ANSSI : ce que l'agence recommande aux PME en 2025

Vous avez entendu parler de l'ANSSI — l'agence nationale de la sécurité des systèmes d'information — mais vous ne savez pas vraiment ce qu'elle peut faire pour votre PME ? Vous n'êtes pas seul. Cette agence gouvernementale publie chaque année des recommandations et des outils gratuits pensés pour toutes les entreprises, y compris les plus petites. Problème : ses guides sont souvent longs, techniques, et difficiles à digérer quand on dirige une équipe de 20 ou 50 personnes. Cet article fait le travail à votre place. Voici ce que l'ANSSI recommande concrètement aux PME en 2025, et comment passer à l'action sans être expert en informatique.

C'est quoi exactement l'ANSSI ?

L'ANSSI — Agence nationale de la sécurité des systèmes d'information — est l'autorité nationale en matière de cybersécurité en France. Créée en 2009, elle dépend du Premier ministre et a pour mission de protéger les systèmes informatiques des organisations françaises : administrations, grandes entreprises, mais aussi PME et TPE. Concrètement, l'agence nationale de cybersécurité remplit trois rôles pour vous : elle publie des guides et bonnes pratiques accessibles gratuitement, elle propose des outils d'autodiagnostic, et elle coordonne un réseau d'experts pour vous accompagner. Ce n'est pas un organisme de contrôle ou de sanction. C'est plutôt un allié — à condition de savoir où chercher.

Les recommandations ANSSI que chaque PME devrait appliquer

La cybersécurité ANSSI pour les PME repose sur un document clé : le Guide des bonnes pratiques de l'informatique. Il liste 12 règles fondamentales. En voici les plus importantes, traduites en actions concrètes.

1. Faites des mises à jour régulières. Un logiciel non mis à jour est une porte ouverte. Activez les mises à jour automatiques sur tous vos postes, serveurs et équipements réseau. C'est gratuit, ça prend 10 minutes à configurer, et c'est la mesure qui bloque le plus d'attaques.

2. Utilisez des mots de passe robustes et un gestionnaire de mots de passe. L'ANSSI recommande des mots de passe d'au moins 12 caractères, différents pour chaque service. Un gestionnaire comme Bitwarden (gratuit) gère tout ça pour vous.

3. Sauvegardez vos données régulièrement. La règle du 3-2-1 : 3 copies, sur 2 supports différents, dont 1 hors site (cloud ou disque externe stocké ailleurs). En cas de ransomware, c'est votre seule bouée de secours.

4. Limitez les droits des utilisateurs. Chaque employé ne doit avoir accès qu'aux données dont il a besoin. Un stagiaire n'a pas besoin d'accéder à votre comptabilité. C'est ce qu'on appelle le principe du moindre privilège.

5. Séparez vos usages professionnels et personnels. Pas de réseaux sociaux ou d'achats personnels sur les postes professionnels. Et pas d'e-mails pros sur les appareils personnels sans protection adaptée.

MonAideCyber : l'outil gratuit que l'ANSSI met à votre disposition

C'est probablement la ressource la plus utile pour une PME qui part de zéro. MonAideCyber est un service gratuit, lancé par l'ANSSI, qui vous permet d'obtenir un diagnostic de votre niveau de sécurité informatique en une heure, accompagné d'un aidant cyber bénévole et formé.

Comment ça marche ? Vous prenez rendez-vous sur le site monaidecyber.ssi.gouv.fr. Un expert (souvent un professionnel de la cybersécurité ou un consultant bénévole) vous pose une série de questions simples sur votre organisation : combien de postes vous avez, si vous faites des sauvegardes, comment vous gérez les accès, etc. À la fin, vous recevez un rapport avec des priorités claires et des actions à mener dans les prochains mois. C'est concret, gratuit, et sans engagement. Des centaines de PME françaises l'ont déjà utilisé. Si vous ne faites qu'une seule chose après avoir lu cet article, c'est de prendre ce rendez-vous.

Les guides ANSSI à télécharger gratuitement

L'agence nationale de la sécurité informatique met à disposition plusieurs guides téléchargeables sur cyber.gouv.fr. Voici ceux qui sont réellement utiles pour une PME :

— Le Guide des bonnes pratiques de l'informatique (40 pages, très lisible) : le point de départ pour tout dirigeant. Il couvre les bases en langage clair.

— La fiche mémo 'Mot de passe' : à imprimer et afficher dans vos locaux. Elle explique comment créer et gérer des mots de passe solides.

— Le Guide de la sécurité des données personnelles (co-édité avec la CNIL) : indispensable si vous gérez des données clients ou employés, pour respecter le RGPD tout en vous protégeant.

— Les recommandations sur la messagerie professionnelle : comment éviter les arnaques par e-mail (phishing), qui représentent plus de 80 % des cyberattaques sur les PME.

Tous ces documents sont gratuits, en français, et accessibles sans inscription sur le site officiel de l'ANSSI.

ANSSI formation cybersécurité : sensibiliser vos équipes sans se ruiner

La technique ne fait pas tout. 90 % des cyberattaques réussies exploitent une erreur humaine : un clic sur un lien douteux, un mot de passe partagé, une pièce jointe ouverte sans réfléchir. L'ANSSI sensibilisation sécurité informatique est donc aussi une priorité.

L'agence propose plusieurs ressources pédagogiques gratuites :

— La plateforme SecNumacadémie (accessible sur secnumacademie.gouv.fr) : des formations en ligne gratuites sur la cybersécurité, accessibles à tous vos collaborateurs, même sans bagage technique. Les modules durent entre 30 minutes et 2 heures.

— Des kits de sensibilisation téléchargeables : affiches, présentations PowerPoint, quiz à diffuser en interne. Parfait pour une session de 30 minutes lors d'une réunion d'équipe.

— Des fiches réflexes en cas d'incident : que faire si un employé clique sur un lien de phishing ? Si un poste est chiffré par un ransomware ? Ces fiches donnent les premières étapes à suivre, calmement.

Pour l'ANSSI formation cybersécurité plus avancée, l'agence référence aussi des prestataires certifiés (via le label ExpertCyber) qui proposent des formations adaptées aux PME, souvent éligibles au financement OPCO.

Que faire si vous subissez une cyberattaque ?

Malgré toutes les précautions, une attaque peut survenir. L'ANSSI coordonne le CERT-FR (Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques). Pour une PME, le bon réflexe en cas d'incident grave est de :

1. Déconnecter immédiatement les machines touchées du réseau (sans les éteindre, pour préserver les traces).
2. Appeler un prestataire spécialisé en réponse à incident — l'ANSSI publie une liste de prestataires qualifiés PRIS sur son site.
3. Déposer plainte auprès de la police ou de la gendarmerie — c'est indispensable pour votre assurance et pour les enquêtes.
4. Signaler l'incident sur cybermalveillance.gouv.fr — une plateforme complémentaire à l'ANSSI qui oriente les PME victimes vers les bons interlocuteurs locaux.

Ne payez jamais une rançon sans avoir consulté un expert au préalable. L'ANSSI le déconseille formellement : cela ne garantit pas la récupération de vos données et finance les criminels.

En résumé : la checklist

Voici les actions à mener, du plus simple au plus structurant :

✅ Télécharger le Guide des bonnes pratiques ANSSI sur cyber.gouv.fr (gratuit, 40 pages)
✅ Activer les mises à jour automatiques sur tous les postes et équipements
✅ Mettre en place un gestionnaire de mots de passe pour toute l'équipe
✅ Vérifier que vous avez des sauvegardes régulières, testées, et stockées hors site
✅ Inscrire vos collaborateurs sur SecNumacadémie pour une formation gratuite en ligne
✅ Prendre rendez-vous sur MonAideCyber pour un diagnostic gratuit de votre sécurité
✅ Limiter les droits d'accès de chaque utilisateur au strict nécessaire
✅ Afficher les fiches mémo ANSSI (mots de passe, phishing) dans vos locaux
✅ Identifier un prestataire qualifié PRIS à contacter en cas d'incident
✅ Signaler tout incident sur cybermalveillance.gouv.fr

L'agence nationale de la sécurité des systèmes d'information ANSSI fait un travail remarquable pour rendre la cybersécurité accessible. Mais les ressources existent surtout pour ceux qui les cherchent. En tant que dirigeant de PME, vous n'avez pas besoin de tout comprendre dans le détail — vous avez besoin de faire les bons gestes, dans le bon ordre. Commencez par MonAideCyber : c'est gratuit, c'est rapide, et ça vous donnera une feuille de route sur mesure.