 copie hors site et déconnectée (cold storage).
  • Tester la restauration au moins 2 fois par an.
  • Versionnement (immutable backups) pour résister au chiffrement par ransomware.
  • Solutions PME : Veeam, Acronis, Synology HyperBackup, Datto.
2. MFA partout

Voir : MFA.

  • Email professionnel (Microsoft 365, Google Workspace).
  • Banque en ligne, SaaS comptables.
  • Accès distants (VPN, RDP, bureau virtuel).
  • Comptes admin et accès privilégiés.
  • Privilégier authenticator app ou clé matérielle FIDO2, éviter SMS.
  • Migration vers passkeys dès que possible.
3. Mises à jour automatiques
  • OS Windows/macOS automatiques sur tous les postes.
  • Navigateurs (Chrome, Firefox, Edge, Safari) à jour.
  • Logiciels métier : vérifier les éditeurs.
  • Firmware routeur, NAS, imprimantes.
  • Surveillance des CVE critiques sur les outils utilisés (newsletter ANSSI CERT-FR).
4. Antivirus / EDR moderne
  • Pour TPE : Microsoft Defender (intégré Windows) + bonnes pratiques suffit souvent.
  • Pour PME structurée : solution EDR dédiée — HarfangLab, SentinelOne, CrowdStrike, Microsoft Defender for Endpoint.
  • Solutions françaises labellisées ANSSI : HarfangLab (CSPN), Stormshield Endpoint Security.
  • Activation sur tous les postes, sans exception.
5. Sensibilisation continue au phishing
  • Formation initiale au démarrage (1-2h).
  • Simulations 2 à 4 fois par an.
  • Pédagogie sans humiliation des cliqueurs.
  • Mises à jour sur les techniques émergentes (deepfakes, IA).
  • Voir notre guide complet phishing.
6. Procédures de virement strictes

Spécifique PME : réduire le risque fraude au président et BEC.

  • Double validation obligatoire pour virements > X €.
  • Vérification systématique des changements de RIB par appel direct (pas par email).
  • Méfiance des urgences imposées par la hiérarchie (signal classique de fraude).
  • Mots de passe partagés pour validation interne.
  • Plafonds de virement raisonnables.
7. Gestionnaire de mots de passe pour tous

Voir : Gestionnaire de mots de passe et mot de passe.

  • Solution équipe : 1Password Business, Bitwarden Teams, Proton Pass for Business.
  • Coût : 3-8 €/utilisateur/mois.
  • Formation à l'usage.
  • Partage sécurisé entre membres d'une équipe.
  • Audit régulier (mots de passe faibles, réutilisés, compromis).
8. Cyber-assurance

Voir : Cyber-assurance.

  • Couvre : rançons (avec limites), reconstruction SI, frais juridiques, gestion de crise, communication.
  • Conditions : les assureurs exigent souvent MFA, sauvegardes, EDR.
  • Coût annuel TPE/PME : ~1 000-10 000 €.
  • Acteurs : Hiscox, Stoïk, Beazley, AIG, Mailo, Coface.
  • Vérifier les exclusions (notamment guerre cyber, sanctions OFAC).
9. Conformité RGPD

Voir : RGPD et CNIL.

  • Registre des traitements (article 30 RGPD) — obligatoire à partir de 250 salariés ou pour traitements à risque.
  • Désignation DPO si nécessaire (DPO mutualisé possible pour PME).
  • AIPD pour traitements à risque élevé.
  • Procédure de notification de violation sous 72h.
  • Information transparente des personnes (mentions légales, politique de confidentialité).
  • Outils : PIA (logiciel CNIL gratuit), templates, formation.
10. Plan de réponse à incident

Voir : PRA et CSIRT.

  • Procédure documentée connue de tous.
  • Liste des contacts : prestataire IT, ExpertCyber, banque, CNIL, assureur cyber, police.
  • Numéros utiles : Cybermalveillance, Info Escroqueries (0 805 805 817).
  • Procédures de communication interne et externe.
  • Test annuel via exercice de crise.

04 — ConformitéRGPD, NIS2, sectoriel

RGPD — pour toutes les entreprises

Voir : RGPD.

  • Applicable dès qu'on traite des données personnelles (clients, salariés, prospects).
  • Concrètement : registre, information, droits des personnes, sécurité, notification.
  • Sanctions CNIL : amendes jusqu'à 4% du CA mondial ou 20 M€.
  • En 2024-2026 : la CNIL sanctionne aussi les PME pour manquements basiques (pas que les géants).

NIS2 — entités essentielles et importantes

Voir : NIS2.

  • Directive européenne transposée en France octobre 2024.
  • Entités essentielles : secteurs critiques, ~entité > 250 salariés ou CA > 50 M€.
  • Entités importantes : secteurs importants, > 50 salariés ou CA > 10 M€.
  • Concerne ~10-15 000 entités françaises (estimation ANSSI).
  • Exigences : gouvernance cyber, gestion des risques, sécurité supply chain, notification incidents.
  • Sanctions : jusqu'à 10 M€ ou 2% du CA mondial.

DORA — secteur financier

Voir : DORA.

Pour banques, assurances, prestataires de services financiers : applicable depuis janvier 2025. Tests de résilience, gestion des risques tiers, notification incidents, exigences sur prestataires critiques.

Sectoriel

  • Santé : HDS obligatoire pour héberger des données de santé.
  • Paiements : PCI DSS pour traitement de cartes bancaires.
  • Cloud souverain : SecNumCloud pour données sensibles.
  • Défense, industrie sensible : référentiels ANSSI spécifiques.

Démarche de conformité réaliste

  1. Identifier les obligations applicables (RGPD au minimum).
  2. Cartographier les traitements de données.
  3. Évaluer les risques.
  4. Documenter (registre, AIPD si besoin).
  5. Mettre en œuvre les mesures (techniques + organisationnelles).
  6. Former les équipes.
  7. Auditer périodiquement.

05 — AssuranceCyber-assurance pour PME

Voir : Cyber-assurance.

Pourquoi souscrire

  • Couvre les coûts d'un incident : rançons, reconstruction, juridique, communication.
  • Accompagnement par cellule de crise (assistance 24/7).
  • Mise en relation avec experts (forensic, négociation, gestion de crise).
  • Couverture des conséquences : pertes d'exploitation, sanctions RGPD, recours clients.

Conditions imposées par les assureurs

En 2024-2026, les assureurs cyber exigent une hygiène cyber minimale :

  • MFA sur emails et accès admin.
  • Sauvegardes hors site régulièrement testées.
  • Antivirus / EDR à jour.
  • Mises à jour sécurité appliquées.
  • Formation des équipes.
  • Procédures de virement strictes.

Sans ces mesures, soit l'assurance est refusée, soit les primes sont prohibitives, soit les indemnisations sont réduites en cas de sinistre.

Acteurs sur le marché PME français

  • Hiscox : leader historique, offres TPE/PME.
  • Stoïk : insurtech française dédiée cyber, scoring continu.
  • Beazley, AIG, Chubb, Allianz : acteurs majeurs.
  • Coface : incluant volet financier.
  • Mutuelles d'entreprises (Mailo, Generali) avec offres simplifiées.

Coût indicatif

  • TPE (< 10 salariés) : 500-2 000 €/an.
  • PME < 50 salariés : 2 000-10 000 €/an.
  • PME 50-250 salariés : 10 000-50 000 €/an.
  • Variable selon secteur (santé, finance plus chers).
  • Plafonds de couverture : 500 k€ à 5 M€ typiquement.

06 — BudgetCombien ça coûte vraiment

TPE (< 10 salariés) — budget minimal

  • Microsoft 365 Business Premium avec Defender + Intune : ~22 €/utilisateur/mois.
  • Gestionnaire de mots de passe : 3-5 €/utilisateur/mois.
  • Sauvegardes cloud (Backblaze, OVH) : 50-200 €/an.
  • Cyber-assurance : 500-2 000 €/an.
  • Formation initiale + simulations phishing : 500-2 000 €/an.
  • Total annuel : ~5 000-8 000 €/an pour 5 personnes.

PME 10-50 salariés — budget recommandé

  • Microsoft 365 Business Premium ou équivalent : ~10-15 k€/an.
  • EDR moderne dédié (HarfangLab, SentinelOne) : 5-10 k€/an.
  • Sauvegardes : 1-3 k€/an.
  • Sensibilisation et simulations phishing : 1-3 k€/an.
  • Cyber-assurance : 5-15 k€/an.
  • Audit annuel léger : 3-8 k€.
  • DPO mutualisé : 2-5 k€/an.
  • Total annuel : ~25-50 k€/an.

PME 50-250 salariés — budget structuré

  • Outillage cyber complet (EDR, SIEM léger, MDM) : 30-80 k€/an.
  • RSSI à temps partiel ou prestataire : 30-80 k€/an.
  • Cyber-assurance plus large : 15-40 k€/an.
  • Pentest annuel : 8-20 k€.
  • Sensibilisation continue : 5-15 k€/an.
  • Total annuel : ~100-250 k€/an.

Mise en perspective

  • Coût d'une attaque réussie : 50 k€ à plusieurs millions selon ampleur.
  • Une cyberattaque évitée = retour sur investissement immédiat.
  • 1 PME sur 5 ne survit pas à un incident majeur — la cyber est un investissement de continuité.
  • Aides publiques disponibles (voir section suivante).

07 — AidesRessources publiques gratuites

Cybermalveillance.gouv.fr

Voir : Cybermalveillance.

  • Diagnostic en ligne gratuit en cas d'incident.
  • Mise en relation avec prestataires ExpertCyber de proximité.
  • Fiches réflexes par type d'incident.
  • Ressources de sensibilisation gratuites pour les équipes.
  • Cybermoi/s en octobre : matériel de communication réutilisable.

ANSSI — Agence nationale

Voir : ANSSI.

  • Guides d'hygiène et bonnes pratiques (gratuits).
  • Référentiels (EBIOS RM méthode d'analyse de risques).
  • CERT-FR : alertes sur vulnérabilités majeures.
  • Pour les PME : ressources adaptées sur ssi.gouv.fr.

Aides financières

  • France 2030 : appels à projets cyber.
  • Bpifrance : prêts « diagnostic cyber » et financement.
  • Régions : certains conseils régionaux subventionnent les diagnostics cyber PME.
  • Crédit Impôt Innovation pour certaines dépenses cyber R&D.

CNIL

Voir : CNIL.

  • Outil PIA gratuit (analyse d'impact RGPD).
  • Guides RGPD adaptés PME.
  • Templates de registre, mentions légales, politique de confidentialité.
  • Service de consultation pour DPO.

Associations professionnelles

  • CLUSIF : panorama annuel cybercriminalité, groupes de travail.
  • CESIN : réservé RSSI, baromètre annuel.
  • Hexatrust : découvrir les éditeurs français.
  • Campus Cyber : événements, écosystème.

08 — IncidentQue faire en cas d'attaque

Voir aussi notre fiche piratage informatique et ransomware.

Les 30 premières minutes

  1. Isoler les machines compromises (Wi-Fi coupé, câble débranché). Ne pas éteindre.
  2. Prévenir : dirigeant, prestataire IT, RSSI si présent.
  3. Conserver les preuves : captures, logs, emails.
  4. Évaluer rapidement : ampleur, données touchées, impact business.

Les premières heures

  1. Activer le plan de réponse documenté.
  2. Contacter Cybermalveillance.gouv.fr pour orientation.
  3. Mobiliser un prestataire ExpertCyber pour intervention.
  4. Prévenir l'assureur cyber (délais contractuels souvent courts).
  5. Préparer la communication interne.

Les 72 premières heures

  1. Si données personnelles concernées : notifier la CNIL sous 72h.
  2. Déposer plainte (police, gendarmerie, ou pré-plainte en ligne).
  3. Si NIS2 : notification ANSSI.
  4. Communication clients/fournisseurs si impact.
  5. Restauration depuis sauvegardes saines.

Ce qu'il NE faut PAS faire

  • Payer la rançon immédiatement : pas de garantie, finance la criminalité, marqueur « payeur ».
  • Cacher l'incident : aggrave les sanctions, perd la confiance.
  • Tenter un nettoyage hâtif : efface les preuves, laisse souvent des persistances.
  • Communiquer prématurément sans connaître l'ampleur.
  • Négliger les sauvegardes dans la précipitation (double-vérifier qu'elles ne sont pas compromises).