Guide de référence

Cybersécurité PME 2026 :
le guide complet pour dirigeants

Menaces, obligations légales, coûts réels, plan d’action prioritaire. Tout ce qu’un dirigeant de PME doit savoir — sans jargon, en moins de 20 minutes de lecture.

Guide 2026 Mis à jour : juin 2026 20 min de lecture Conforme ANSSI · NIS2 · RGPD
1 sur 2 PME françaises a subi
une cyberattaque en 2025
97 000 € coût moyen d’un incident
pour une PME (Hiscox 2024)
60 % des PME victimes ferment
dans les 18 mois suivants

1. Les menaces qui ciblent les PME en 2026

Contrairement à une idée reçue persistante, les PME ne sont pas trop petites pour être ciblées. Elles sont ciblées précisément parce qu’elles ont moins de défenses. Les cybercriminels ont industrialisé leurs attaques : des outils automatisés scannent en permanence internet à la recherche d’entreprises mal protégées, quelle que soit leur taille.

Voici les quatre menaces les plus fréquentes en 2026, et ce qu’elles coûtent concrètement.

🔒

Ransomware (rançongiciel)

Vos fichiers sont chiffrés, votre activité s’arrête. Les attaquants réclament une rançon — souvent entre 5 000 et 50 000 € pour une PME. Même après paiement, la remise en état prend plusieurs semaines.

Menace n°1 en volume
🎣

Phishing & ingénierie sociale

Un email convaincant pousse un collaborateur à cliquer ou à virer des fonds. La fraude au président (FOVI) coûte en moyenne 30 000 € par incident en PME. 91% des cyberattaques commencent par un email.

Porte d’entrée principale
💾

Vol & fuite de données

Vos données clients, RH ou comptables sont exfiltrées et revendues ou utilisées pour nuire. Au-delà du préjudice commercial, une fuite RGPD expose à une amende pouvant atteindre 2% du CA mondial.

Risque légal fort
⚙️

Attaque via un sous-traitant

Votre prestataire informatique, comptable ou logistique est compromis. Les attaquants remontent la chaîne jusqu’à vous. 60% des PME victimes en 2025 ont été touchées indirectement via un tiers de confiance.

En forte hausse

⚠️ Pourquoi les PME sont une cible de choix

Les grandes entreprises investissent des centaines de milliers d’euros en cybersécurité. Les PME ont des données et de l’argent, mais des défenses réduites. C’est un calcul d’attaquant : effort faible, rendement élevé. La taille n’est pas une protection.

Passez à l’action

Êtes-vous exposé à ces menaces ?

Notre diagnostic identifie vos failles spécifiques en 10 minutes.

🛡️ Tester mon niveau — 9,99 €

Rapport PDF immédiat · Conforme ANSSI

2. Le vrai coût d’une cyberattaque pour une PME

Les dirigeants sous-estiment systématiquement le coût d’un incident cyber. La rançon n’est qu’une partie du total. Voici la décomposition complète basée sur les données Hiscox 2024 et les rapports de l’ANSSI.

Poste de coût Fourchette estimée Ce que ça représente
Rançon éventuelle5 000 – 50 000 €Si vous payez — rien ne garantit la récupération des données
Remise en état technique10 000 – 30 000 €Restauration des systèmes, nouveau matériel, prestataire spécialisé
Perte d’exploitation15 000 – 40 000 €Arrêt de production, ventes perdues, retards clients pendant 2–6 semaines
Communication de crise3 000 – 10 000 €Notification CNIL, communication clients, gestion réputation
Frais juridiques2 000 – 15 000 €Conseils légaux, procédures, réponse aux plaintes
Amende RGPD potentielle0 – 20 000 € (PME)Si des données personnelles ont été compromises
Total estimé35 000 – 165 000 €Moyenne constatée : 97 000 €

🚨 Le chiffre qui doit vous alerter

60% des PME victimes d’une cyberattaque ferment définitivement dans les 18 mois suivants. Non pas à cause de la perte de données, mais à cause de la perte de confiance des clients et des partenaires financiers.

Pour mettre en perspective : un diagnostic cybersécurité à 9,99 € qui identifie vos 3 failles prioritaires représente moins de 0,01% du coût moyen d’un incident. C’est l’investissement le plus asymétrique qui existe en matière de gestion des risques PME.

3. Vos obligations légales : NIS2 & RGPD

En 2026, la cybersécurité n’est plus seulement une question de prudence — c’est une obligation légale pour un nombre croissant d’entreprises. Deux textes structurent le cadre réglementaire français et européen.

La directive NIS2

Transposée en droit français en 2024, NIS2 élargit considérablement le périmètre des entreprises soumises à des obligations de cybersécurité. Elle distingue deux niveaux :

Critère Entité essentielle Entité importante
Taille minimale250 salariés ou 50M€ CA50 salariés ou 10M€ CA
Secteurs concernésÉnergie, santé, transports, eau, infrastructures digitalesAlimentaire, chimie, fabrication, services postaux, recherche
Obligation de déclaration d’incident24h (alerte) + 72h (rapport)24h (alerte) + 72h (rapport)
Mesures techniques requisesObligatoiresObligatoires
Responsabilité dirigeantPersonnelle et engagéePersonnelle et engagée
Sanction maximale10M€ ou 2% CA mondial7M€ ou 1,4% CA mondial

💡 Même hors obligation directe : attention à l’effet cascade

Vos clients grands comptes (grandes entreprises, administrations) sont eux soumis à NIS2. Ils vous demanderont de plus en plus souvent de prouver votre niveau de sécurité avant de vous référencer ou de renouveler un contrat. Un rapport de diagnostic est la réponse la plus rapide et la moins coûteuse à cette demande.

Le RGPD et la cybersécurité des données

Le RGPD impose à toute entreprise traitant des données personnelles (clients, salariés, prospects) de mettre en place des mesures de sécurité “appropriées”. En cas de fuite de données, la CNIL doit être notifiée dans les 72 heures. Les manquements sont sanctionnés.

✓ Les 6 obligations RGPD avec impact cybersécurité direct

  • Chiffrement des données sensibles au repos et en transit
  • Contrôle des accès — qui peut accéder à quelles données
  • Registre des traitements à jour (obligatoire pour toute entreprise)
  • Procédure de notification CNIL en cas de violation (72h)
  • Sauvegarde sécurisée des données personnelles, testée régulièrement
  • Contrats de sous-traitance avec vos prestataires (clause RGPD)

Notre diagnostic cybersécurité évalue votre niveau de conformité sur ces deux référentiels et produit un rapport que vous pouvez présenter à vos partenaires, clients et assureurs.

Conformité NIS2 & RGPD

Êtes-vous en conformité avec les obligations 2026 ?

Le rapport identifie vos écarts et votre plan de remédiation prioritaire.

Vérifier ma conformité — 9,99 €

Rapport PDF · Conforme ANSSI · Immédiat

4. Comment évaluer votre niveau de sécurité

Avant d’investir dans quoi que ce soit, il faut savoir où vous en êtes. La grande erreur des PME est de dépenser sur des solutions (antivirus, firewall, formation) sans avoir diagnostiqué les failles réelles — et de rater les angles morts les plus dangereux.

Il existe trois niveaux d’évaluation, selon vos besoins et votre budget.

01

Le diagnostic déclaratif (notre approche)

Un questionnaire structuré sur vos pratiques organisationnelles : sauvegardes, gestion des accès, formation des équipes, politique de mots de passe. Aucun accès technique requis. Résultat : un score de maturité par domaine et un plan d’action priorisé. Coût : 9,99 €. Durée : 10 minutes.

02

L’audit technique externe

Un prestataire certifié ANSSI analyse votre infrastructure réseau, vos vulnérabilités logicielles, vos systèmes exposés sur internet. Plus précis techniquement, mais nécessite un accès à vos systèmes. Coût : 3 000 – 8 000 €. Durée : 2–5 jours.

03

Le test d’intrusion (pentest)

Des experts simulent une vraie attaque sur votre système d’information pour identifier les failles exploitables. Recommandé pour les entreprises ayant déjà un niveau de maturité de base. Coût : 8 000 – 25 000 €. Durée : 1–3 semaines.

✓ Notre recommandation pour une PME de départ

Commencez par le diagnostic déclaratif. Il vous donnera une cartographie claire de vos 3–5 priorités. Vous déciderez ensuite, en connaissance de cause, si un audit technique est nécessaire — et sur quels périmètres. 80% des PME qui font notre diagnostic n’ont pas besoin d’aller plus loin dans l’immédiat : les actions identifiées sont suffisamment impactantes.

5. Plan d’action concret : par où commencer

Voici les actions par ordre d’impact, basées sur le guide ANSSI “Hygiène informatique” et les incidents les plus fréquents en PME. Vous n’avez pas besoin de tout faire d’un coup : concentrez-vous sur les 3 premières.

Actions immédiates — semaine 1 (coût : 0 à 100 €)

  • Vérifiez vos sauvegardes. Existe-t-il une copie externalisée, récente, et TESTÉE de vos données critiques ? Si non, c’est l’urgence absolue.
  • Activez le MFA sur votre messagerie professionnelle, votre espace bancaire et vos outils cloud. C’est gratuit et bloque 99% des compromissions de compte.
  • Mettez à jour tous les systèmes — Windows, logiciels métier, routeur. 60% des intrusions exploitent des vulnérabilités connues avec correctif disponible.

Actions court terme — mois 1 (coût : 200 à 500 €)

  • Sensibilisez vos équipes au phishing — une session de 45 minutes avec des exemples concrets réduit le taux de clic sur les liens malveillants de 70%.
  • Auditez les accès — qui a accès à quoi ? Supprimez les comptes d’anciens salariés et limitez les droits administrateurs.
  • Déployez un gestionnaire de mots de passe (Bitwarden gratuit, 1Password à 3€/mois) pour l’ensemble de l’équipe.
  • Vérifiez votre assurance — couvre-t-elle les cyber-risques ? Depuis 2023, beaucoup d’assureurs excluent les sinistres cyber des contrats multirisques classiques.

Actions structurantes — trimestre 1 (coût : 500 à 2 000 €)

  • Rédigez une charte informatique et faites-la signer par tous les collaborateurs (modèles gratuits CNIL).
  • Souscrivez une cyber-assurance adaptée à votre taille — comptez 500 à 2 000 €/an pour une PME de 10–50 salariés.
  • Définissez un plan de continuité d’activité (PCA) minimal : qui appelle qui si vous êtes attaqué un lundi matin ?
  • Engagez un prestataire MSP (Managed Service Provider) pour la supervision continue si vous n’avez pas d’IT en interne.

6. Combien budgéter pour la cybersécurité en PME ?

La règle communément admise est de consacrer entre 5% et 15% du budget IT total à la cybersécurité. En pratique, pour une PME de 10 à 50 salariés, voici ce que cela représente.

Taille de l’entreprise Budget cyber annuel recommandé Priorités d’allocation
Micro (1–9 salariés)500 – 2 000 €/anSauvegardes cloud, gestionnaire MDP, MFA, cyber-assurance basique
Petite (10–49 salariés)2 000 – 8 000 €/an+ Formation équipes, EDR (antivirus avancé), contrat MSP partiel
Moyenne (50–249 salariés)8 000 – 30 000 €/an+ SIEM basique, audit annuel, cyber-assurance complète, RSSI partiel

Ces montants semblent élevés ? Rappelez-vous : le coût moyen d’un incident est de 97 000 €. Investir 3 000 €/an en protection, c’est s’acheter une réduction de risque asymétrique. Sans compter que certaines mesures (MFA, mises à jour, sensibilisation) sont gratuites et efficaces à 80%.

7. Checklist complète : 20 points à vérifier

Cette checklist couvre les 20 contrôles fondamentaux du guide ANSSI “Hygiène informatique”. Cochez ceux que vous avez déjà en place — et traitez les autres par ordre d’impact.

🛡️ Accès & identités

  • MFA activé sur messagerie, banque et outils cloud principaux
  • Politique de mots de passe : minimum 12 caractères, uniques par service
  • Gestionnaire de mots de passe utilisé par toute l’équipe
  • Comptes inactifs supprimés (anciens salariés, prestataires terminés)
  • Droits administrateurs limités aux seules personnes qui en ont besoin

💾 Sauvegardes & continuité

  • Sauvegarde quotidienne automatique des données critiques
  • Copie externalisée (hors site ou cloud — pas uniquement locale)
  • Test de restauration réalisé au moins une fois dans les 6 derniers mois
  • Plan de reprise défini : qui fait quoi si les sauvegardes sont nécessaires

🔄 Mises à jour & correctifs

  • Windows / macOS à jour sur tous les postes
  • Logiciels métier à jour (ERP, CRM, comptabilité)
  • Firmware routeur et switchs mis à jour
  • Antivirus EDR installé et actif sur tous les postes

👥 Sensibilisation & organisation

  • Formation anti-phishing réalisée dans l’année
  • Charte informatique signée par tous les collaborateurs
  • Procédure d’urgence définie : numéro à appeler en cas d’attaque
  • Registre des traitements RGPD à jour

🔒 Réseau & infrastructure

  • Wi-Fi professionnel séparé du Wi-Fi visiteurs
  • VPN utilisé pour les accès distants et le télétravail
  • Cyber-assurance souscrite et couvrant les incidents informatiques

✓ Envie d’un bilan structuré et personnalisé ?

Notre diagnostic cybersécurité va plus loin que cette checklist : il évalue votre maturité sur 6 domaines, génère un score global, et produit un plan d’action priorisé spécifique à votre situation — en 10 minutes, pour 9,99 €.

8. Questions fréquentes

Les PME sont-elles vraiment ciblées par les cyberattaques ?

Oui. En 2025, 1 PME sur 2 a subi au moins une cyberattaque selon l’ANSSI. Les PME sont ciblées précisément parce qu’elles ont moins de défenses que les grandes entreprises, tout en détenant des données et de l’argent. Les outils d’attaque sont automatisés et ne font pas de discrimination par taille.

Mon entreprise est-elle concernée par NIS2 ?

Directement si vous avez plus de 50 salariés ou 10 M€ de CA dans un secteur concerné (santé, énergie, numérique, alimentation, etc.). Indirectement si vos clients grands comptes vous imposent leurs standards. Notre diagnostic NIS2 vous dit exactement où vous en êtes.

Par où commencer si je n’ai aucun budget ?

Trois actions gratuites à impact immédiat : activer le MFA sur votre messagerie, vérifier que vos sauvegardes existent et sont externalisées, et mettre à jour tous vos systèmes. Ces trois mesures bloquent les vecteurs d’attaque les plus courants.

Dois-je faire appel à un prestataire externe ?

Pas forcément pour commencer. La grande majorité des failles en PME proviennent d’actions de base non réalisées. Un diagnostic vous dira exactement où vous en êtes avant d’investir dans un prestataire — et vous évitera de payer pour des solutions dont vous n’avez peut-être pas besoin.

Combien coûte vraiment une cyberattaque ?

En moyenne 97 000 € tous coûts confondus selon Hiscox 2024 : rançon éventuelle, remise en état, perte d’exploitation, communication de crise, frais juridiques. 60% des PME victimes ferment dans les 18 mois. Le détail complet est dans notre article dédié.

Prochaine étape

Maintenant, évaluez votre niveau réel.

Votre checklist personnalisée, votre score, votre plan d’action — en 10 minutes.

🛡️ Lancer mon diagnostic — 9,99 €

Résultat immédiat · PDF · Sans engagement