En mars 2025, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a dévoilé son Plan stratégique 2025-2027, intitulé « Au cœur d’un collectif, pour une Nation cyber-résiliente ». Ce plan fixe le cap de la cybersécurité française pour les trois prochaines années, dans un contexte où les cybermenaces n’ont jamais été aussi omniprésentes. En effet, la menace informatique s’est étendue à tous les pans de l’économie et de la société, des administrations jusqu’aux PME et aux particuliers. Les incidents de sécurité se multiplient dans le monde entier, avec notamment un regain d’attaques par rançongiciel visant les organisations françaises en 2023.On estime même que la cybercriminalité coûte désormais 100 milliards d’euros par an à la France, contre 5 milliards en 2016 (soit une hausse moyenne de +30 % par an). Face à cette explosion des risques numériques, le nouveau plan stratégique de l’ANSSI revêt une importance particulière : il vise à renforcer la résilience cyber collective du pays tout en préparant l’écosystème aux évolutions technologiques et réglementaires à venir.
Dans cette introduction, nous présenterons un résumé clair des objectifs et orientations stratégiques de l’ANSSI pour 2025-2027, en expliquant comment ils répondent à la montée des menaces cyber. Nous mettrons ensuite l’accent sur les implications concrètes pour les PME : quels défis devront-elles relever, quelles opportunités ce plan ouvre-t-il pour elles, et quelles mesures devraient-elles anticiper en matière de cybersécurité, de régulation et d’accompagnement.
Aperçu des grandes orientations et des défis cyber abordés par l’ANSSI
Le plan stratégique 2025-2027 de l’ANSSI s’articule autour de quatre grands axes stratégiques qui répondent chacun à des défis cyber spécifiques, tout en poursuivant un objectif commun : élever le niveau de sécurité de l’ensemble du tissu économique et social français. Ces axes sont les suivants :
Amplifier et coordonner la réponse face à la massification de la menace.
L’ANSSI constate que la menace cyber est devenue massive et systémique, touchant désormais autant les opérateurs d’importance vitale que les TPE/PME insuffisamment protégées.
Le premier axe du plan vise donc à renforcer les défenses du pays et à faciliter l’accès de tous aux capacités de prévention et de réaction face aux cyberattaques. Concrètement, l’ANSSI se fixe plusieurs objectifs : piloter la politique de cyber-résilience nationale, accompagner l’entrée en vigueur du nouveau cadre réglementaire européen (notamment la directive NIS 2 et le futur Cyber Resilience Act) afin d’élever le niveau de sécurité général, et muscler la réponse aux incidents graves.
L’ANSSI prévoit par exemple de recentrer et renforcer les moyens du CERT-FR, son centre national de réponse aux incidents, pour protéger les systèmes les plus critiques contre des attaquants sophistiqués. Parallèlement, ce premier axe met l’accent sur la coordination de l’écosystème cyber : l’ANSSI entend améliorer le maillage entre tous les acteurs – agences de l’État, filière privée de cybersécurité, Groupement d’intérêt public ACYMA (cybermalveillance.gouv.fr), centres de réponse à incidents sectoriels et régionaux, forces de l’ordre, etc. – afin d’assurer une protection cohérente sur tout le territoire. L’objectif est qu’en cas de besoin, chaque entité ou citoyen dispose d’un interlocuteur pertinent et d’un parcours d’assistance clair en cybersécurité, que ce soit au niveau national ou local.
Développer les expertises indispensables pour contrer les menaces cyber.
Le deuxième axe du plan répond au défi de l’évolution rapide des technologies et des tactiques d’attaque. Pour faire face à des menaces de plus en plus complexes (espionnage étatique, cybercriminalité industrielle, etc.), la France doit maintenir une excellence technique et scientifique en cybersécurité. L’ANSSI compte donc investir dans les domaines technologiques critiques : par exemple, conduire le plan de transition vers la cryptographie post-quantique pour anticiper l’arrivée de l’ordinateur quantique, et approfondir les travaux sur la sécurité de l’intelligence artificielle et du cloud.
Des partenariats de recherche renforcés seront noués avec le CNRS, l’INRIA, le CEA et d’autres institutions pour conserver une longueur d’avance technologique. En parallèle, l’Agence prévoit de diffuser plus largement son savoir-faire : il s’agit de produire davantage de recommandations techniques et de partager en source ouverte certains outils ou analyses, afin que l’ensemble de la communauté (entreprises, chercheurs, prestataires) puisse en bénéficier. Cet effort de partage des connaissances – via par exemple la publication d’études, de guides ou la participation à des communautés comme InterCERT – vise in fine à mieux outiller tous les acteurs pour faire face aux nouvelles menaces.
Promouvoir une action cyber européenne et internationale efficace.
Le troisième axe traduit la dimension internationale de la cybersécurité. Il s’inscrit dans le contexte d’une montée en puissance des régulations européennes (la directive NIS 2, le règlement sur la cybersécurité – Cybersecurity Act, le futur règlement sur la résilience cyber, le règlement IA, etc.) et de la nécessité de coordonner les efforts entre États membres. L’ANSSI, en tant qu’autorité cyber de la France, compte jouer un rôle moteur pour harmoniser la mise en œuvre de ces nouvelles réglementations au niveau européen. Le plan prévoit que l’ANSSI s’implique dans la définition de normes communes et le partage de bonnes pratiques entre pays, afin que l’élévation du niveau de sécurité soit cohérente partout dans l’UE. En outre, l’agence souhaite soutenir le développement d’un marché européen unifié de solutions de confiance : cela passe par la promotion des certifications de sécurité (par exemple en faisant évoluer le cadre européen de certification et en valorisant le label français SecNumCloud, etc.) et par l’appui aux industriels européens du secteur.
Sur le plan opérationnel, l’ANSSI continuera de renforcer les réseaux de coopération internationale existants. Elle participe déjà activement au réseau des CSIRT européens, à l’initiative CyCLONe pour la gestion des crises cyber, ainsi qu’aux échanges avec l’OTAN ou d’autres partenaires stratégiqu. Le plan vise à intensifier ces coopérations, par exemple en organisant davantage d’exercices de crise transnationaux, de sorte à améliorer la résilience collective européenne en cas d’attaque majeur. Enfin, l’ANSSI veut explorer de nouvelles formes d’action publique au niveau européen au-delà de la régulation stricte : cela pourrait inclure des programmes de soutien au développement de services de cybersécurité, des initiatives pour combler la pénurie de compétences cyber, ou encore des parcours de sécurité gradués adaptés à la maturité de chaque organisati. Pour ce faire, l’agence compte s’inspirer des retours d’expérience de projets menés en France (par exemple le plan France Relance qui a investi dans la cybersécurité des PME et collectivités, ou la préparation cyber des Jeux Olympiques 2024) afin de proposer au niveau européen des approches innovantes et solidaire.
Renforcer la prise en compte des enjeux sociétaux dans l’action de l’ANSSI.
Le dernier axe, plus transversal, reconnaît que la cybersécurité est aussi concernée par des défis sociétaux contemporains. L’ANSSI souhaite être exemplaire sur des sujets tels que la protection de l’environnement, l’égalité femmes-hommes ou l’inclusion dans les métiers du numérique. Concrètement, l’agence va évaluer et réduire son propre impact environnemental (par exemple en mesurant l’empreinte carbone de ses activités et en promouvant le reconditionnement de matériels informatique. Elle va également poursuivre ses efforts pour attirer une plus grande diversité de talents vers la filière cyber – en particulier encourager davantage de femmes à embrasser des carrières en cybersécurité – et garantir un environnement de travail inclusif en son sei. Elle va également poursuivre ses efforts pour attirer une plus grande diversité de talents vers la filière cyber – en particulier encourager davantage de femmes à embrasser des carrières en cybersécurité – et garantir un environnement de travail inclusif en son sei. Enfin, l’ANSSI compte améliorer la transparence sur ses missions et l’usage de ses pouvoirs renforcés (contrôles réglementaires, etc.), en rendant plus régulièrement compte de son action aux citoyens et aux autorités indépendantes. Bien que cet axe sociétal soit moins technique, il vient compléter la stratégie globale en affirmant une cybersécurité responsable et éthique, alignée avec les valeurs de la société.
En résumé, les grandes orientations de ce plan stratégique visent à adapter la stratégie cyber française à un nouvel âge : celui d’une menace généralisée nécessitant une réponse collective élargie, d’une transformation numérique rapide nécessitant innovation et expertise, et d’un cadre international et réglementaire en pleine évolution. L’ANSSI se positionne comme le chef d’orchestre de cette évolution, cherchant à fédérer l’ensemble des acteurs (publics, privés, nationaux, européens) pour bâtir une Nation cyber-résiliente à l’horizon 2027.
Focus sur les PME – défis, opportunités et mesures à anticiper
Qu’impliquent ces orientations stratégiques pour les petites et moyennes entreprises (PME) ? Ces dernières se retrouvent clairement au cœur des préoccupations du plan, car la cybersécurité n’est plus uniquement l’affaire des grands groupes ou des opérateurs d’importance vitale. Désormais, les PME sont en première ligne face aux menaces : selon le Campus Cyber, en 2022 les PME/TPE françaises ont subi plus de 330 000 attaques, contre seulement 17 000 pour les grandes entreprises. De plus, l’ANSSI estime qu’en 2023 60 % des cyberattaques en France ont ciblé des petites entreprises. Autrement dit, les cybercriminels ont largement reporté leurs attaques des grands groupes (mieux armés) vers les structures plus petites, souvent moins bien protégées. Ce constat est d’autant plus préoccupant que plus de la moitié des PME avaient déjà connu au moins un incident de sécurité en 2021. Les conséquences peuvent être dramatiques pour ces entreprises : vols de données sensibles, paralysie des opérations, chantage financier, pertes financières et atteinte à la réputation – autant de risques qui peuvent menacer la pérennité même de l’entreprise.
Plusieurs défis spécifiques aux PME expliquent cette vulnérabilité. D’une part, le manque de moyens dédiés est criant :
- beaucoup de petites structures n’ont ni service informatique robuste,
- ni spécialiste cyber à bord,
- ni budget conséquent à y allouer.
D’autre part, la complexité perçue de la cybersécurité décourage parfois les dirigeants de PME : il est difficile de s’y retrouver dans l’offre de solutions, de savoir par où commencer (diagnostic, outils, assurances, etc.), et il n’est pas évident de réaliser que son entreprise – même modeste – peut être une cible d’attaque. Cette combinaison de faible préparation et de forte exposition fait des PME des cibles de choix pour les attaquants. Dans le même temps, les PME font désormais partie intégrante de la chaîne numérique de la Nation : beaucoup interviennent en sous-traitance de grands comptes ou de secteurs critiques (industrie, santé, énergie, etc.), ce qui en fait des vecteurs potentiels pour atteindre des acteurs plus importants. Il y a donc un intérêt collectif à renforcer la sécurité des PME, afin d’éviter qu’elles ne deviennent le maillon faible de l’écosystème.
Le plan stratégique de l’ANSSI 2025-2027 aborde directement ces enjeux et prévoit plusieurs opportunités et mesures d’accompagnement pour les PME :
Un cadre réglementaire élargi qui concerne davantage de PME, assorti d’un accompagnement dédié. L’entrée en vigueur de la directive européenne NIS 2 va considérablement élargir le périmètre des organisations soumises à des obligations de cybersécurité. À partir de fin 2024, de nombreuses entreprises de taille intermédiaire et PME essentielles (dans les secteurs de l’énergie, des transports, de la santé, des services numériques, etc.) deviendront des « entités importantes » au sens de NIS 2, et devront respecter des règles de cybersécurité minimales (gestion des risques, sécurisation des réseaux, notification des incidents graves sous 72h, etc.). Plutôt que de voir cela uniquement comme une contrainte, il faut y voir une opportunité d’amélioration pour les PME concernées : ces obligations pousseront à adopter de bonnes pratiques qui renforceront leur résilience. Consciente du défi que représente ce changement d’échelle, l’ANSSI a fait de l’accompagnement de la transition NIS 2 une priorité Le plan prévoit notamment de mettre en place un portail en ligne dédié aux entités régulées par NIS 2 : les PME nouvellement soumises à la régulation y trouveront des ressources pour se conformer aux exigences (guides, outils d’auto-diagnostic, FAQ réglementaire, etc.). Par ailleurs, l’ANSSI entend simplifier le cadre national existant à la lumière de NIS 2 afin d’éviter les doublons et de faciliter l’adhésion des entreprises aux nouvelles règles. En clair, l’Agence veut rendre la conformité plus abordable et plus lisible pour les PME. On peut s’attendre aussi à ce qu’elle développe des services numériques automatisés (scans de vulnérabilités, évaluations en ligne) pour aider un grand nombre d’entreprises simultanément. Enfin, l’ANSSI va collaborer avec des relais locaux et sectoriels (préfectures, fédérations professionnelles, chambres de commerce…) pour mieux guider les petites structures dans cette montée en maturité. Le message aux PME : anticipez ces évolutions réglementaires en vous informant dès maintenant sur NIS 2 et en initiant, si ce n’est déjà fait, une démarche de sécurisation de vos systèmes (par exemple, désignation d’un responsable cybersécurité, identification des risques majeurs et premières mesures correctives). Être proactif permettra d’aborder l’échéance NIS 2 plus sereinement et de transformer la contrainte en avantage compétitif (en démontrant à vos clients et partenaires que vous prenez la sécurité au sérieux).
Une amélioration de l’offre d’assistance et de soutien en cybersécurité, pensée pour les petites structures. Le plan stratégique réaffirme la nécessité que chaque entreprise, quelle que soit sa taille, puisse trouver de l’aide en cas de besoin. Ces dernières années, l’écosystème français s’est enrichi d’acteurs spécialement orientés vers l’assistance aux plus vulnérables : le portail gouvernemental ,Cybermalveillance.gouv.fr opéré par le GIP ACYMA, est un bon exemple. Lancé en 2017, il fournit des conseils gratuits, des outils de diagnostic en ligne et une mise en relation avec des experts de proximité, principalement à destination des particuliers, TPE et PME. L’ANSSI compte poursuivre le soutien à ce type de dispositifs, et même aller plus loin. Son plan évoque le développement d’une offre de services « plus lisible » et à grande échelle en matière de cybersécurité pour couvrir l’ensemble du tissu économique. Cela inclut, en plus des outils en ligne, des formations accessibles à distance (par exemple des modules d’auto-formation pour les employés, des MOOC de sensibilisation, etc.) et des prestations d’audit simplifiées pour aider les petites structures à évaluer leur niveau de sécurité. L’objectif est de réduire les barrières (coût, complexité) à l’adoption de la cybersécurité.
Par ailleurs, l’ANSSI va continuer d’animer le réseau des acteurs locaux : aujourd’hui chaque région française dispose ou est en train de se doter d’un CSIRT régional (Computer Security Incident Response Team) capable d’intervenir auprès des entreprises du territoire en cas d’incident majeur, en relais du CERT-FR national. Couplés à l’action des cellules spécialisées de la gendarmerie ou de la police et au soutien de structures comme les Chambres de Commerce et d’Industrie (CCI), ces relais de proximité renforcent la capacité de réaction pour les PME. Par exemple, le réseau des CCI s’est engagé en 2024 à sensibiliser 20 000 entreprises aux enjeux de cybersécurité et à offrir des parcours d’accompagnement (diagnostic, plans d’action, orientation vers des prestataires) adaptés aux besoins des PME.
Pour une PME, il est donc crucial de profiter de ces ressources : n’hésitez pas à vous inscrire sur Cybermalveillance.gouv.fr, ou à participer aux ateliers de sensibilisation gratuits qui sont régulièrement organisés (par le Campus Cyber, les associations professionnelles, etc.). Le plan de l’ANSSI laisse entendre que ce maillage d’entraide va encore se densifier dans les années à venir, il faut donc en tirer parti.
Des programmes nationaux de renforcement cyber spécifiquement destinés aux PME. En complément du rôle de l’ANSSI, le gouvernement français a lancé des initiatives dédiées pour aider les PME à passer à l’action. Un exemple marquant, en lien direct avec la stratégie nationale, est le programme « Cyber PME », officiellement lancé en décembre 2023. Intégré au plan d’investissement France 2030, ce programme dispose d’une enveloppe de 12,5 millions d’euros pour cofinancer l’élévation du niveau de sécurité des PME et ETI. Cyber PME propose un accompagnement complet aux entreprises volontaires : réalisation d’un diagnostic de cybersécurité, élaboration d’un plan d’actions sur mesure, puis soutien à l’acquisition de solutions de sécurité adéquates. Chaque entreprise participante se voit attribuer un expert qui la suit tout au long du projet de sécurisation. À son lancement, Cyber PME cible en priorité les secteurs de l’aéronautique civile et de l’énergie, où les PME jouent un rôle de sous-traitants critiques pour la Nation. Mais d’autres secteurs pourront en bénéficier progressivement. Cette initiative, pilotée par la Direction Générale des Entreprises avec l’appui de l’ANSSI et de Bpifrance, témoigne d’une prise de conscience au plus haut niveau : la protection des PME est un impératif économique et sécuritaire, compte tenu notamment des risques de chaînes d’approvisionnement. Pour les dirigeants de PME, cela signifie qu’il existe des opportunités financières et techniques à saisir pour renforcer votre cybersécurité à moindre coût. Surveillez les appels à candidatures de ce type de programmes publics (Cyber PME ou futurs dispositifs) et n’hésitez pas à postuler si vous êtes éligible. C’est l’occasion de faire un bond en avant en étant accompagné par des experts, sans supporter seul la charge financière des améliorations..
Le plan stratégique 2025-2027 de l’ANSSI prend pleinement en compte la situation des PME et vise à ne laisser personne au bord du chemin. Que ce soit via la réglementation plus englobante, le renforcement des structures d’appui, ou des programmes dédiés, les PME vont voir leur environnement évoluer en matière de cybersécurité. Il est essentiel qu’elles s’y préparent activement. La cybersécurité « par défaut » tend à devenir la norme dans les relations d’affaires : un sous-traitant insuffisamment sécurisé risque de se voir exclu de certains marchés demain, tout comme une entreprise non conforme aux nouvelles obligations pourrait s’exposer à des sanctions ou à une perte de confiance de ses partenaires. À l’inverse, celles qui anticiperont ces changements en améliorant dès aujourd’hui leur posture cyber en tireront un bénéfice : réduction du risque d’incident (et donc des coûts potentiels associés), avantage concurrentiel, et plus grande sérénité face au numérique.
Conclusion
Le Plan stratégique 2025-2027 de l’ANSSI trace une feuille de route ambitieuse pour faire de la France une « Nation cyber-résiliente » à l’horizon des prochaines années. Il répond à une situation d’urgence – l’explosion des cybermenaces – par une mobilisation générale de l’écosystème et un renforcement sans précédent des capacités de protection, d’expertise et de coordination, du niveau local jusqu’au niveau européen. Pour les PME, ce plan n’est pas une abstraction lointaine : il va au contraire influencer directement leur environnement de travail, leurs obligations et les outils mis à leur disposition pour se défendre. Les dirigeants et responsables informatiques de petites entreprises ont donc tout intérêt à s’approprier ces enjeux dès maintenant.
En pratique, quelles recommandations concrètes peut-on tirer de cette analyse pour une PME ? Tout d’abord, se tenir informé : suivez l’actualité des cyber-régulations (par exemple la transposition de NIS 2 en droit français, attendue d’ici fin 2024) et les communications de l’ANSSI. L’ANSSI publie régulièrement des guides et alertes sur son site ; en particulier, elle met à disposition des ressources adaptées aux petites structures, comme le guide « La cybersécurité pour les TPE/PME en 13 questions » qui offre des conseils accessibles pour démarrer une protection de base.
Ensuite, renforcez votre hygiène numérique : la majorité des attaques exploitent des failles basiques (mots de passe faibles, absence de sauvegardes, logiciels non mis à jour, etc.). Appliquez dès maintenant les bonnes pratiques essentielles – par exemple les « 10 règles de base » préconisées par l’ANSSI – afin de combler les vulnérabilités les plus évidentes. Ces mesures peu coûteuses vous protègeront déjà de l’immense majorité des risques courants. Parallèlement, anticipez les obligations à venir : si votre entreprise opère dans un secteur sensible ou travaille pour des clients critiques, il est prudent d’initier une mise à niveau conforme aux standards de sécurité (analyse de risques formelle, plan de réponse aux incidents, sensibilisation des employés, durcissement des accès, etc.). Vous serez ainsi en conformité lorsque les nouvelles réglementations entreront en vigueur, tout en améliorant la résilience de votre activité. N’hésitez pas non plus à solliciter l’aide disponible : contactez les structures compétentes (ANSSI, CERT régionaux, CCI, fédérations professionnelles) pour obtenir des conseils, évaluer votre niveau de sécurité ou participer à des ateliers. L’offre d’accompagnement va continuer de s’étoffer grâce au plan stratégique – que ce soit via des plateformes en ligne, des experts de terrain ou des financements ciblés – il faut en profiter.
En définitive, la période 2025-2027 s’annonce décisive pour relever le défi de la cybersécurité dans les PME. Certes, les menaces continueront d’évoluer et aucun système n’est infaillible, mais jamais les outils, les connaissances et le soutien n’ont été aussi disponibles pour aider les entreprises à se protéger. En adoptant un état d’esprit proactif et en intégrant progressivement la cybersécurité dans votre stratégie d’entreprise (au même titre que la qualité ou la sûreté par exemple), vous transformerez une source d’inquiétude en un facteur de confiance et de pérennité. Le plan de l’ANSSI invite à construire une réponse collective : chaque PME, à son échelle, peut y contribuer en renforçant son propre bouclier. Préparez-vous, formez-vous, faites-vous accompagner – et vous serez prêts à saisir les opportunités du numérique en minimisant les risques. C’est ainsi que, collectivement, nous parviendrons à faire front face aux menaces cyber croissantes et à faire du tissu économique français un espace numérique de confiance pour tous.