40 M de comptes français compromis en 2025, 19 M à l'ANTS en avril 2026. Causes, scandales, NIS2 et stratégies de protection. Guide dirigeants par Plateya.

Pourquoi les risques de cybersécurité augmentent pour les entreprises ? Guide 2026 des menaces, scandales récents et stratégies de protection

Par Plateya · RiskCyber  |  Mis à jour le 21 avril 2026  |  Temps de lecture : 18 min

L'essentiel en 60 secondes Les risques cyber explosent pour une raison simple : la surface d'attaque des entreprises a doublé, l'outillage des attaquants s'est industrialisé, et l'environnement réglementaire s'est durci. En 2025, 40,3 millions de comptes français ont été compromis (Surfshark), l'ANSSI a traité 1 366 incidents et la CNIL reçoit désormais environ 24 notifications de violations par jour. En 2026, à peine quatre mois écoulés, les fuites majeures s'enchaînent : ANTS (19 M d'enregistrements), Urssaf (12 M), EduConnect (3,5 M), FFBB (2,7 M), OFII (2,1 M), Basic-Fit (1 M). Le coût moyen d'une cyberattaque dépasse 150 000 € pour une PME française et 60 % des PME attaquées ferment dans les six mois. La parade n'est pas technologique mais méthodique : audit, prévention, formation, gouvernance (RSSI part-time) et outillage (EDR, MFA, sauvegardes).

 

 

En janvier 2026, la CNIL a sanctionné France Travail de 5 millions d'euros pour avoir laissé fuiter les données de 43 millions d'actifs français, inscrits ou anciens inscrits sur les vingt dernières années. En avril, 19 millions d'enregistrements issus de l'Agence Nationale des Titres Sécurisés (ANTS) étaient mis en vente sur le darkweb. Deux jours plus tard, c'est la Fédération Française de Basket-Ball qui voyait 2,7 millions de licenciés et parents exposés. Entre les deux, Basic-Fit, l'Urssaf, l'OFII, EduConnect, la Fédération Française de Tennis, les chasseurs, le CROUS, ManoMano… Pas une semaine sans une nouvelle affaire majeure.

Cette série n'est pas un accident. Elle traduit un basculement structurel : la cybersécurité n'est plus un sujet technique délégué à la DSI, c'est devenu un risque économique et stratégique de premier plan pour toute entreprise, du cabinet d'avocats parisien à l'ETI industrielle de province. Pourquoi cette accélération ? Et surtout, comment s'en protéger concrètement quand on dirige une TPE ou une PME qui ne peut pas se payer une armée d'analystes SOC ?

Cet article répond aux deux questions. Sans sensationnalisme, sans vocabulaire inutilement technique, et avec des chiffres sourcés (ANSSI, CESIN, CNIL, IBM, Hiscox, Surfshark). Il vous donne d'abord les six moteurs structurels de la hausse du risque cyber, ensuite une lecture fine des scandales récents – ce qu'ils révèlent sur les failles des organisations françaises – puis le cadre réglementaire NIS2/DORA qui s'impose à des dizaines de milliers de PME en octobre 2026, et enfin la feuille de route opérationnelle pour bâtir une défense à la portée d'une ETI : audit, prévention, formation, RSSI part-time et outillage.

 

2025-2026 : la France au deuxième rang mondial des fuites de données

Les chiffres sont publics, vérifiables, et sans appel. En 2025, la France a été le deuxième pays le plus touché par les violations de données dans le monde, derrière les États-Unis. Selon le rapport Surfshark, 40,3 millions de comptes français ont été compromis dans l'année, soit une densité de violations douze fois supérieure à la moyenne mondiale, et en moyenne un compte piraté par seconde. Pour remettre l'échelle en perspective : la France représente environ 1 % de la population mondiale, mais concentre une part disproportionnée des fuites.

L'ANSSI, dans son Panorama de la cybermenace 2025 publié le 11 mars 2026, confirme la tendance : 1 366 incidents traités (stable par rapport à 2024), mais avec une inversion des registres d'attaques. Les exfiltrations de données ont bondi à 196 cas (contre 130 en 2024, soit +50 %), tandis que les ransomwares se stabilisent à 128 cas. La CNIL note de son côté une explosion des notifications de violations (+45 %), soit environ 24 fuites déclarées par jour en moyenne. Au 21 avril 2026, les trackers indépendants (fuitesinfos.fr, bonjourlafuite.eu.org) recensent déjà 249 fuites depuis le début de l'année.

Le baromètre CESIN 2026 complète le tableau côté entreprises : 40 % des entreprises françaises ont subi au moins une cyberattaque significative dans l'année. Chez les grandes entreprises (plus de 5 000 salariés), la proportion monte à 50 %. Chez les ETI (250-4 999 salariés), 34 % – et parmi ces 34 %, huit entreprises sur dix ont subi un impact direct sur leur activité (perturbation de production, perte de chiffre d'affaires, atteinte à l'image). Ce n'est plus une menace abstraite : c'est une réalité opérationnelle.

 

Fuites majeures en France – janvier-avril 2026

Organisation	Date	Volume	Données exposées
ANTS / France Titres	15-20 avril 2026	19 millions d'enregistrements	Identité, date/lieu de naissance, email, téléphone, adresse, identifiant compte
FFBB (Basket-Ball)	17 avril 2026	2,7 millions	Identité, adresse, licence, certificat médical, consentements
EduConnect (Éducation)	14 avril 2026	3,5 millions (élèves)	Identité, établissement, identifiant, code activation
Basic-Fit	13 avril 2026	1 million (France + Europe)	Identité, email, téléphone, coordonnées bancaires, abonnements
Urssaf	19 janvier 2026	12 millions (salariés)	Noms, dates de naissance, SIRET employeur, dates d'embauche
OFII (Immigration)	1 janvier 2026	2,1 millions (dossiers)	Données personnelles d'étrangers résidant en France
France Travail (2025)	Sanction CNIL 01/2026	Jusqu'à 43 millions	Identité, n° Sécurité sociale, adresse, téléphone, email
Bouygues Telecom	Août 2025	6,4 millions (clients)	État civil, coordonnées, IBAN
Pajemploi	Novembre 2025	Jusqu'à 1,2 million	Données personnelles (assistantes maternelles)
Harvest (MAIF/BPCE)	2025	55 000 clients	Données financières et personnelles

 

Sources : ANSSI, CNIL, fuitesinfos.fr, bonjourlafuite.eu.org, communiqués officiels, 01net, Le Figaro.

 

Les 6 moteurs structurels de la hausse du risque cyber en 2026

Pourquoi les risques augmentent-ils autant, et aussi vite ? La réponse n'est pas dans une menace isolée, mais dans la convergence de six dynamiques simultanées. Comprendre ces moteurs n'est pas un exercice académique : c'est ce qui permet de calibrer correctement sa défense, plutôt que de courir après la dernière menace médiatique.

1. L'industrialisation du cybercrime (Ransomware-as-a-Service)

Les ransomwares ne sont plus l'affaire de quelques virtuoses techniques isolés. Le modèle dominant en 2026 est le RaaS (Ransomware-as-a-Service) : des plateformes clés en main qui permettent à n'importe quel criminel, même sans compétences de développement, de lancer des attaques sophistiquées contre rémunération. Les groupes Akira, RansomHub, Qilin, DragonForce et Medusa représentent à eux seuls plus de 50 % des attaques mondiales en 2025-2026. DragonForce a enregistré une croissance de 212 % de ses attaques sur le premier semestre 2025.

Cette professionnalisation a deux effets directs. D'une part, elle démocratise l'offensive : un escroc peu qualifié peut désormais louer un ransomware abouti, gérer une négociation, et blanchir une rançon via des cryptomonnaies. D'autre part, elle spécialise les cibles. Akira, par exemple, se concentre sur les PME et ETI françaises, précisément parce qu'elles sont jugées solvables, moins bien défendues que les grandes entreprises, et souvent fournisseurs de groupes plus gros – une porte d'entrée idéale vers la supply chain.

2. L'IA générative au service des attaquants

L'intelligence artificielle générative a transformé l'économie du phishing et de l'ingénierie sociale. Elle permet aux attaquants d'industrialiser la production d'emails frauduleux parfaitement rédigés, personnalisés, et contextualisés pour chaque victime. Exit les tournures approximatives qui faisaient repérer un phishing à dix mètres : un ChatGPT-like bridé pour le crime produit désormais des messages indiscernables d'une communication légitime, en français natif, avec les bons codes sectoriels.

Le deepfake vocal et vidéo, lui, a fait bondir les arnaques au président : une personne sur quatre dit avoir été confrontée – directement ou via un proche – à une tentative de clonage vocal (Global Security Mag). Les entreprises ont vu se multiplier les faux ordres de virement dictés par un « dirigeant » dont la voix reproduite à l'identique appelait un comptable naïf. Gartner prévoit que 17 % des cyberattaques seront exécutées avec l'aide de l'IA générative d'ici 2027. En pratique, c'est déjà le cas pour une part croissante du phishing, qui reste le vecteur d'intrusion n°1 : 91 % des cyberattaques réussies débutent par un email frauduleux (ANSSI, 2025).

3. L'élargissement de la surface d'attaque

Une entreprise de 2019 avait une surface d'attaque très différente d'une entreprise de 2026. Trois changements structurels ont fait exploser le périmètre à défendre :

• Télétravail et hybride : 62 % des entreprises signalent des risques élevés au sein de leurs réseaux à cause de la connectivité distante (Pentera). Chaque collaborateur qui se connecte depuis son domicile, via son Wi-Fi perso, sur un ordinateur potentiellement partagé, est un vecteur supplémentaire.
  
  
• Multiplication du cloud et des SaaS : une PME moyenne utilise aujourd'hui plus de 75 applications SaaS – CRM, comptabilité, RH, marketing, visioconférence, messagerie, stockage, IA. Chaque intégration est une surface d'attaque et une zone de confiance à maintenir.
  
  
• IoT et objets connectés industriels : capteurs d'usine, caméras, badges, imprimantes réseau, véhicules connectés. Leur sécurité native est souvent minimale, et ils ouvrent autant de portes d'entrée. Le G7, présidé par la France en 2026, en a fait une priorité.
  
  
  

4. La fragilité de la chaîne d'approvisionnement

C'est le moteur le plus sous-estimé, et probablement le plus structurellement grave. En 2026, 34 % des entreprises ont subi une fuite de données via un tiers (défaut de sécurité chez un fournisseur), 32 % ont été touchées par une vulnérabilité critique sur un produit tiers déployé, et 30 % ont subi l'effet domino d'un ransomware chez un prestataire (CESIN 2026). Autrement dit : même si votre entreprise est parfaitement sécurisée, votre prestataire paie, votre sous-traitant RH ou votre éditeur de logiciel peut vous coûter très cher.

Les fuites récentes de ManoMano (via un sous-traitant service client), de Harvest (impactant les clients MAIF et BPCE) ou de Pajemploi illustrent ce mécanisme. C'est précisément pour cette raison que la directive NIS2 impose aux entités concernées d'auditer et sécuriser leur chaîne d'approvisionnement : un prestataire défaillant peut compromettre votre conformité et vous exposer aux sanctions.

5. La pénurie structurelle de talents et le retard de maturité

En France, l'ANSSI recense 15 000 postes non pourvus en cybersécurité en 2025. Résultat : 90 % des PME françaises n'ont pas les ressources internes pour structurer leur sécurité, et 74 % des entreprises confondent encore « sécurité informatique » et « cybersécurité » (étude Clusif 2026). Plus grave : 66 % des organisations n'appliquent pas les bonnes pratiques essentielles préconisées par l'ANSSI, et seulement 27 % connaissent le guide d'hygiène de l'agence.

Cette pénurie explique la popularité croissante des RSSI externalisés (vCISO) et des prestataires spécialisés en cybersécurité. Elle explique aussi pourquoi le phishing continue de fonctionner : si vos collaborateurs ne sont pas formés, même les meilleurs pare-feux du monde ne vous protégeront pas d'un clic sur le mauvais lien.

6. Un cadre réglementaire qui durcit les sanctions

Dernier moteur : le risque juridique n'est plus théorique. La CNIL sanctionne beaucoup, et cher. Free/Iliad a écopé de 42 millions d'euros d'amende sur une affaire antérieure. France Travail, 5 millions. La directive NIS2, applicable au plus tard le 17 octobre 2026 en France, prévoit jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles, 7 millions ou 1,4 % pour les entités importantes. DORA couvre le secteur financier. Le Cyber Resilience Act (CRA) s'imposera aux fabricants de produits numériques. Et, point essentiel, NIS2 introduit pour la première fois la possibilité de sanctions personnelles contre les dirigeants : interdiction temporaire d'exercer, publication de la décision (name and shame), responsabilité civile en cas de négligence démontrée.

 

Le point de vue Plateya Dans nos accompagnements, nous voyons constamment le même schéma : les dirigeants pensent que la cybersécurité est un problème technique à déléguer à l'IT. En réalité, c'est un sujet de gouvernance. Les six moteurs ci-dessus ne se combattent pas avec un meilleur antivirus – ils se combattent avec une stratégie, une équipe (même réduite, même mutualisée), et un reporting régulier au Comex. C'est exactement la logique du RSSI part-time que nous proposons via notre marketplace : un expert senior, deux à huit jours par mois, qui bâtit votre politique de sécurité sans vous imposer la structure et le coût d'un RSSI temps plein.

 

Anatomie des scandales récents : ce que révèlent les grandes fuites de 2025-2026

Au-delà des chiffres, chaque fuite raconte une faille organisationnelle précise. Analyser ces scandales permet de comprendre ce qui, concrètement, ne fonctionne pas dans les entreprises françaises – et donc par où commencer pour se protéger.

Les administrations françaises massivement touchées

Les administrations ont été les grandes victimes de la période. France Travail (ex-Pôle Emploi) a vécu plusieurs vagues, dont une touchant potentiellement 43 millions de personnes inscrites sur vingt ans : nom, prénom, date de naissance, numéro de Sécurité sociale, adresse, téléphone, email. La CNIL a sanctionné 5 millions d'euros en janvier 2026 pour manquements graves à l'article 32 du RGPD (sécurité des traitements). L'Urssaf, en janvier 2026, a reconnu un accès frauduleux concernant jusqu'à 12 millions de salariés. L'OFII a vu 2,1 millions de dossiers d'étrangers mis en vente sur le darkweb au 1ᵉʳ janvier 2026. EduConnect, le portail d'authentification des familles pour l'Éducation nationale, a vu fin 2025 un compte administrateur usurpé, exposant 3,5 millions de comptes élèves – identifiant, établissement, classe, code d'activation. L'ANTS, enfin, a subi la plus grosse fuite publique de 2026 à ce jour : 19 millions d'enregistrements mis en vente par un acteur identifié comme « breach3d ». Le parquet de Paris a ouvert une enquête.

Ce que révèlent ces incidents : les administrations concentrent des données d'une valeur criminelle exceptionnelle (identités complètes croisées avec NIR, IBAN, historiques professionnels) mais opèrent sur des infrastructures souvent sous-dimensionnées, avec des prestataires nombreux et une gouvernance éclatée. La menace n'est pas technique – elle est structurelle.

Le secteur privé : télécoms, santé, sport, distribution, fitness

Côté privé, la diversité des cibles est frappante. Bouygues Telecom a vu 6,4 millions de clients exposés en août 2025 (état civil, coordonnées, IBAN) via une attaque d'ingénierie sociale – pas de faille technique sophistiquée, juste un collaborateur manipulé. Basic-Fit, avril 2026 : 1 million d'adhérents France + Europe, avec coordonnées bancaires. La santé est particulièrement exposée : MonLogicielMedical, YMED (253 000 patients en avril 2026), Cegedim ont tous fuité des dossiers médicaux – les données les plus sensibles du RGPD. Dans le luxe distributif, Harvest, sous-traitant de MAIF et BPCE, a exposé 55 000 clients en 2025. Intersport, Autosur (4 millions), Conforama (9,4 millions) complètent le palmarès. Et le sport n'a pas été épargné : Fédération Française de Basket-Ball, Fédération Française de Tennis, fédération des chasseurs (1 million de permis exposés, avec un risque particulier de cambriolages ciblés pour vol d'armes).

Ce que révèlent ces incidents : tous les secteurs sont concernés, la taille n'est pas une protection, et l'ingénierie sociale (phishing, manipulation d'agents) reste l'entrée privilégiée – très loin devant la faille technique pure.

Les trois enseignements transverses

Si l'on fait la synthèse, trois enseignements s'imposent pour toute entreprise française en 2026 :

1. La faille humaine domine. Ingénierie sociale, phishing, comptes admin usurpés, mots de passe faibles : dans l'immense majorité des cas documentés, l'entrée s'est faite par un humain, pas par une prouesse technique. La formation est donc le premier investissement rentable, toujours.
   
   
2. La chaîne d'approvisionnement est le point faible. Harvest, ManoMano, Pajemploi, EduConnect : autant d'exemples où l'attaque n'a pas visé la cible ultime mais un prestataire. Auditer ses fournisseurs n'est plus une option, c'est une obligation NIS2.
   
   
3. Les données fuitées ne disparaissent pas : elles circulent. Elles alimentent ensuite des campagnes de phishing ciblé, des usurpations d'identité, des cambriolages (cas de la fédération de tir), et des attaques secondaires des mois plus tard. Une fuite n'est pas un incident ponctuel – c'est une dette cyber durable.

 

Combien coûte réellement une cyberattaque pour une entreprise française ?

La question est centrale, car c'est elle qui détermine le ratio coût/bénéfice d'un investissement en protection. Les chiffres varient selon les sources et les méthodologies, mais un consensus se dégage clairement.

Pour une PME française, le coût moyen d'un incident cyber dépasse 150 000 € selon l'ANSSI (2025). Hiscox évalue le coût moyen d'une attaque par ransomware à 220 000 € pour une entreprise française. Une PME victime de ransomware sans plan de continuité d'activité (PCA) perd en moyenne 350 000 € (rapport ANSSI 2024). Au niveau international, IBM Cost of a Data Breach 2026 fixe le coût moyen global d'une cyberattaque à environ 4,35 millions d'euros tous segments confondus. Plus brutal : 60 % des PME victimes d'une attaque sérieuse ferment dans les six mois qui suivent l'incident.

 

Répartition typique du coût d'une cyberattaque sur une PME de 50 salariés

Poste de coût	Part moyenne	Montant typique	Nature du risque
Interruption d'activité	35-45 %	50 000-150 000 €	Arrêt production, perte CA
Remédiation technique	20-25 %	30 000-70 000 €	Forensic, reconstruction SI
Notifications et juridique	10-15 %	15 000-50 000 €	CNIL, clients, frais d'avocat
Rançon (si payée)	0-20 %	0-200 000 €	Déconseillé par l'ANSSI
Perte de clients & image	15-25 %	Variable (long terme)	-20 à -30 % CA l'année N+1
Amende RGPD potentielle	0-30 %	0 à 4 % du CA mondial	NIS2 : jusqu'à 10 M€

 

Sources : IBM Cost of a Data Breach 2026, Hiscox Cyber Readiness 2025, ANSSI, CNIL.

 

À titre de comparaison, le coût annuel d'une stratégie de cybersécurité complète pour une PME de 20 à 50 salariés se situe entre 25 000 et 50 000 € (ISI Sec, 2026), soit entre 200 et 800 € par mois tout compris. Une PME victime de ransomware sans préparation perd donc en moyenne sept à dix fois ce qu'elle aurait investi pour se protéger. Le calcul coût/bénéfice est, dans tous les scénarios réalistes, en faveur de la prévention.

 

NIS2, DORA, CRA : le choc réglementaire de 2026

La pression sur les entreprises ne vient pas seulement des attaquants. Elle vient aussi – et peut-être surtout – du régulateur. 2026 est l'année où la cybersécurité bascule du « devoir moral » vers l'obligation légale pour des dizaines de milliers d'entreprises françaises qui ne l'étaient pas auparavant.

NIS2 : qui est concerné, et selon quels critères ?

La directive NIS2 (UE 2022/2555) est entrée en vigueur le 18 octobre 2024. En France, elle est transposée par la Loi Résilience, dont la publication est attendue courant 2026. Date butoir de mise en conformité : 17 octobre 2026. Alors que l'ancienne directive NIS1 concernait environ 500 entités françaises (opérateurs d'importance vitale), NIS2 vise entre 15 000 et 18 000 entités – principalement des PME et ETI.

Le critère est simple en apparence, complexe en pratique. Votre entreprise est concernée si elle remplit ces deux conditions cumulatives : (1) appartenir à l'un des 18 secteurs listés aux annexes I et II de la directive (énergie, transport, santé, banque, eau, infrastructures numériques, services postaux, administration publique, industrie manufacturière, fournisseurs numériques, etc.) ET (2) être une entreprise de taille moyenne ou plus (≥ 50 salariés ou CA ≥ 10 M€). Les entités sont classées en « essentielles » (contrôles préventifs, sanctions plus lourdes) ou « importantes » (contrôles a posteriori, sanctions allégées).

Attention à l'effet ruissellement : même si votre PME n'est pas directement concernée, vos clients grands comptes peuvent vous imposer contractuellement des exigences NIS2. En pratique, cela signifie qu'un sous-traitant qui refuserait ou échouerait à démontrer un niveau de sécurité minimal sera progressivement écarté des appels d'offres. Le label SecNumCloud, le Référentiel Cyber France (ReCyF publié par l'ANSSI le 17 mars 2026), ou l'ISO 27001 deviennent des différenciateurs commerciaux.

Les 10 mesures obligatoires de l'article 21

L'article 21 de NIS2 impose dix mesures techniques et organisationnelles que toute entité concernée doit mettre en œuvre. Voici les principales :

• Politiques d'analyse de risques, documentées et révisées au minimum semestriellement.
• Gestion des incidents : processus formel de détection, réponse et récupération, avec délais stricts de notification à l'ANSSI (24 h pour l'alerte initiale, 72 h pour le rapport détaillé, 30 jours pour le rapport final).
• Continuité d'activité et gestion de crise : plans PCA/PRA testés, RTO et RPO définis pour chaque processus critique.
• Sécurité de la chaîne d'approvisionnement : cartographie des fournisseurs critiques, clauses contractuelles de sécurité, audits.
• Sécurité de l'acquisition et du développement des systèmes (secure-by-design, gestion des vulnérabilités).
• Évaluation de l'efficacité des mesures, via tests et exercices réguliers.
• Hygiène cyber et formation de l'ensemble du personnel, avec formation spécifique des dirigeants.
• Politique de chiffrement et d'utilisation de la cryptographie.
• Sécurité des ressources humaines, politique de contrôle des accès, gestion des actifs.
• Authentification multifacteur (MFA) pour les accès sensibles, solutions de communication sécurisée.
  
  
  

Sanctions et responsabilité personnelle des dirigeants

C'est probablement le point qui retient le plus l'attention des Comex. NIS2 ne sanctionne plus seulement les personnes morales – elle introduit la responsabilité personnelle des dirigeants. Concrètement, en cas de négligence manifeste dans la mise en conformité :

• Interdiction temporaire d'exercer des fonctions de direction (sanction nouvelle en droit cyber français)
  
  
• Publication de la décision de sanction (mécanisme de name and shame explicite)
• Responsabilité civile en cas de négligence démontrée
  
  

S'y ajoutent les sanctions financières classiques : jusqu'à 10 M€ ou 2 % du CA mondial pour les entités essentielles, 7 M€ ou 1,4 % pour les entités importantes. Le message du législateur est sans ambiguïté : la cybersécurité devient un sujet de conseil d'administration.

 

Focus Plateya Selon notre base d'accompagnement, seules 35 % des PME françaises ont aujourd'hui une politique de sécurité formalisée. Autrement dit, deux PME sur trois partent d'une feuille blanche à 18 mois de l'échéance NIS2. La bonne nouvelle : la mise en conformité prend typiquement 6 à 12 mois pour une PME, avec un investissement entre 35 000 € et 180 000 € selon la maturité initiale (source ENISA, 2025). La mauvaise : commencer en septembre 2026 est trop tard. Pour un diagnostic initial de conformité, la fonction audit cybersécurité est le point de départ obligé.

 

Comment se protéger : les 5 piliers d'une stratégie cyber à la portée d'une PME

Face à des menaces qui se multiplient et à des obligations qui se durcissent, la question du dirigeant est toujours la même : par où commencer, avec un budget contraint et une équipe IT souvent réduite à une personne ? La réponse tient en cinq piliers, à attaquer dans l'ordre. Ce n'est pas un catalogue exhaustif – c'est la hiérarchie d'action qui maximise l'impact pour un euro investi.

Pilier 1 — L'audit cybersécurité : diagnostiquer avant d'agir

Un dirigeant qui achète un EDR dernier cri avant d'avoir audité ses risques, c'est un propriétaire qui pose une alarme sur une porte ouverte pendant que la cave est inondée. L'audit cybersécurité est la première étape incontournable – non négociable – de toute démarche sérieuse. Il consiste à cartographier les actifs numériques (serveurs, endpoints, comptes, données, applications SaaS, fournisseurs), à évaluer les vulnérabilités techniques et organisationnelles, à scorer la maturité selon un référentiel reconnu (ISO 27001, règles d'hygiène ANSSI, NIS2, NIST), et à produire une feuille de route priorisée. En pratique, un audit de conformité initial coûte entre 8 000 et 25 000 € pour une PME de 20 à 100 salariés.

Pour aller plus loin : Quel est le vrai coût d'un audit en cybersécurité ? — notre guide détaillé des fourchettes de prix, des livrables, et des critères pour choisir un auditeur qui ne vous vende pas un rapport-bibliothèque.

Pilier 2 — La prévention : hygiène numérique et architecture de défense

La prévention, c'est l'ensemble des mesures qui réduisent la probabilité qu'une attaque réussisse. Contrairement à l'imaginaire collectif, la majorité de ces mesures sont peu coûteuses et techniquement simples – ce sont celles qui n'ont jamais été déployées. Les essentielles :

• Authentification multifacteur (MFA) sur tous les comptes critiques (messagerie, VPN, admin, finances). 80 % des violations de données impliquent des identifiants compromis (Verizon DBIR 2025) – et la MFA bloque l'immense majorité de ces attaques.
  
  
• Gestionnaire de mots de passe d'entreprise (Bitwarden, 1Password, Dashlane). 51 % des TPE-PME en disposent en 2026, soit +11 points versus 2024. C'est une hygiène minimale.
  
  
• Segmentation réseau : séparer Wi-Fi invités, postes de travail, serveurs, sauvegardes. Un ransomware sur un poste ne doit jamais pouvoir atteindre les backups.
  
  
• Sauvegardes déconnectées et testées (règle 3-2-1 : trois copies, deux supports différents, une hors site). La sauvegarde non testée est une sauvegarde qui n'existe pas.
  
  
• Mises à jour et gestion des correctifs. En 2024, plus de 29 000 nouvelles CVE publiées, dont 4 600 critiques. Un logiciel non patché est un point d'entrée connu par tous les attaquants.
  
  
• DNS filtering (Quad9, NextDNS) pour bloquer automatiquement les domaines malveillants connus. Cinq minutes de configuration, protection significative.
  
  
• Modèle Zero Trust : ne jamais faire confiance, toujours vérifier. Cette architecture, qui s'impose comme référence en 2026, limite les mouvements latéraux d'un attaquant qui aurait réussi à rentrer.
  
  
  

Pilier 3 — La formation : l'humain, premier rempart et premier vecteur

Le phishing est à l'origine de 74 % des attaques réussies sur les PME françaises en 2025 (données WebGuard Agency). L'erreur humaine est citée dans 46 % des cas (Hiscox). La formation n'est pas un sujet « RH annexe » : c'est le poste au plus fort ROI de toute stratégie cyber. Une formation bien faite réduit mécaniquement le taux de clic sur un phishing de 30 % à 5 % en six mois.

En pratique, une politique de formation efficace repose sur quatre briques :

• Sensibilisation initiale à l'arrivée de chaque collaborateur (30 min minimum).
• Micro-formations trimestrielles (15 min) sur un sujet ciblé : ransomware, arnaque au président, sécurité du télétravail, IA et deepfakes.
  
  
• Exercices de phishing simulé, avec débriefing éducatif (pas punitif) pour les collaborateurs qui cliquent.
  
  
• Procédure d'alerte claire : chaque collaborateur doit savoir à qui signaler un email suspect, un comportement anormal, une perte d'appareil – et doit être récompensé pour le signalement, pas sanctionné.

Budget indicatif : 50 à 150 € par employé et par an. Le kit gratuit de Cybermalveillance.gouv.fr (fiches, vidéos, quiz) est un point de départ excellent pour les TPE qui ne veulent pas externaliser. NIS2 impose par ailleurs la formation spécifique des dirigeants – entre 800 et 1 500 € par participant pour un programme certifiant d'une journée.

Pilier 4 — Le RSSI part-time : la gouvernance cyber à la portée d'une PME

Recruter un RSSI en CDI pour une PME de 50-200 salariés, c'est entre 80 000 et 140 000 € par an de masse salariale chargée – hors équipe, hors outils. La quasi-totalité des PME françaises n'ont ni le budget ni le pipeline de recrutement pour cela, surtout dans un marché en pénurie structurelle (15 000 postes non pourvus). D'où l'essor spectaculaire du modèle RSSI externalisé (aussi appelé vCISO, Virtual CISO, ou RSSI part-time).

Le principe : un expert cybersécurité senior, avec 10 à 20 ans d'expérience, intervient sur votre entreprise deux à huit jours par mois, en forfait mensuel. Il définit votre politique de sécurité, supervise la mise en œuvre, anime les comités de sécurité, cadre les projets IT sous l'angle cyber, et constitue votre interlocuteur privilégié en cas d'incident ou d'audit réglementaire. Pour une PME typique, le budget mensuel se situe entre 2 500 et 8 000 € selon l'intensité, soit un coût annuel de 30 000 à 96 000 € – la moitié à un tiers d'un CDI senior, avec une expertise supérieure en moyenne.

Les cas d'usage où ce modèle est particulièrement pertinent :

• PME soumise à NIS2 qui doit structurer sa conformité avant octobre 2026.
• ETI qui a perdu son RSSI et ne parvient pas à recruter.
• Groupe industriel qui veut un œil externe indépendant sur sa filiale ou son usine.
• Scale-up qui prépare une levée de fonds ou une certification ISO 27001.
• Entreprise qui a subi un incident et doit monter en maturité rapidement.
  
  

Pour aller plus loin : RSSI en mission freelance — salaire et périmètre pour votre cybersécurité — notre guide détaillé du marché, des TJM, et des critères de choix d'un RSSI part-time fiable.

Pilier 5 — Les softwares : EDR, SIEM, MFA, et les outils qui comptent vraiment

Une fois l'audit réalisé, la prévention mise en place, les équipes formées et la gouvernance structurée, reste la couche outillage. Elle vient en cinquième pilier car elle est rarement le bon point de départ – mais elle est indispensable. Les briques logicielles qui comptent réellement pour une PME en 2026 :

 

Stack logicielle cyber recommandée – PME 20-200 salariés

Brique	Rôle	Exemples de solutions	Budget annuel indicatif
EDR / XDR	Détection & réponse sur endpoints	CrowdStrike, SentinelOne, Microsoft Defender for Endpoint	15 000 - 45 000 €
Filtrage email	Anti-phishing avancé, anti-spam	Proofpoint, Mimecast, Microsoft Defender for Office	8 000 - 20 000 €
SIEM / SOC	Corrélation logs, surveillance 24/7	SOC externalisé MSSP, Sekoia, Elastic Security	10 000 - 30 000 €
MFA d'entreprise	Authentification forte	Microsoft Authenticator, Duo, Okta	2 000 - 8 000 €
Gestionnaire mdp	Coffre-fort d'entreprise	Bitwarden, 1Password, Dashlane	1 000 - 5 000 €
Sauvegardes	3-2-1 avec immutabilité	Veeam, Rubrik, Acronis, Synology + cloud	3 000 - 15 000 €
VPN / ZTNA	Accès distant sécurisé	Tailscale, Zscaler, Cloudflare Access	2 000 - 10 000 €
Sensibilisation	Formation + phishing simulé	Conscio, Usecure, KnowBe4	3 000 - 12 000 €

Note : les fourchettes correspondent à une PME de 20 à 200 salariés. Les TPE peuvent s'appuyer sur des suites intégrées (Bitdefender GravityZone, Kaspersky Small Office) pour des budgets bien inférieurs. Les ETI auront intérêt à externaliser leur SOC.

Règle d'or : pas d'empilement d'outils. Mieux vaut trois briques bien intégrées qu'une douzaine d'outils jamais consultés. Le choix des solutions dépend fortement de votre environnement existant – si vous êtes full Microsoft 365, Defender est rarement la pire option ; si vous êtes sur Google Workspace + AWS, l'écosystème sera différent.

 

Par où commencer ? La feuille de route 2026-2027

Pour un dirigeant qui part quasiment de zéro en matière de cybersécurité et qui veut structurer les 18 prochains mois, voici une feuille de route éprouvée, calibrée pour une PME de 30 à 150 salariés :

Mois 1-2 : Audit et diagnostic

• Diagnostic cyber initial (interne via l'outil MonAideCyber de l'ANSSI, ou externe via un prestataire).
• Cartographie des actifs critiques, des accès, des fournisseurs, des données sensibles.
• Éligibilité NIS2 : oui / non / via chaîne d'approvisionnement.
• Scoring de maturité cyber et feuille de route priorisée sur 18 mois.
  
  
  

Mois 2-4 : Quick wins (coût faible, impact élevé)

• Activation MFA sur tous les comptes admin et messagerie.
• Déploiement d'un gestionnaire de mots de passe d'entreprise.
• Sensibilisation initiale de tous les collaborateurs (1h).
• Mise en place de sauvegardes immuables, testées.
• DNS filtering (Quad9 / NextDNS) et mises à jour automatiques.
  
  
  

Mois 4-8 : Structuration

• Recrutement d'un RSSI part-time (2-4 jours/mois) ou désignation d'un référent cyber interne.
• Déploiement d'un EDR sur l'ensemble du parc endpoint.
• Rédaction des politiques de sécurité clés : accès, mots de passe, mobilité, BYOD, gestion d'incident.
• Formation dirigeants NIS2.
• Programme de phishing simulé trimestriel.
  
  
  

Mois 8-14 : Conformité et gouvernance

• Plan de continuité d'activité (PCA) et plan de reprise (PRA) documentés et testés.
• Cartographie fournisseurs critiques + clauses contractuelles de sécurité.
• Souscription d'une assurance cyber (3 000 à 12 000 €/an pour 50 salariés).
• Exercice de crise (simulation ransomware ou fuite de données) avec le comité de direction.
• Pré-audit NIS2.

Mois 14-18 : Consolidation

• Externalisation SOC ou MDR pour surveillance 24/7 (si ETI).
• Certification ISO 27001 ou labellisation Référentiel Cyber France (si pertinent commercialement).
• Revue annuelle de l'analyse de risques.
• Audit externe de conformité NIS2 avant échéance.

 

FAQ — Risques cyber pour les entreprises en 2026

Pourquoi les cyberattaques explosent-elles en 2025-2026 ?

Six facteurs s'additionnent : industrialisation du cybercrime via le modèle Ransomware-as-a-Service, utilisation massive de l'IA générative pour le phishing et les deepfakes, élargissement de la surface d'attaque (télétravail, cloud, IoT), fragilité de la chaîne d'approvisionnement (34 % des fuites passent par un tiers), pénurie de talents cyber (15 000 postes non pourvus en France), et durcissement réglementaire qui expose davantage les entreprises aux sanctions.

Quelles sont les fuites de données les plus importantes en France en 2026 ?

Au 21 avril 2026 : ANTS (19 millions d'enregistrements, avril), Urssaf (12 millions, janvier), EduConnect (3,5 millions, avril), FFBB (2,7 millions, avril), OFII (2,1 millions, janvier), Basic-Fit (1 million, avril), plus les retombées 2025 de France Travail (jusqu'à 43 millions), Bouygues Telecom (6,4 millions) et Pajemploi (1,2 million).

Combien coûte une cyberattaque pour une PME française ?

Le coût moyen dépasse 150 000 € selon l'ANSSI pour une PME, et 220 000 € pour une attaque par ransomware (Hiscox). Pour une PME sans plan de continuité d'activité, le coût moyen monte à 350 000 €. Plus structurellement, 60 % des PME victimes d'une attaque sérieuse ferment dans les six mois qui suivent.

Qui est concerné par NIS2 en France ?

Environ 15 000 à 18 000 entités françaises entrent dans le périmètre de la directive NIS2, contre 500 sous NIS1. Sont concernées les entreprises de 50+ salariés ou 10 M€+ de CA appartenant à l'un des 18 secteurs stratégiques listés (énergie, santé, transports, infrastructures numériques, administration publique, industrie manufacturière, etc.). Date butoir de mise en conformité : 17 octobre 2026. Les PME non directement concernées peuvent l'être indirectement via leurs clients grands comptes.

Quelle est la première mesure de cybersécurité à mettre en place ?

L'audit cybersécurité initial. Sans cartographie des actifs, des accès, des vulnérabilités et de la maturité, tout investissement ultérieur est pris au hasard. Un audit PME coûte entre 8 000 et 25 000 € et produit une feuille de route priorisée pour 18 mois. C'est le point de départ non négociable de toute démarche sérieuse.

Faut-il recruter un RSSI en interne ou en part-time ?

Pour une entreprise de moins de 200-300 salariés, le RSSI part-time (ou vCISO) est la réponse la plus pertinente dans l'immense majorité des cas : 30 000 à 96 000 €/an pour deux à huit jours d'intervention mensuels, contre 80 000 à 140 000 €/an pour un CDI senior (sans équipe, sans outils). Au-delà de 300 salariés ou en secteur très exposé (banque, santé, industrie critique), un RSSI interne devient pertinent, avec éventuellement un appui externe.

Quels outils cyber sont indispensables pour une PME ?

Cinq briques minimales en 2026 : authentification multifacteur (MFA) sur tous les comptes critiques, EDR sur l'ensemble des postes, filtrage email anti-phishing, sauvegardes 3-2-1 immuables et testées, gestionnaire de mots de passe d'entreprise. Budget indicatif : 200 à 800 €/mois pour une PME de 20-50 salariés. Au-delà : SIEM, SOC externalisé, VPN Zero Trust.

Que risquent les dirigeants en cas de manquement à NIS2 ?


NIS2 introduit pour la première fois des sanctions personnelles contre les dirigeants : interdiction temporaire d'exercer des fonctions de direction, publication de la décision de sanction (name and shame), responsabilité civile en cas de négligence démontrée. Les sanctions financières à l'entreprise peuvent atteindre 10 M€ ou 2 % du CA mondial pour les entités essentielles, 7 M€ ou 1,4 % pour les entités importantes.

Comment se former à la cybersécurité pour une équipe de PME ?

Trois briques : sensibilisation initiale à l'arrivée de chaque collaborateur, micro-formations trimestrielles de 15 minutes sur un sujet ciblé (ransomware, arnaque au président, deepfakes), et exercices de phishing simulé avec débriefing éducatif. Budget : 50 à 150 € par employé et par an. Le kit Cybermalveillance.gouv.fr est une ressource gratuite de qualité pour démarrer.

 

Conclusion : la cybersécurité n'est plus un projet IT, c'est une compétence de direction

La hausse des risques cyber n'est pas un phénomène passager. Elle est structurelle, mondiale, accélérée par l'IA générative, et désormais encadrée par une réglementation qui engage personnellement les dirigeants. Les chiffres de 2025 et du premier quadrimestre 2026 – 40,3 millions de comptes français compromis, 249 fuites recensées en moins de quatre mois, sanctions CNIL à répétition – ne sont pas des signaux faibles. Ce sont des données qu'un dirigeant ne peut plus ignorer sans engager sa responsabilité.

Bonne nouvelle : une stratégie cyber efficace n'exige pas des moyens démesurés. Elle exige une méthode (audit, prévention, formation, gouvernance, outillage), une hiérarchisation des actions (les quick wins d'abord), et une gouvernance qui remonte au niveau Comex. Pour une PME de 20 à 200 salariés, un budget annuel de 25 000 à 80 000 € couvre l'essentiel – à comparer aux 150 000 à 350 000 € que coûte en moyenne un incident non préparé.

Le bon réflexe en 2026, pour un dirigeant qui ne sait pas par où commencer, est simple : se faire accompagner. Par un RSSI part-time pour la gouvernance, par un cabinet d'audit pour le diagnostic initial, et par des prestataires spécialisés pour les briques techniques. La cybersécurité ne se délègue pas à la DSI – elle se pilote depuis la direction générale, avec les bons alliés.

 

Parlez à un expert cyber, pas à une machine RiskCyber est le pôle cybersécurité de l'écosystème Plateya. Nous mettons en relation les dirigeants de TPE, PME et ETI avec des RSSI part-time, auditeurs cyber, DPO et experts en conformité NIS2 / RGPD, tous rigoureusement sélectionnés et basés en France. Audit de diagnostic, mise en conformité NIS2, gouvernance cyber, réponse à incident, formation dirigeants : un seul point d'entrée pour des recommandations complètes, concrètes, et adaptées à votre taille.   → Obtenez des recommandations cyber personnalisées avec RiskCyber

Sources et références

• ANSSI — Panorama de la cybermenace 2025 (publié le 11 mars 2026) — cyber.gouv.fr
• CESIN — Baromètre 2026 de la cybersécurité des entreprises françaises — cesin.fr
• CNIL — Délibérations et sanctions 2025-2026 (France Travail, Free/Iliad) — cnil.fr
• Surfshark — Rapport mondial des violations de données 2025
• IBM — Cost of a Data Breach Report 2026
• Hiscox — Cyber Readiness Report 2025
• Verizon — Data Breach Investigations Report 2025 (DBIR)
• ENISA — Guidance NIS2 PME 2025
• Directive (UE) 2022/2555 (NIS2) — textes et annexes I & II
• Trackers indépendants : fuitesinfos.fr, bonjourlafuite.eu.org