Les enjeux de la cyber sécurité en entreprise en 2026

Cybersécurité en 2026 : pourquoi les TPE et PME sont les premières cibles

Les grandes entreprises investissent des millions d'euros dans leur cybersécurité. Les cybercriminels l'ont compris : il est plus rentable de cibler les TPE et PME, moins protégées, que de s'attaquer à des groupes du CAC 40 dotés de SOC (Security Operations Centers) et d'équipes dédiées. Selon l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), les PME et ETI représentent plus de 40 % des attaques par rançongiciel (ransomware) traitées en France. Le coût médian d'une cyberattaque pour une PME française se situe entre 15 000 et 50 000 €, mais peut atteindre plusieurs centaines de milliers d'euros en cas de paralysie prolongée de l'activité.

Pour un dirigeant de TPE ou de PME, la cybersécurité n'est plus un sujet réservé aux DSI des grands groupes : c'est un risque opérationnel qui peut mettre en péril la survie de l'entreprise. Les données comptables, financières, les fichiers clients, les coordonnées bancaires et les accès aux logiciels de gestion sont des cibles prioritaires pour les cybercriminels.

Les obligations réglementaires des entreprises en matière de cybersécurité en 2026

Le RGPD : protection des données personnelles depuis 2018

Le RGPD (Règlement Général sur la Protection des Données), en vigueur depuis le 25 mai 2018, impose à toute entreprise traitant des données personnelles (clients, salariés, fournisseurs) de mettre en place des mesures de sécurité techniques et organisationnelles pour protéger ces données. En cas de violation de données (fuite, vol, destruction), l'entreprise doit :

• Notifier la CNIL dans les 72 heures suivant la découverte de la violation
• Informer les personnes concernées si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés
• Documenter l'incident dans un registre interne des violations

Les sanctions en cas de non-respect du RGPD peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu). Pour une PME, les amendes prononcées par la CNIL sont généralement de l'ordre de quelques milliers à quelques dizaines de milliers d'euros, mais l'atteinte à la réputation peut être bien plus coûteuse.

La directive NIS 2 : des obligations étendues aux PME depuis octobre 2024

La directive européenne NIS 2 (Network and Information Security), transposée en droit français depuis octobre 2024, élargit considérablement le périmètre des entreprises soumises à des obligations de cybersécurité. Contrairement à NIS 1 qui ne concernait que les grands opérateurs d'importance vitale, NIS 2 s'applique aux entreprises de plus de 50 salariés ou réalisant plus de 10 M€ de CA dans des secteurs considérés comme essentiels ou importants : énergie, transports, santé, numérique, alimentation, gestion des déchets, services postaux, chimie, fabrication de dispositifs médicaux...

Les entreprises concernées doivent mettre en place une politique de gestion des risques cyber, notifier les incidents significatifs à l'ANSSI, réaliser des audits de sécurité et former leurs dirigeants. Le non-respect expose à des amendes pouvant atteindre 10 millions d'euros ou 2 % du CA mondial.

Même si votre PME n'est pas directement soumise à NIS 2, vos clients grands comptes qui y sont soumis peuvent vous imposer des exigences de cybersécurité contractuelles en tant que fournisseur ou sous-traitant. La conformité cyber devient un critère de sélection dans les appels d'offres B2B.

Protéger les données comptables et financières : les risques spécifiques pour les dirigeants

Les données comptables et financières sont parmi les plus sensibles de l'entreprise. Leur compromission peut avoir des conséquences directes sur la trésorerie, la conformité fiscale et la relation avec les clients et fournisseurs. Voici les risques spécifiques :

• Vol d'identifiants d'accès au logiciel comptable : un pirate qui accède à votre logiciel de comptabilité en ligne peut consulter l'intégralité de vos données financières, modifier des écritures, exporter vos fichiers FEC (Fichier des Écritures Comptables) et même générer des virements frauduleux si le logiciel est connecté à votre banque.
• Compromission de l'accès impots.gouv.fr ou urssaf.fr : un accès frauduleux à votre espace professionnel fiscal peut permettre de modifier vos coordonnées bancaires (pour détourner un remboursement de TVA), de consulter vos déclarations ou de déposer de fausses déclarations.
• Altération des fichiers de paie : un accès non autorisé aux données de paie expose les informations personnelles de tous les salariés (numéro de Sécurité sociale, IBAN, salaire) et peut servir à des usurpations d'identité.
• Perte de données comptables après un ransomware : si vos sauvegardes ne sont pas externalisées, un ransomware peut détruire l'intégralité de vos données comptables. La reconstitution d'une comptabilité à partir de zéro coûte entre 5 000 et 30 000 € selon le volume d'opérations et retarde considérablement vos obligations déclaratives.

Les 8 mesures essentielles de cybersécurité pour une TPE/PME en 2026

• 1. Activer l'authentification multifacteur (MFA) partout : sur votre messagerie professionnelle, votre logiciel comptable, vos accès bancaires, impots.gouv.fr et urssaf.fr. Le MFA bloque plus de 99 % des tentatives de compromission de comptes.
• 2. Sauvegarder selon la règle 3-2-1 : 3 copies de vos données, sur 2 supports différents, dont 1 hors site (cloud sécurisé ou disque externe déconnecté). Testez la restauration au moins une fois par trimestre.
• 3. Mettre à jour systématiquement : système d'exploitation, navigateur, logiciels métier, antivirus. Les mises à jour corrigent les failles de sécurité exploitées par les attaquants. Activez les mises à jour automatiques.
• 4. Former les collaborateurs au phishing : 90 % des cyberattaques commencent par un email frauduleux. Apprenez à vos équipes à vérifier l'expéditeur, à ne jamais cliquer sur un lien suspect et à signaler immédiatement tout email douteux.
• 5. Sécuriser les mots de passe : un mot de passe unique par service, d'au moins 12 caractères (majuscules, minuscules, chiffres, caractères spéciaux). Utilisez un gestionnaire de mots de passe (Bitwarden, KeePass, 1Password).
• 6. Cloisonner les accès : chaque collaborateur ne doit avoir accès qu'aux données nécessaires à sa fonction. Le comptable n'a pas besoin d'un accès administrateur au site web, et l'alternant marketing n'a pas besoin d'accéder au logiciel de paie.
• 7. Sécuriser le réseau Wi-Fi : chiffrement WPA3 (ou WPA2 au minimum), mot de passe complexe, réseau invité séparé du réseau de l'entreprise.
• 8. Procédure de double validation pour les virements : tout virement supérieur à un seuil défini (par exemple 1 000 €) doit être validé par deux personnes distinctes, avec confirmation par un canal séparé (téléphone, SMS) en cas de changement de RIB fournisseur. Cette mesure bloque la quasi-totalité des fraudes au virement.

L'ANSSI propose un guide gratuit de cybersécurité pour les TPE/PME en 13 questions, téléchargeable sur ssi.gouv.fr. C'est le point de départ recommandé pour tout dirigeant qui souhaite structurer sa démarche. Le dispositif cybermalveillance.gouv.fr propose également un diagnostic gratuit en cas d'incident et un annuaire de prestataires labellisés ExpertCyber.

La cyber-assurance : un poste de charge qui devient incontournable

La cyber-assurance couvre les conséquences financières d'une cyberattaque : frais de remédiation technique, perte d'exploitation, frais de notification CNIL, frais juridiques, frais de communication de crise et, dans certains contrats, le paiement de la rançon (sujet controversé). Pour une TPE/PME réalisant moins de 2 M€ de CA, le coût annuel d'une cyber-assurance se situe entre 500 et 3 000 € selon les garanties et la franchise. C'est une charge déductible du résultat imposable (compte 616 en comptabilité).

Attention : les assureurs exigent de plus en plus des mesures de sécurité minimales pour accorder leur couverture (MFA activé, sauvegardes externalisées, antivirus à jour). Un sinistre survenant alors que ces prérequis ne sont pas respectés peut entraîner un refus de prise en charge.

Que faire en cas de cyberattaque : les 5 étapes immédiates

• 1. Isoler les systèmes compromis : déconnecter les postes infectés du réseau (couper le Wi-Fi, débrancher le câble Ethernet) sans éteindre les machines (pour conserver les preuves en mémoire)
• 2. Alerter votre prestataire informatique ou le service de diagnostic gratuit de cybermalveillance.gouv.fr
• 3. Notifier la CNIL dans les 72h si des données personnelles sont compromises (obligation RGPD, formulaire en ligne sur cnil.fr)
• 4. Déposer plainte auprès du commissariat ou de la gendarmerie (brigade de lutte contre la cybercriminalité) ou via la plateforme pre-plainte-en-ligne.gouv.fr. La plainte est indispensable pour activer votre cyber-assurance.
• 5. Informer votre expert-comptable : si les données comptables sont compromises, votre expert-comptable peut évaluer l'étendue des pertes, reconstituer les écritures à partir des relevés bancaires et des sauvegardes, et gérer les éventuels retards de déclarations fiscales auprès de l'administration.

Ce que les dirigeants nous demandent le plus souvent sur la cybersécurité

Mon entreprise est-elle soumise à NIS 2 ?

NIS 2 s'applique aux entreprises de plus de 50 salariés ou réalisant plus de 10 M€ de CA dans des secteurs définis comme essentiels ou importants (énergie, transports, santé, numérique, alimentation...). Les TPE et micro-entreprises ne sont pas directement concernées, sauf si elles opèrent dans un secteur critique. Mais vos clients soumis à NIS 2 peuvent vous imposer des exigences contractuelles de cybersécurité.

La rançon d'un ransomware est-elle déductible fiscalement ?

C'est un sujet juridiquement complexe. Le paiement d'une rançon n'est pas illégal en soi en France, mais il est fortement déconseillé par l'ANSSI et les forces de l'ordre (il finance la cybercriminalité et ne garantit pas la récupération des données). Sur le plan fiscal, la déductibilité d'un tel paiement est incertaine et pourrait être contestée par l'administration. Les frais de remédiation technique (prestataire cybersécurité, reconstitution des données) sont en revanche des charges déductibles.

La cyber-assurance est-elle obligatoire pour une TPE ?

Non, la cyber-assurance n'est pas légalement obligatoire. Mais elle est de plus en plus recommandée et conditionnée par certains contrats commerciaux (appels d'offres, sous-traitance pour des grands comptes). Son coût (500 à 3 000 €/an pour une TPE) est modeste comparé au coût moyen d'une attaque (15 000 à 50 000 €). C'est une charge déductible du résultat.

Mon expert-comptable peut-il m'aider en cas de perte de données comptables ?

Oui. Si vos données comptables sont détruites ou inaccessibles suite à une cyberattaque, votre expert-comptable peut reconstituer la comptabilité à partir des relevés bancaires, des factures clients/fournisseurs et des déclarations fiscales déjà déposées. Il peut également solliciter un délai auprès de l'administration fiscale pour le dépôt des déclarations impactées. L-Expert-Comptable.com utilise des infrastructures cloud sécurisées avec sauvegardes automatiques pour protéger les données de ses clients.

Dois-je notifier la CNIL en cas de cyberattaque ?

Oui, si l'attaque a compromis des données à caractère personnel (noms, adresses, emails, IBAN, numéros de Sécurité sociale de vos clients ou salariés). La notification doit être effectuée dans les 72 heures suivant la découverte de la violation, via le formulaire en ligne sur cnil.fr. Le non-respect de ce délai expose à des sanctions RGPD.

Sources et références

Cybermalveillance.gouv.fr : Plateforme nationale d'assistance aux victimes de cybermalveillance

CNIL : Notification d'une violation de données personnelles