Loi Résilience attendue été 2026 : votre PME est-elle concernée par NIS2 ? Scope, seuils, sanctions, checklist conformité actionnable en 8 étapes.
Avant de plonger dans le protocole opérationnel, posons le décor. La cyberattaque PME n'est plus un risque théorique réservé aux grands groupes du CAC 40. Les statistiques publiées par les autorités françaises sont sans appel et imposent une lecture réaliste de votre exposition.
Cybermalveillance.gouv.fr a enregistré 423 021 demandes d'assistance en 2024, soit une progression de 49,9 % en un an. Les entreprises et associations représentent 5 % de ce volume, en hausse de 24 %. Le Panorama de la cybermenace 2025 publié par l'ANSSI confirme la tendance : 1 366 incidents confirmés sur l'année, dont 128 ransomwares portés à connaissance du CERT-FR. Parmi les victimes de rançongiciels, 48 % sont des PME, TPE ou ETI, loin devant les collectivités (11 %) et le secteur de la santé (8 %).
Le baromètre TPE-PME 2025 de Cybermalveillance, mené par OpinionWay sur 588 entreprises, révèle un paradoxe inquiétant. 44 % des dirigeants se pensent fortement exposés (contre 38 % en 2024), mais 80 % ne se sentent pas prêts à affronter une attaque. Le budget cyber reste inférieur à 2 000 euros par an chez 75 % des TPE-PME. Du côté des grandes structures, le baromètre CESIN 2025 (397 organisations interrogées) montre que 40 % des entreprises ont subi au moins une cyberattaque significative en 2025, avec des impacts directs sur l'activité pour près de huit sur dix d'entre elles.
Le coût d'une cyberattaque pour une PME française peut atteindre 466 000 euros dans les cas les plus sévères, soit 5 à 10 % du chiffre d'affaires annuel selon les synthèses sectorielles. L'étude de référence Asteres/CRIP 2023 chiffre le coût moyen direct à 59 000 euros par attaque sur 385 000 attaques réussies en 2022, soit 2 milliards d'euros à l'échelle nationale. La durée d'interruption observée par les PRIS se situe entre 3 et 7 semaines en l'absence de plan de continuité d'activité documenté. Selon les retours d'expérience des PRIS et études sectorielles, 70 % de l'activité peut être relancée en 48 heures avec un PCA testé.
Ces chiffres justifient une seule chose : disposer, avant l'incident, d'un protocole heure par heure pour les 24 premières heures. C'est l'objet de ce guide opérationnel.
La première heure conditionne tout le reste. Trois erreurs classiques anéantissent les chances de remédiation propre : éteindre les machines (perte des preuves volatiles), payer la rançon dans la panique, communiquer publiquement avant qualification. Voici la séquence correcte.
Cette étape est la plus contre-intuitive et la plus déterminante. N'éteignez pas les machines compromises. La mémoire vive (RAM) contient les preuves volatiles indispensables à l'analyse forensique : clés de chiffrement, processus actifs, connexions vers les serveurs de commande et contrôle, identifiants en clair en mémoire. Un arrêt électrique détruit ces éléments et complique massivement l'investigation.
Procédez ainsi :
Démarrez un journal de crise horodaté. Notez chaque action, chaque décision, chaque appel, avec l'heure précise. Ce document servira aux investigateurs, à l'assureur, au juge en cas de procédure et aux autorités de régulation.
Photographiez les écrans (téléphone personnel, jamais une machine du réseau). Conservez les emails de phishing initiaux dans leur dossier d'origine. Identifiez la première machine touchée (patient zéro) : c'est par là que l'attaquant est entré.
Les heures suivantes consistent à passer de la réaction à la qualification structurée. Vous devez en sortir avec une cartographie précise et les bonnes notifications enclenchées.
Listez avec votre équipe technique ou votre prestataire :
Vérifiez en priorité vos sauvegardes immuables et hors ligne. Si elles sont chiffrées ou inaccessibles, la situation se complique considérablement et conditionne la suite.
Pour une PME en France, deux canaux principaux selon votre profil :
Dès qu'il existe un risque pour les droits et libertés des personnes physiques (clients, salariés, prospects), l'article 33 du RGPD impose une notification à la CNIL dans les meilleurs délais et, si possible, au plus tard 72 heures après la prise de connaissance de la violation. Au-delà, un motif justifiant le retard doit être fourni. Plateforme : notifications.cnil.fr. Le délai ne se décompte pas en heures ouvrées : un samedi compte.
Si le risque pour les personnes est qualifié d'élevé (exfiltration confirmée de données sensibles, bancaires, de santé), l'article 34 du RGPD ajoute une obligation d'information directe des personnes concernées sans délai injustifié.
Déclarez le sinistre à votre assureur cyber. La majorité des contrats imposent une déclaration sous 24 à 72 heures. Sollicitez un Prestataire de Réponse à Incident de Sécurité (PRIS) qualifié ANSSI : votre assurance en pilote souvent un dans son réseau.
À ce stade, vous avez stabilisé la situation technique et lancé les notifications légales. Restent trois chantiers critiques : la plainte, la communication, le démarrage de la restauration contrôlée.
Depuis la loi LOPMI du 24 janvier 2023, codifiée à l'article L.12-10-1 du Code des assurances, le dépôt de plainte sous 72 heures conditionne l'indemnisation par l'assureur cyber des pertes et dommages causés par une atteinte aux systèmes d'information. Sans plainte déposée dans ce délai, votre assureur peut légalement refuser de couvrir le sinistre.
Modalités :
La communication post-incident est un exercice d'équilibre. Trop tôt, vous diffusez des informations fausses. Trop tard, vous perdez la confiance des clients et des partenaires.
Séquence recommandée :
Ne restaurez jamais sur le système attaqué sans cleanup préalable. La porte d'entrée de l'attaquant doit être identifiée et fermée, sinon vous réinfectez votre infrastructure en quelques heures. Séquence : isoler la sauvegarde à restaurer, scanner, reconstruire un environnement vierge, durcir les configurations, restaurer en mode contrôlé, monter progressivement la charge.
| Plage horaire | Action prioritaire | Acteur |
|---|---|---|
| H+0 à H+10 min | Détecter, alerter en interne, désigner un coordinateur unique | Dirigeant, DSI, prestataire infogérance |
| H+10 à H+30 min | Isoler réseau (RJ45, Wi-Fi, VPN, RDP) sans éteindre les machines | Équipe IT |
| H+30 à H+60 min | Démarrer le journal de crise, photographier les écrans, identifier le patient zéro | Coordinateur de crise |
| H+1 à H+3 | Cartographier périmètre, vérifier intégrité des sauvegardes | Équipe IT, PRIS |
| H+3 à H+6 | Signaler à 17Cyber ou CSIRT territorial, déclarer à l'assureur | Dirigeant |
| H+6 à H+12 | Notifier CNIL si données perso (compteur 72h enclenché) | DPO ou référent RGPD |
| H+12 à H+18 | Communication interne structurée, brief collaborateurs | Direction, RH |
| H+18 à H+24 | Déposer plainte (compteur 72h pour assurance), préparer communication externe | Dirigeant, conseil juridique |
Sept erreurs reviennent systématiquement dans les retours d'expérience des CSIRT et des PRIS. Les éviter, c'est gagner des semaines de remédiation.
La doctrine officielle de l'ANSSI et du gouvernement français est claire : ne payez pas. Le taux de récupération effectif est d'environ 50 %, le paiement finance le crime organisé, expose à des sanctions internationales (OFAC américain, Office of Foreign Assets Control, qui peut sanctionner le paiement à des entités sous embargo) et n'empêche pas la double extorsion (rediffusion des données malgré paiement). Surtout, l'assureur ne peut indemniser le paiement de rançon que si la plainte a été déposée sous 72 heures.
Détruit la RAM et donc les preuves forensiques. Privilégiez l'isolement réseau.
Si la vulnérabilité initiale n'est pas corrigée, la réinfection est garantie. Un audit d'infrastructure doit précéder toute restauration.
Le silence total est suspect, la panique médiatique aussi. Visez la qualification minimale (H+6) avant tout communiqué externe.
Sans négociateur spécialisé, vous donnez des informations exploitables à l'adversaire et vous vous exposez juridiquement.
Après compromission, tous les secrets doivent être révoqués : mots de passe, clés API, certificats, jetons OAuth, comptes de service. La rotation partielle laisse des portes ouvertes.
Sans plainte sous 72 heures, l'assurance peut refuser l'indemnisation. C'est l'erreur la plus coûteuse, et la plus fréquente chez les dirigeants en sidération.
| Erreur critique | Bon réflexe |
|---|---|
| Éteindre les postes pour stopper la propagation | Débrancher le réseau, garder l'alimentation électrique |
| Payer la rançon dans l'urgence | Vérifier les sauvegardes, contacter un PRIS, déposer plainte |
| Réinstaller depuis Windows Update sans diagnostic | Identifier le vecteur, durcir, restaurer sur environnement sain |
| Communiquer publiquement en moins d'une heure | Briefer en interne, qualifier, puis communiquer à H+12 |
| Réutiliser les mots de passe admin | Rotation complète : secrets, clés, certificats, jetons |
| Restaurer la sauvegarde sur le système attaqué | Construire un environnement vierge, scanner, restaurer |
| Oublier le dépôt de plainte sous 72h | Plainte dès H+24 pour sécuriser l'assurance |
Avoir cette liste imprimée dans un classeur physique vous fera gagner un temps précieux le jour J.
| Acteur | Quand le contacter | Coordonnées |
|---|---|---|
| 17Cyber | En première intention, tout incident PME | 17cyber.gouv.fr, 24/7, tchat policiers/gendarmes |
| CSIRT territorial | Assistance technique PME, ETI, collectivités | Liste sur cert.ssi.gouv.fr (12 régions + outre-mer) |
| CERT-FR / ANSSI | Entités NIS2, OIV, OSE, incidents majeurs | cert.ssi.gouv.fr/contact |
| Cybermalveillance.gouv.fr | Mise en relation prestataires ExpertCyber | cybermalveillance.gouv.fr |
| CNIL | Notification violation données perso sous 72h | notifications.cnil.fr |
| Police / Gendarmerie | Dépôt de plainte sous 72h (assurance) | 17 (national), 112 (européen), commissariat local |
| OFAC français (Office Anti-Cybercriminalité) | Cyberattaques d'ampleur, dark web | Via plainte ou plateforme THESEE |
| BL2C | Paris et petite couronne | Commissariat parisien, brigade cybercriminalité |
| Assureur cyber | Déclaration sous 24-72h selon contrat | Numéro d'astreinte au contrat |
| Infranat (ligne d'urgence) | PME accompagnées par Infranat | 04 28 29 40 72, ligne d'urgence cyber 24/7 |
Les 24 premières heures stabilisent, mais la remédiation complète s'étale sur plusieurs semaines. Voici la chronologie typique observée par les PRIS sur les incidents PME.
Finalisation des notifications (CNIL, plainte, assureur), maintien du confinement, premières analyses forensiques en cours.
Analyse RAM, logs, EDR, identification du vecteur initial (phishing, vulnérabilité non patchée, supply chain, RDP exposé), cartographie complète des indicateurs de compromission, mesure précise du périmètre exfiltré.
Suppression des mécanismes de persistance, patch des vulnérabilités identifiées, rotation complète des secrets, reconstruction de l'Active Directory si compromis, mise en place d'un EDR si absent.
Restauration progressive depuis sauvegardes saines, montée en charge contrôlée, tests d'intégrité, validation par poste et par service.
Reprise nominale, communication finale aux clients et régulateurs, rapport final NIS2 si applicable (échéance J+30 imposée par la directive), retour d'expérience interne, mise à jour du PCA, PSSI revisitée.
Les attaquants reviennent souvent via des portes dérobées résiduelles. Le monitoring renforcé, l'audit indépendant et les exercices de crise réguliers sont indispensables pendant six mois minimum.
La meilleure gestion de crise est celle qui n'a pas à improviser. Quatre chantiers conditionnent votre résilience.
Trois copies, deux supports différents, une copie hors site, une copie immuable (write-once-read-many), zéro erreur de restauration vérifiée. Sans cela, votre PCA est théorique.
Un PCA non testé est un PCA fictif. Réalisez au minimum un exercice de crise annuel impliquant la direction, l'IT et les métiers. Selon les retours d'expérience des PRIS et études sectorielles, les PME équipées d'un PCA testé relancent 70 % de leur activité en 48 heures, contre 15 à 30 jours sans dispositif.
Imprimez et distribuez aux membres du comité de direction un document papier contenant : coordonnées PRIS, assureur cyber, CSIRT régional, avocat IT, agence de communication de crise, numéro d'urgence de votre prestataire d'infogérance. Conservez-le hors du système d'information : en cas de chiffrement total, vos contacts numériques sont inaccessibles.
La directive NIS2, transposée en France par la loi du 30 juillet 2025 et son décret d'application de novembre 2025, change radicalement les règles de déclaration d'incident pour les entités essentielles et importantes. Pour comprendre ce nouveau cadre, ses délais de notification (alerte 24h, notification détaillée 72h, rapport final 30 jours) et la différence avec les anciennes règles, consultez notre guide complet NIS2 pour les PME en 2026. Beaucoup de PME sous-traitantes d'entités essentielles seront concernées indirectement par effet de cascade contractuelle.
Pour évaluer votre maturité cyber et identifier vos angles morts, un audit cybersécurité réalisé par un prestataire indépendant est le point de départ le plus efficace. Il permet de prioriser les actions à fort impact et de constituer votre dossier d'assurance dans des conditions favorables.
La FAQ ci-dessous répond aux questions les plus fréquentes reçues par notre cellule de réponse aux incidents. Si votre situation spécifique n'y figure pas, contactez immédiatement notre ligne d'urgence ou rendez-vous sur 17Cyber.gouv.fr.
La cyberattaque PME n'est plus une question de probabilité, mais de timing. Les chiffres ANSSI, CESIN et Cybermalveillance convergent : 40 % des entreprises subissent une attaque significative chaque année, 48 % des victimes de ransomware sont des PME, et le coût d'une attaque sévère dépasse 466 000 euros. Face à cette réalité, l'improvisation coûte des semaines d'interruption et menace la survie même de l'entreprise.
Le protocole des 24 premières heures, isoler sans éteindre, signaler aux autorités, notifier la CNIL sous 72 heures, déposer plainte sous 72 heures, déclarer l'assureur, communiquer avec maîtrise, sauvegarde la dimension juridique, financière et réputationnelle de votre activité. Mais aucun de ces gestes ne peut s'improviser dans la panique.
Infranat accompagne les PME françaises dans la préparation cyber, la protection des données, le support 24/7 et la réponse aux incidents. Notre ligne d'urgence critique (04 28 29 40 72) est joignable à tout moment pour les clients sous contrat. Pour les autres, un audit cyber gratuit permet d'évaluer en 48 heures votre niveau de préparation et de constituer un plan d'action priorisé.
La meilleure assurance contre une cyberattaque reste la préparation. Les 24 prochaines heures de votre PME se préparent aujourd'hui.
Mots-clés
Audit informatique gratuit, réponse sous 2h ouvrées.
Demander un audit gratuit