Cybersécurité TPE-PME en Hauts-de-France 2026 : guide complet pour se mettre en conformité NIS2 et résister aux ransomwares

Le 17 mars 2026, l'Agence nationale de la sécurité des systèmes d'information a publié le Référentiel Cyber France. Le 6 mai 2026, le panorama de la cybermenace 2025 du CERT-FR était mis en ligne. Le 22 avril 2026, MonEspaceNIS2 enregistrait son cinq millième pré-enregistrement. Pour un dirigeant de TPE ou PME en Hauts-de-France, ces dates ne sont pas des actualités lointaines. Elles dessinent un calendrier de mise en conformité dont l'échéance s'approche, alors que 80 % des TPE-PME françaises se déclarent encore non préparées et que 16 % ont subi un incident dans les douze derniers mois selon Cybermalveillance.gouv.fr. Ce guide détaille ce que la loi exige, ce que la menace impose, et la marche concrète à suivre, étape par étape, avec les ressources régionales mobilisables.

L'état de la menace en 2026 : ce que les patrons doivent comprendre

La cybermenace contre les PME françaises s'est professionnalisée. Les rançongiciels visent désormais les structures de taille moyenne plus souvent que les grands comptes : selon l'ANSSI, les TPE, PME et ETI représentent 48 % des cibles confirmées par rançongiciel en France, devant les collectivités (11 %) et les établissements de santé (8 %). Le panorama 2025 du CERT-FR recense 128 compromissions par ransomware (contre 141 en 2024), ce qui montre une stabilisation à un niveau élevé, pas une décrue. Le coût direct moyen d'une attaque dans une PME française dépasse 50 000 euros, sans compter l'arrêt d'activité, la perte de données et l'atteinte à la réputation. La statistique la plus brutale est celle-ci : 55 % des TPE victimes d'une cyberattaque déposent le bilan dans les 18 mois. Les vecteurs d'attaque restent peu spectaculaires et largement humains. Phishing par email, identifiants compromis sur des services tiers réutilisés en interne, exploitation de vulnérabilités non corrigées, accès distants mal sécurisés via VPN ou RDP, et plus récemment compromission via fournisseurs (chaîne d'approvisionnement). Aucun de ces vecteurs n'exige de moyens hors de portée d'une PME. C'est la combinaison de mesures simples qui protège, pas un investissement spectaculaire dans un produit unique.

NIS2 : ce que la directive change concrètement pour une PME picarde

La directive NIS2, transposée en droit français au premier semestre 2026 après vote à l'Assemblée nationale prévu en juillet, fait passer le périmètre des entités régulées de 500 sous NIS1 à 15 000 à 18 000 selon les estimations de l'ANSSI. Sont concernées des PME et ETI dans dix-huit secteurs : énergie, transports, santé, eau, banque, infrastructure numérique, services TIC managés, administration publique, espace, postes et messageries, gestion des déchets, fabrication et distribution de produits chimiques, agro-alimentaire, fabrication d'équipements (médicaux, transports, machines), production manufacturière, fournisseurs de services numériques, recherche, et certaines autres. Trois seuils combinés déterminent l'obligation : taille (50 salariés ou plus, ou 10 millions d'euros de chiffre d'affaires), secteur (parmi les dix-huit), et caractère essentiel ou important. Beaucoup de PME picardes croient à tort qu'elles ne sont pas concernées : un transporteur routier de 60 salariés, un éditeur de logiciels SaaS de 80 salariés, une coopérative agricole, un industriel agroalimentaire de 70 salariés, un opérateur d'eau communal sont aujourd'hui dans le périmètre.

Les obligations clés à intégrer dès maintenant

Premier bloc : la gouvernance. La direction est responsable, validant et supervisant les mesures de gestion des risques cyber. Les membres des organes de direction peuvent être tenus personnellement responsables en cas de manquement. Concrètement, le sujet entre au comité de direction et au conseil d'administration, avec une revue trimestrielle minimum et une trace écrite des décisions. Deuxième bloc : les dix mesures techniques et organisationnelles minimales (article 21 de la directive). Politique d'analyse des risques et de sécurité des systèmes d'information, gestion des incidents, continuité d'activité et gestion des sauvegardes, sécurité de la chaîne d'approvisionnement, sécurité dans l'acquisition et la maintenance des systèmes, politiques d'évaluation de l'efficacité des mesures, formation et hygiène cyber des personnels, politiques de chiffrement, sécurité des ressources humaines et contrôle d'accès, et utilisation de l'authentification multifacteur ou continue, des communications vocales/vidéo et des systèmes de communication sécurisés. Ce socle est commun. Le ReCyF (Référentiel Cyber France) publié le 17 mars 2026 par l'ANSSI traduit ces dix mesures en actions concrètes proportionnées. Troisième bloc : la notification d'incidents. Détection, réponse et notification obligatoire dans les 24 heures suivant la découverte d'un incident significatif. Une alerte précoce à l'ANSSI, un rapport détaillé sous 72 heures, un rapport final sous un mois. La PME doit avoir, en amont, une procédure interne d'identification, de qualification et d'escalade, et un contact identifié avec son CSIRT régional ou l'ANSSI.

Plan d'action en sept étapes pour une TPE-PME des Hauts-de-France

Étape 1 : pré-enregistrement et cartographie. Si l'entreprise est susceptible d'être concernée, créer un compte sur MonEspaceNIS2 (plateforme officielle ouverte depuis novembre 2025). En parallèle, lister les actifs critiques : serveurs, applications, données sensibles, prestataires, accès distants. Cette cartographie est le socle de tout le reste. Compter une à deux semaines avec une ressource interne dédiée. Étape 2 : sauvegardes 3-2-1 et continuité. Trois copies des données, sur deux supports différents, dont une hors site et idéalement déconnectée. Tester une restauration au moins une fois par trimestre. Sans sauvegarde testée, aucune protection contre les rançongiciels n'est crédible. Une PME picarde de 30 salariés peut atteindre ce niveau pour 200 à 800 euros mensuels avec un service de sauvegarde managé européen. Étape 3 : authentification multifacteur sur tous les services exposés. Messagerie professionnelle, VPN, accès distants, comptes administrateurs, outils de banque et comptabilité, plateforme RH, CRM, sauvegarde. Le coût marginal de la MFA est nul ou très faible. C'est la mesure unique qui élimine la majorité des compromissions par mot de passe. Étape 4 : sensibilisation et formation des équipes. Une session annuelle ne suffit pas. Mettre en place des micro-formations trimestrielles, des exercices de phishing simulé deux à trois fois par an, et un canal d'alerte simple pour signaler un message suspect. Les formations en ligne gratuites de Cybermalveillance.gouv.fr et le module SensCyber de l'ANSSI couvrent les bases. Étape 5 : gestion des accès, des départs et des prestataires. Inventorier les comptes utilisateurs, supprimer les comptes inactifs, appliquer le principe du moindre privilège. Pour chaque prestataire ayant accès à des données ou des systèmes, exiger un engagement de sécurité et limiter le périmètre d'accès. Les attaques par chaîne d'approvisionnement progressent fortement en 2025-2026. Étape 6 : plan de continuité et exercice de crise. Documenter qui fait quoi en cas d'incident majeur, qui décide, qui communique avec les clients, qui alerte l'ANSSI. Faire un exercice de table-top par an avec la direction et l'équipe technique. La majorité des PME victimes en 2024-2025 ont perdu un ou deux jours uniquement parce qu'elles n'avaient pas de plan préparé. Étape 7 : monitoring et MCO sécurité. Mises à jour système suivies, journaux centralisés, antivirus EDR sur les postes critiques, surveillance des accès anormaux. Pour une PME de moins de 100 salariés sans équipe sécurité dédiée, un service SOC managé externalisé démarre autour de 500 à 1 500 euros par mois selon le périmètre.

Aides régionales et accompagnement disponibles dans les Hauts-de-France

L'écosystème d'accompagnement est plus dense qu'on ne le pense. France Num, opéré par la DGE, propose un Diagnostic Cyber gratuit pour les TPE et PME éligibles, avec un accompagnement par un expert pendant plusieurs semaines. Bpifrance a lancé un Diag Cybersécurité subventionné jusqu'à 50 % du coût pour les structures de moins de 250 salariés. La Région Hauts-de-France propose des aides à la transformation numérique qui couvrent tout ou partie d'un audit cyber initial. Les Chambres de commerce et d'industrie de Lille, d'Amiens, d'Oise et de l'Aisne organisent des ateliers cyber pour leurs adhérents et orientent vers des prestataires référencés. Au niveau national, MesServicesCyber.gouv.fr centralise les outils gratuits utiles aux TPE-PME, dont l'auto-évaluation de maturité cyber, le générateur de politique de mots de passe, et les modèles de plans de continuité. Le portail Cybermalveillance.gouv.fr fournit un parcours d'assistance en cas d'incident. Le CSIRT Hauts-de-France, structure régionale soutenue par la Région et l'ANSSI, accompagne les PME victimes pour la qualification d'incidents et la remédiation. C'est un des points d'entrée les plus utiles pour un dirigeant qui découvre une attaque en cours.

Le calendrier 2026 à connaître pour les dirigeants picards

Le calendrier opérationnel se lit en quatre temps. Premier semestre 2026 : promulgation du projet de loi de transposition NIS2 attendue après vote à l'Assemblée prévu en juillet. Été 2026 : publication des décrets d'application précisant les seuils, les sanctions et les modalités de notification. Automne 2026 : entrée en vigueur progressive avec une période de tolérance pour les entités nouvellement régulées. 2027-2028 : premiers contrôles ANSSI et premières sanctions administratives potentielles. Les sanctions financières peuvent atteindre 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial pour les entités importantes, et 10 millions d'euros ou 2 % pour les entités essentielles. L'erreur la plus coûteuse aujourd'hui n'est pas de dépenser quelques milliers d'euros en mesures techniques. C'est d'attendre. Une PME qui démarre son chantier maintenant a six à neuf mois devant elle pour atteindre un niveau acceptable, ce qui est exactement le délai nécessaire pour faire les choses sérieusement. Une PME qui démarre en septembre 2026 sera dans l'urgence et dans la dépense subie. Le budget cyber d'une PME bien organisée se situe entre 2 % et 4 % du budget informatique annuel selon les profils, soit en règle générale entre 5 000 et 30 000 euros par an pour une structure de 20 à 100 salariés.

Foire aux questions

Comment savoir si ma PME est concernée par NIS2 ?

Trois critères combinés : taille (à partir de 50 salariés ou 10 millions d'euros de chiffre d'affaires en règle générale), secteur d'activité (parmi les dix-huit définis dans la directive), et qualification essentielle ou importante. Le moyen le plus fiable est de réaliser une auto-évaluation sur MonEspaceNIS2, qui guide pas à pas et indique le statut probable. En cas de doute, l'ANSSI propose un canal de questions via cyber.gouv.fr et les CSIRT régionaux peuvent orienter.

Quel est le coût réaliste d'une mise en conformité pour une PME de 50 à 100 salariés ?

Le coût varie largement selon le niveau de départ. Une PME bien organisée IT mais novice en sécurité peut atteindre la conformité de base pour 15 000 à 35 000 euros la première année (audit, MFA généralisée, sauvegardes durcies, formation, plan de continuité, monitoring), puis 8 000 à 20 000 euros par an en récurrent. Une PME partant de zéro avec une infrastructure vieillissante doit prévoir 40 000 à 80 000 euros la première année, avec une priorité claire à la sauvegarde testée et à la MFA.

Que faire en urgence si mon entreprise vient d'être attaquée par un ransomware ?

Six réflexes immédiats. Un, isoler les systèmes affectés du réseau (mais ne pas tout éteindre brutalement, certains éléments de preuve sont en mémoire vive). Deux, ne pas payer la rançon, dans 90 % des cas elle ne garantit pas la restitution complète et finance la criminalité. Trois, contacter immédiatement le CSIRT Hauts-de-France ou l'ANSSI via Cybermalveillance.gouv.fr. Quatre, déclarer l'incident à la CNIL dans les 72 heures s'il y a des données personnelles. Cinq, déposer plainte. Six, communiquer en interne et avec les clients de manière maîtrisée. La précipitation est la cause de la moitié des dégâts collatéraux.

Le Diag Cyber de Bpifrance ou France Num est-il vraiment utile ?

Oui, pour deux raisons. La première est financière : la subvention couvre une part significative du coût d'audit, ce qui rend l'opération accessible à des structures qui autrement n'auraient pas franchi le pas. La seconde est méthodologique : l'audit suit un cadre standardisé, ce qui permet ensuite de hiérarchiser les actions et de chiffrer un plan de remédiation crédible. Plusieurs PME picardes ont utilisé le diagnostic comme support pour aligner direction, IT et métier sur un même plan d'action.

Quels outils gratuits sont vraiment utiles pour une TPE de moins de 20 salariés ?

Quatre incontournables. L'auto-évaluation de maturité sur MesServicesCyber.gouv.fr (15 minutes, vue d'ensemble immédiate). Le module de sensibilisation SensCyber proposé par l'ANSSI. Les fiches pratiques et le parcours d'assistance de Cybermalveillance.gouv.fr en cas d'incident. Le générateur de mots de passe et l'authentification à deux facteurs intégrés à la plupart des services SaaS. Au-delà, un gestionnaire de mots de passe partagé en équipe (Bitwarden, 1Password, Dashlane) coûte quelques euros par utilisateur et par mois et change radicalement la posture sécurité.

Mon assurance cyber suffit-elle à me couvrir ?

Non. Une assurance cyber compense une partie des pertes financières, sous réserve de respecter les exigences contractuelles (sauvegardes, MFA, journalisation, formation), qui sont devenues strictes en 2025-2026. Beaucoup de PME découvrent au moment de la déclaration de sinistre que leur contrat ne joue pas faute d'avoir respecté les pré-requis. L'assurance est un complément utile, pas un substitut au socle technique. Le bon ordre est : socle technique d'abord, assurance ensuite, en exigeant que l'assureur audite le périmètre couvert.

Sources et ressources de référence

Pour approfondir, consultez la page officielle de la directive NIS2 sur cyber.gouv.fr, accédez à MonEspaceNIS2 pour le pré-enregistrement, lisez le Baromètre Cybermalveillance.gouv.fr 2025, téléchargez le Panorama de la cybermenace 2025 du CERT-FR et explorez les dispositifs d'aide via France Num.