Guide ANSSI pour les TPE/PME : les 13 mesures essentielles de cybersécurité

Les TPE et PME constituent des ciblés privilégiées pour les cyberattaquants. Leur vulnérabilité tient à une combinaison de facteurs : ressources limitées en matière de sécurité informatique, absence fréquente de personnel dédié, et sous-estimation du risque. Pourtant, une attaque par rançongiciel peut mettre en peril la survie même de l’entreprise – l’ANSSI estime que 60 % des PME victimes d’une cyberattaque majeure déposent le bilan dans les 18 mois. Face à ce constat, l’ANSSI a publié un guide pratique destiné aux TPE/PME, articule autour de 13 mesures essentielles de cybersécurité. Cet article analyse chacune de ces mesures, leur mise en oeuvre concrète, et les obligations légales qui les sous-tendent.

I. Contexte et enjeux pour les TPE/PME

A. Un paysage de menaces en mutation

Les cyberattaques ne visent plus uniquement les grandes entreprises. Les TPE/PME sont devenues des ciblés de choix pour plusieurs raisons. D’abord, elles disposent rarement de dispositifs de sécurité sophistiqués, ce qui en fait des proies faciles. Ensuite, elles constituent des portes d’entrée vers les grandes entreprises dont elles sont les fournisseurs ou les sous-traitants – les attaques par la chaîne d’approvisionnement exploitent précisément cette vulnérabilité. Enfin, les rançongiciels fonctionnent selon un modèle économique de volume : les attaquants ciblent un grand nombre de victimes, y compris de petite taille, pour maximiser les rançons collectées.

Les types d’attaques les plus fréquents contre les TPE/PME sont le phishing (point d’entrée de la majorité des attaques), les rançongiciels, la fraude au président, et la compromission de messagerie professionnelle (BEC).

B. Le cadre réglementaire applicable aux TPE/PME

Les TPE/PME ne sont pas exemptées des obligations de sécurité. Le RGPD impose à toute organisation traitant des données personnelles de mettre en oeuvre des mesures de sécurité appropriées (article 32). Les mesures exigées par la CNIL s’appliquent aux TPE/PME de manière proportionnée mais réelle. La CNIL a d’ailleurs sanctionné des PME pour des manquements élémentaires à la sécurité.

Pour certaines TPE/PME, la directive NIS2 est également applicable. Les seuils de taille fixés par NIS2 (50 employés ou 10 millions d’euros de chiffre d’affaires) incluent une partie significative des PME, en particulier dans les secteurs couverts par la directive. Les sanctions NIS2 peuvent atteindre 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial pour les entités importantes, ce qui représente un risque existentiel pour une PME.

II. Les 13 mesures essentielles

Mesure 1 : Connaître son système d’information

La première mesure est un prérequis : on ne peut sécuriser ce que l’on ne connaît pas. L’ANSSI recommandé de dresser un inventaire complet des équipements (serveurs, postes, équipements réseau, périphériques), des logiciels, des données traitées et des interconnexions avec l’extérieur.

Mise en oeuvre pratique : créer et maintenir un tableau de bord listant l’ensemble des actifs informatiques, avec leur localisation, leur propriétaire, les données qu’ils hébergent et leur criticité pour l’activité. Cet inventaire est également une obligation au titre de la norme ISO 27001 (annexe A.5.9 – inventaire des actifs).

Mesure 2 : Effectuer des sauvegardes régulières

Les sauvegardes sont la dernière ligne de défense contre les rançongiciels et les pertes de données. L’ANSSI recommandé la règle du “3-2-1” : 3 copies des données, sur 2 supports différents, dont 1 hors site.

Mise en oeuvre pratique : définir une fréquence de sauvegarde adaptée (quotidienne pour les données critiques), utiliser un support déconnecté du réseau (pour résister au chiffrement par rançongiciel), tester régulièrement la restauration des sauvegardes. Le coût d’une solution de sauvegarde est négligeable comparé au coût d’une perte de données irrécupérable.

Mesure 3 : Appliquer les mises à jour

Les vulnérabilités logicielles non corrigées sont l’un des principaux vecteurs d’attaque. L’ANSSI recommandé d’appliquer les mises à jour de sécurité dans les meilleurs délais, en priorité sur les systèmes exposés sur internet.

Mise en oeuvre pratique : activer les mises à jour automatiques lorsque c’est possible, définir un processus de suivi des correctifs pour les logiciels ne supportant pas la mise à jour automatique, supprimer les logiciels en fin de vie (plus supportés par l’éditeur). L’utilisation de composants obsolètes est régulièrement sanctionnée par la CNIL dans le cadre des obligations de sécurité des données au titre du RGPD.

Mesure 4 : Utiliser un antivirus

L’antivirus reste une mesure de base indispensable, même s’il ne constitue plus à lui seul une protection suffisante. L’ANSSI recommandé de déployer un antivirus sur l’ensemble des postes de travail et des serveurs, et de le maintenir à jour.

Mise en oeuvre pratique : choisir une solution reconnue (les solutions professionnelles offrent des fonctionnalités de gestion centralisée adaptées même aux petites structurés), configurer les analysés automatiques, ne pas désactiver l’antivirus pour des raisons de performance.

Mesure 5 : Mettre en oeuvre une politique de mots de passe

Les mots de passe faibles ou réutilisés sont la cause de nombreuses compromissions. L’ANSSI et la CNIL convergent sur les recommandations :

Mise en oeuvre pratique : imposer une longueur minimale de 12 caractères avec complexité, interdire la réutilisation des mots de passe entre les services, déployer un gestionnaire de mots de passe en entreprise, activer l’authentification multifacteur (MFA) sur tous les services qui le permettent – en priorité la messagerie et les accès distants. Le chiffrement des données et la gestion des mots de passe sont étroitement lies.

Mesure 6 : Activer le pare-feu

Le pare-feu filtre les communications réseau et constitue une barrière essentielle contre les intrusions.

Mise en oeuvre pratique : activer les pare-feu intégrés aux systèmes d’exploitation (Windows Firewall, iptables), configurer le pare-feu de la box ou du routeur d’entreprise, n’ouvrir que les ports strictement nécessaires, bloquer par défaut tout trafic non explicitement autorisé.

Mesure 7 : Sécuriser la messagerie

La messagerie est le vecteur d’attaque numéro un. L’ANSSI recommandé des mesures de protection à plusieurs niveaux.

Mise en oeuvre pratique : déployer un filtre anti-spam et anti-phishing, configurer les protocoles d’authentification des emails (SPF, DKIM, DMARC), sensibiliser les collaborateurs à la détection des emails frauduleux, interdire l’ouverture automatique des pièces jointes. La messagerie est le point d’entrée privilégié pour les attaques qui conduisent ensuite à des incidents relevant de la procédure en cas de fuite de données.

Mesure 8 : Séparer les usages

L’ANSSI recommandé de séparer les usages professionnels et personnels, et de cloisonner les différents environnements.

Mise en oeuvre pratique : interdire l’utilisation des équipements professionnels à des fins personnelles (ou, a défaut, encadrer strictement cette utilisation), ne pas utiliser le compte administrateur pour les tâches quotidiennes, séparer le réseau Wi-Fi invité du réseau de l’entreprise, éviter de brancher des périphériques USB non maîtrisés.

Mesure 9 : Maîtriser l’accès Wi-Fi

Le Wi-Fi est un point d’accès potentiel au réseau de l’entreprise s’il n’est pas correctement sécurisé.

Mise en oeuvre pratique : utiliser le protocole WPA3 (ou WPA2 au minimum), définir un mot de passe robuste pour le réseau Wi-Fi, changer régulièrement ce mot de passe, créer un réseau Wi-Fi sépare pour les visiteurs sans accès au réseau interne, désactiver le WPS.

Mesure 10 : Protéger les terminaux mobiles

Les smartphones et tablettes professionnels sont des ciblés en raison de la richesse des données qu’ils contiennent (emails, contacts, documents).

Mise en oeuvre pratique : activer le chiffrement des appareils, mettre en oeuvre un code de verrouillage robuste, activer la fonctionnalité d’effacement à distance, n’installer que des applications provenant de sources fiables, mettre à jour les systèmes d’exploitation mobiles.

Mesure 11 : Être prudent lors des déplacements

Les déplacements professionnels exposent à des risques spécifiques : vol ou perte d’équipements, espionnage sur les réseaux publics, compromission dans des environnements non sécurisés.

Mise en oeuvre pratique : utiliser un VPN pour toute connexion depuis un réseau non maîtrisé, ne pas laisser les équipements sans surveillance, éviter de se connecter à des bornes de recharge USB publiques, utiliser un filtre de confidentialité sur l’écran de l’ordinateur portable.

Mesure 12 : Gérer les incidents de sécurité

Même avec des mesures de prévention, un incident peut survenir. La capacité a réagir rapidement et efficacement est déterminante.

Mise en oeuvre pratique : définir une procédure de signalement d’incident claire et connue de tous les collaborateurs, identifier les contacts d’urgence (prestataire IT, ANSSI via le CERT-FR, forces de l’ordre), préparer un kit de réponse a incident minimal. La gestion des incidents de sécurité doit être formalisée, même de manière simple. Un audit de sécurité périodique permet de vérifier l’efficacité du dispositif.

Mesure 13 : Sensibiliser les collaborateurs

La dernière mesure est aussi la plus transversale : les mesures techniques sont inopérantes si les collaborateurs ne les comprennent pas et ne les appliquent pas.

Mise en oeuvre pratique : organiser des sessions de sensibilisation régulières, diffuser des alertes sur les menaces en cours, afficher les règles de sécurité essentielles, utiliser des supports variés (vidéos courtes, quiz, simulations de phishing). Le RSSI, même externalisé pour une TPE/PME, est le pilote naturel de cette sensibilisation.

III. Mise en oeuvre pour les TPE/PME : approche progressive

A. Phase 1 : les fondamentaux (mois 1-3)

Pour une TPE/PME qui part de zéro, la priorité est de couvrir les mesures les plus impactantes avec le minimum de ressources :

1. Sauvegardes : mettre en place une sauvegarde 3-2-1 fonctionnelle et testée.
2. Mises à jour : activer les mises à jour automatiques sur tous les postes et serveurs.
3. Mots de passe : déployer un gestionnaire de mots de passe et activer la MFA sur la messagerie.
4. Antivirus : déployer une solution sur l’ensemble des postes.

B. Phase 2 : consolidation (mois 3-6)

5. Inventaire : documenter l’ensemble des actifs informatiques.
6. Pare-feu : vérifier et configurer les pare-feu.
7. Messagerie : configurer SPF, DKIM et DMARC, déployer un filtre anti-phishing.
8. Séparation des usages : créer des comptes non-administrateurs pour l’usage quotidien.

C. Phase 3 : maturité (mois 6-12)

9. Wi-Fi : sécuriser la configuration Wi-Fi et créer un réseau invité.
10. Terminaux mobiles : déployer une politique de sécurité mobile.
11. Déplacements : fournir un VPN aux collaborateurs nomades.
12. Incidents : formaliser la procédure de gestion des incidents.
13. Sensibilisation : lancer un programme de sensibilisation continu.

Cette approche progressive permet de construire un socle de sécurité solide sans nécessiter d’investissements disproportionnés. Le guide complet de l’ANSSI est disponible en téléchargement gratuit et fournit des fiches pratiques pour chaque mesure.

IV. Au-delà des 13 mesures : perspectives

Les 13 mesures de l’ANSSI constituent un socle minimal. Pour les PME soumises à des obligations réglementaires spécifiques (RGPD, NIS2, réglementations sectorielles), des mesures complémentaires sont nécessaires.

La conformité à la checklist NIS2 requiert un niveau de maturité supérieur en matière de gestion des risques, de notification d’incidents et de sécurité de la chaîne d’approvisionnement. Le règlement DORA impose des obligations supplémentaires aux entreprises du secteur financier.

Pour structurer la démarche au-delà du socle minimal, un audit RGPD permet d’identifier les écarts entre les mesures en place et les exigences applicables. L’ENISA publié également des ressources adaptées aux PME qui completent utilement le guide de l’ANSSI.

La certification ISO 27001, bien que représentant un investissement significatif pour une PME, constitue un objectif de maturité à moyen terme pour les organisations souhaitant structurer durablement leur démarche de sécurité et se différencier sur leurs marchés.

FAQ

Le guide ANSSI a-t-il une valeur contraignante ?

Le guide de l’ANSSI n’a pas de valeur juridique contraignante en tant que tel. Il constitue un référentiel de bonnes pratiques. Toutefois, les mesures qu’il préconise sont largement reprises par les obligations légales existantes. L’article 32 du RGPD impose des mesures de sécurité appropriées, et la CNIL considère les recommandations de l’ANSSI comme un standard de référence pour évaluer le caractère “approprié” des mesures. En cas de contrôle ou de contentieux, l’absence de mise en oeuvre des mesures élémentaires recommandées par l’ANSSI sera difficile a justifier.

Quel budget prévoir pour la mise en oeuvre des 13 mesures ?

Pour une TPE de moins de 10 salariés, le budget annuel se situé typiquement entre 2 000 et 5 000 euros, couvrant les licences antivirus, le gestionnaire de mots de passe, la solution de sauvegarde cloud et un accompagnement ponctuel. Pour une PME de 50 salariés, le budget se situé entre 10 000 et 30 000 euros, incluant un prestataire de services manages pour la supervision et la gestion des incidents. Ces montants sont à mettre en regard du coût moyen d’une cyberattaque pour une PME, estimé par différentes études entre 50 000 et 500 000 euros.

Une TPE/PME peut-elle être sanctionnée par la CNIL pour défaut de sécurité ?

Oui. La CNIL ne fait pas de distinction de taille en matière d’obligation de sécurité. Les mesures exigées sont proportionnées au risque, mais le socle minimal s’applique à toutes les organisations. La CNIL a sanctionné des structurés de petite taille pour des manquements élémentaires, notamment l’absence de chiffrement, des mots de passe trop faibles ou le défaut de sauvegarde. La procédure simplifiée de sanction de la CNIL facilite le traitement des dossiers concernant des structurés de petite taille.

Faut-il nommer un RSSI dans une TPE/PME ?

La nomination d’un RSSI n’est pas une obligation légale générale pour les TPE/PME, sauf dans certains secteurs réglementés. Toutefois, la désignation d’un référent sécurité – même à temps partiel ou externalisé – est fortement recommandée. Ce référent pilote la mise en oeuvre des mesures de sécurité, assure la veille sur les menaces, et constitue le point de contact en cas d’incident. Pour les structurés ne pouvant pas internaliser cette fonction, le recours à un prestataire de services de sécurité manages (MSSP) est une solution pertinente et accessible.