Guides & Ressources pratiques
Micro-entreprise : statut juridique, avantages et limites en 2026
Sécurité réseau TPE/PME : obligations légales et mesures essentielles
Points clés de l'article
- 43 % des cyberattaques en France ciblent des TPE/PME, souvent moins protégées que les grands groupes.
- Le RGPD, la LPM et la directive NIS2 imposent des obligations de sécurité réseau aux entreprises, y compris aux PME de certains secteurs.
- NIS2, transposée en droit français en 2025, étend le périmètre des entités régulées et prévoit des amendes jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial.
- La responsabilité personnelle du dirigeant peut être engagée en cas de négligence caractérisée dans la protection du système d'information.
- L'ANSSI recommande un socle de mesures techniques et organisationnelles accessibles aux petites structures : segmentation réseau, MFA, journalisation, plan de réponse aux incidents.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Sécurité réseau d'une TPE/PME : définition et périmètre
Pourquoi les TPE/PME sont devenues des cibles prioritaires
Cadre juridique applicable : RGPD, LPM et directive NIS2
Obligations issues de NIS2 pour les PME concernées
Mesures techniques essentielles recommandées par l'ANSSI
Gouvernance interne et responsabilité des dirigeants
Sanctions encourues en cas de manquement
Comment SWIM accompagne les DSI de PME sur la conformité cyber
Sécurité réseau d'une TPE/PME : définition et périmètre
La sécurité réseau désigne l'ensemble des dispositifs techniques, organisationnels et humains qui protègent l'infrastructure informatique d'une entreprise contre les accès non autorisés, les intrusions, les fuites de données et les interruptions de service. Pour une TPE/PME, ce périmètre couvre aussi bien le réseau local (LAN) que les connexions distantes, les accès Wi-Fi, les services cloud et les terminaux mobiles utilisés par les collaborateurs.
Concrètement, le périmètre de la sécurité réseau TPE/PME inclut :
- Les équipements actifs : routeurs, switches, pare-feu, bornes Wi-Fi.
- Les flux de données : messagerie, partage de fichiers, applications métier hébergées ou en SaaS.
- Les points d'accès distants : VPN, bureaux à distance, connexions des prestataires.
- Les terminaux : postes de travail, smartphones, objets connectés (IoT).
Une entreprise de 30 salariés qui utilise un ERP en cloud, une messagerie Microsoft 365 et un accès VPN pour le télétravail expose déjà 4 surfaces d'attaque distinctes. Chacune nécessite des règles de filtrage, d'authentification et de surveillance spécifiques.
Pourquoi les TPE/PME sont devenues des cibles prioritaires
Selon le rapport 2024 de l'ANSSI, 43 % des incidents de cybersécurité traités en France concernent des entreprises de moins de 250 salariés. Ce chiffre a progressé de 15 points en 3 ans. Les raisons sont structurelles.
Les TPE/PME combinent 3 facteurs de vulnérabilité :
| Facteur | Explication | Conséquence |
|---|---|---|
| Budget limité | Le poste cybersécurité représente en moyenne 3 % du budget IT d'une PME, contre 10 % dans un grand groupe (source : CPME, 2023) | Absence de pare-feu de nouvelle génération, pas de SOC |
| Compétences rares | 72 % des PME françaises n'ont pas de responsable dédié à la sécurité informatique (Baromètre CESIN 2024) | Configurations par défaut, correctifs non appliqués |
| Effet de levier | Les PME sont souvent sous-traitantes de grands groupes | Porte d'entrée vers la supply chain de donneurs d'ordres |
Les attaquants exploitent cette asymétrie. Un ransomware déployé sur le réseau d'une PME de 50 salariés peut paralyser l'activité en quelques heures. Le coût médian d'une attaque par rançongiciel pour une PME française s'élève à 50 000 euros selon le rapport Hiscox 2024, hors perte de chiffre d'affaires et atteinte à la réputation.
La protection du réseau d'une PME n'est pas qu'un sujet technique : elle engage des obligations juridiques précises et la responsabilité de ses dirigeants.
Échangez avec un avocat spécialisé en cybersécurité
Cadre juridique applicable : RGPD, LPM et directive NIS2
Trois textes structurent les obligations de sécurité réseau des entreprises françaises. Leur articulation détermine le niveau d'exigence applicable à chaque structure.
Le RGPD (2018)
Le Règlement général sur la protection des données impose à toute entreprise traitant des données personnelles de mettre en œuvre des « mesures techniques et organisationnelles appropriées » pour garantir un niveau de sécurité adapté au risque (article 32). Cette obligation s'applique sans seuil de taille : une TPE de 5 salariés qui gère un fichier clients y est soumise.
La Loi de Programmation Militaire (LPM)
La LPM concerne les Opérateurs d'Importance Vitale (OIV). Si une PME intervient dans un secteur critique (énergie, transport, santé, alimentation), elle peut être qualifiée d'OIV ou de sous-traitant d'un OIV, et se voir imposer des règles de sécurité renforcées définies par l'ANSSI.
La directive NIS2 (2022/2555)
Adoptée par l'Union européenne en décembre 2022, la directive NIS2 élargit le périmètre des entités régulées. Sa transposition en droit français, prévue en 2025, concerne les « entités essentielles » et les « entités importantes » dans 18 secteurs. Les PME de plus de 50 salariés ou réalisant plus de 10 millions d'euros de chiffre d'affaires dans ces secteurs entrent dans le champ d'application.
Obligations issues de NIS2 pour les PME concernées
La directive NIS2 impose aux entités régulées un socle d'obligations structurées autour de 4 axes :
Gouvernance du risque cyber : les organes de direction doivent approuver les mesures de gestion des risques et suivre leur mise en œuvre. Ils doivent également suivre une formation en cybersécurité (article 20).
Mesures de gestion des risques : l'article 21 liste 10 catégories de mesures obligatoires, parmi lesquelles la gestion des incidents, la continuité d'activité, la sécurité de la chaîne d'approvisionnement et le chiffrement.
Notification des incidents : toute entité régulée doit signaler un incident significatif à l'autorité compétente (l'ANSSI en France) dans un délai de 24 heures pour l'alerte initiale, puis fournir un rapport détaillé sous 72 heures.
Contrôle et audit : l'ANSSI disposera d'un pouvoir de contrôle, y compris d'audits sur site, pour vérifier la conformité des entités.
| Obligation NIS2 | Délai | Entité concernée |
|---|---|---|
| Alerte initiale d'incident | 24 heures | Essentielle et importante |
| Rapport d'incident détaillé | 72 heures | Essentielle et importante |
| Rapport final | 1 mois | Essentielle et importante |
| Formation des dirigeants | Continue | Essentielle et importante |
Pour une PME de 80 salariés opérant dans le secteur de la logistique alimentaire, ces obligations impliquent la mise en place d'un processus de détection, de qualification et de remontée des incidents qui n'existait souvent pas auparavant.
Identifier si votre entreprise entre dans le périmètre NIS2 et cartographier les écarts de conformité nécessite une analyse juridique et technique combinée.
Consultez un avocat en cybersécurité pour évaluer votre exposition
Mesures techniques essentielles recommandées par l'ANSSI
L'ANSSI publie un guide de bonnes pratiques à destination des PME (Guide d'hygiène informatique, 42 mesures). Parmi celles directement liées à la sécurité réseau, 6 constituent un socle prioritaire :
- Segmentation du réseau : isoler les flux métier, les postes utilisateurs et les serveurs dans des sous-réseaux distincts. Un poste compromis ne doit pas permettre un accès direct au serveur de paie.
- Authentification multifacteur (MFA) : imposer un second facteur d'authentification pour tout accès distant et pour les comptes à privilèges. Le phishing reste le vecteur d'attaque n°1 : le MFA bloque 99 % des tentatives d'usurpation de comptes selon Microsoft.
- Mise à jour et gestion des correctifs : appliquer les correctifs de sécurité dans un délai de 30 jours pour les vulnérabilités critiques. En 2024, 60 % des attaques exploitent des failles connues et déjà corrigées par l'éditeur (source : Verizon DBIR 2024).
- Journalisation et supervision : enregistrer les événements de sécurité (connexions, tentatives échouées, modifications de configuration) et les analyser. Un outil de type SIEM ou un service managé de détection (MDR) permet de repérer les comportements anormaux.
- Sauvegarde hors ligne : maintenir des sauvegardes déconnectées du réseau, testées régulièrement. C'est la seule parade efficace contre un ransomware qui chiffre les données et les sauvegardes en ligne.
- Plan de réponse aux incidents : documenter les procédures à suivre en cas d'attaque, désigner les responsables, prévoir les contacts (ANSSI, prestataire forensique, avocat).
Gouvernance interne et responsabilité des dirigeants
La responsabilité des dirigeants en matière de cybersécurité repose sur plusieurs fondements juridiques cumulatifs.
En droit français, le dirigeant est tenu d'une obligation générale de prudence et de diligence dans la gestion de l'entreprise (article 1240 du Code civil). Lorsqu'un défaut de sécurité réseau cause un préjudice à des tiers (fuite de données clients, par exemple), sa responsabilité civile peut être recherchée si la négligence est établie.
La directive NIS2 ajoute une dimension personnelle explicite. L'article 20 prévoit que les organes de direction des entités régulées peuvent être tenus responsables des manquements aux obligations de gestion des risques. En pratique, un dirigeant qui n'a ni validé de politique de sécurité, ni suivi de formation, ni alloué de budget à la cybersécurité s'expose à une mise en cause directe.
Le RGPD, de son côté, permet à la CNIL de sanctionner le responsable de traitement. Dans les PME, le responsable de traitement est le plus souvent le dirigeant lui-même.
La gouvernance interne doit donc formaliser :
- La désignation d'un référent cybersécurité (interne ou externalisé).
- L'approbation d'une politique de sécurité des systèmes d'information (PSSI).
- Un reporting régulier au comité de direction sur l'état de la sécurité.
- La traçabilité des décisions prises en matière de gestion des risques cyber.
La formalisation de la gouvernance cyber protège l'entreprise et ses dirigeants en cas de contrôle ou de contentieux.
Faites le point avec un avocat spécialisé en cybersécurité
Sanctions encourues en cas de manquement
Les sanctions varient selon le texte applicable et la qualification de l'entité.
| Texte | Sanction maximale | Autorité compétente |
|---|---|---|
| RGPD | 20 millions d'euros ou 4 % du CA mondial | CNIL |
| NIS2 – Entité essentielle | 10 millions d'euros ou 2 % du CA mondial | ANSSI |
| NIS2 – Entité importante | 7 millions d'euros ou 1,4 % du CA mondial | ANSSI |
| Code pénal (négligence) | 5 ans d'emprisonnement et 300 000 euros d'amende (article 226-17) | Juridictions pénales |
En 2024, la CNIL a prononcé 42 sanctions, dont 12 concernaient des PME. Le montant moyen des amendes pour les PME s'élevait à 125 000 euros. Les motifs les plus fréquents : absence de chiffrement des données en transit, défaut de journalisation et notification tardive d'une violation de données.
Au-delà des amendes, les conséquences indirectes pèsent lourd : perte de contrats avec des donneurs d'ordres exigeant la conformité de leurs sous-traitants, hausse des primes d'assurance cyber, et atteinte durable à la confiance des clients.
Comment SWIM accompagne les DSI de PME sur la conformité cyber
Les DSI de PME font face à une double contrainte : des obligations juridiques croissantes et des ressources internes limitées pour les interpréter et les mettre en œuvre. L'enjeu n'est pas seulement technique. Il est aussi juridique : qualifier le périmètre réglementaire applicable, formaliser la gouvernance, préparer les procédures de notification et documenter la conformité.
SWIM LEGAL, plateforme d'avocats d'affaires indépendants spécialisés, permet aux DSI de PME d'accéder à des avocats experts en cybersécurité et en droit du numérique. Ces avocats interviennent sur des missions ciblées :
- Audit de conformité RGPD et NIS2 appliqué au système d'information.
- Rédaction de la PSSI et des procédures de gestion des incidents.
- Analyse des contrats fournisseurs sous l'angle de la sécurité de la supply chain.
- Accompagnement en cas de contrôle CNIL ou ANSSI.
- Formation des dirigeants aux obligations de gouvernance cyber.
Structurer votre conformité cyber avec un avocat spécialisé permet de sécuriser votre entreprise et de protéger ses dirigeants.
Trouvez un avocat en cybersécurité sur SWIM LEGAL
FAQ
Une TPE de moins de 50 salariés est-elle concernée par la directive NIS2 ?
En principe, NIS2 vise les entreprises de plus de 50 salariés ou réalisant plus de 10 millions d'euros de chiffre d'affaires dans les 18 secteurs régulés. Toutefois, une TPE peut être concernée si elle est identifiée comme fournisseur critique d'une entité régulée. Le RGPD, lui, s'applique sans condition de taille dès lors que l'entreprise traite des données personnelles.
Quel budget minimum une PME doit-elle consacrer à la sécurité réseau ?
L'ANSSI recommande d'allouer entre 5 % et 10 % du budget informatique global à la cybersécurité. Pour une PME dont le budget IT annuel est de 100 000 euros, cela représente entre 5 000 et 10 000 euros par an, hors investissement initial en équipements.
Le dirigeant peut-il être personnellement sanctionné en cas de cyberattaque ?
Oui. Le RGPD permet de sanctionner le responsable de traitement, qui est souvent le dirigeant dans une PME. La directive NIS2 prévoit explicitement la responsabilité des organes de direction. En droit pénal français, l'article 226-17 du Code pénal punit la négligence dans la protection des données de 5 ans d'emprisonnement et 300 000 euros d'amende.
Quels sont les premiers gestes à mettre en place pour sécuriser le réseau d'une PME ?
L'ANSSI recommande de commencer par 4 actions : activer l'authentification multifacteur sur tous les accès distants, segmenter le réseau pour isoler les systèmes critiques, mettre en place une sauvegarde hors ligne testée mensuellement, et appliquer les correctifs de sécurité dans un délai de 30 jours.
Comment savoir si mon entreprise entre dans le périmètre NIS2 ?
Le périmètre dépend du secteur d'activité (18 secteurs listés dans les annexes I et II de la directive) et de la taille de l'entreprise. L'ANSSI mettra à disposition un outil d'auto-évaluation lors de la transposition. En attendant, une analyse juridique croisée du code NAF, du chiffre d'affaires et des relations contractuelles avec des entités régulées permet de déterminer l'exposition.
Pour aller plus loin
La cybersécurité pour les TPE/PME en 13 questions - ANSSI
TPE/PME : comment se protéger face aux attaques informatiques - Service-Public.fr
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
