Le projet de loi doit maintenant être examiné à l’Assemblée Nationale avant son entrée en vigueur définitive.

Les entreprises disposeront ensuite d’un délai précis pour se conformer à ces nouvelles règles.

La cybersécurité était au cœur de l’actualité cette semaine en France.

Ce 11 mars, Vincent Strubel, directeur de l’ANSSI, intervenait au micro de la Matinale de France Inter pour rappeler les enjeux majeurs auxquels font face aujourd’hui les PME françaises.

En effet en 2024 les PME/TPE/ETI constituent la catégorie d’entités la plus exposée aux rançongiciels (ransomware).

Source : PANORAMA DE LA CYBERMENACE 2024 CERT-FR ANSSI - 11 mars 2025

https://www.cert.ssi.gouv.fr/uploads/CERTFR-2025-CTI-003.pdf

Vincent Strubel a rappelé les trois grandes catégories de cyberattaques : lucratives, d’espionnage et de déstabilisation.

Il a mis l’accent sur des pratiques simples mais essentielles pour renforcer la sécurité des entreprises :

- mises à jour régulières des logiciels, sauvegardes sécurisées et systèmes d’authentification robustes.

Ces mesures pour les PME sont souvent bien moins coûteuses qu’une rançon ou une interruption prolongée de leurs activités.

Vincent Strubel insiste également sur l’importance de ne jamais céder aux demandes de rançon et recommande fortement la sensibilisation des équipes via des simulations de crises régulières.

En cas d'incident ou pour obtenir un soutien rapide, les entreprises peuvent contacter l’ANSSI : ANSSI Incident – Vulnérabilité.

Retrouvez l’interview complète de Vincent Strubel : Podcast France Inter, 11 mars 2025

------

Autre événement marquant de cette semaine : l’adoption au Sénat du projet de loi sur la résilience des infrastructures critiques et la cybersécurité.

Ce texte transpose trois directives européennes majeures de 2022 (REC, NIS 2 et DORA), renforçant les obligations pour plus de 16 500 entreprises et collectivités françaises.

Que signifient concrètement ces nouvelles directives pour les organisations ?

Directive REC - Résilience des Entités Critiques : il s'agit principalement d'une mise à jour importante du dispositif français existant de sécurité des activités d’importance vitale (SAIV) en vigueur depuis 2006.

La directive acte un changement d'approche : elle ne se limite plus à la seule protection des infrastructures critiques mais impose désormais une approche globale intégrant la capacité des organisations à anticiper, à absorber une attaque et à rétablir rapidement leur fonctionnement. Le périmètre des entités concernées sera également étendu à de nouveaux secteurs comme les réseaux de chaleur et de froid, l'hydrogène ou encore l'assainissement.

Directive NIS2 - Network and Information Systems Directive 2022 : applicable à environ 15 000 entités « essentielles » ou « importantes », elle inclut dorénavant 1 500 collectivités territoriales. Ces organisations devront assurer la résilience globale de leurs systèmes informatiques.

Directive DORA - Digital Operational Resilience Act : concerne spécifiquement les entreprises du secteur financier, leur imposant une résilience numérique opérationnelle stricte.

Ces directives vont aussi impacter indirectement les PME qui fournissent des services aux grandes entreprises concernées, leur imposant de nouvelles exigences de sécurité et de résilience numérique. Voici un aperçu précis des entreprises concernées par ces directives :

Directive et types d'entreprises impactées

REC : Grandes entreprises stratégiques et leurs fournisseurs :

- Énergie (EDF, Engie),

- Transports (SNCF, Air France-KLM),

- Télécoms (Orange, OVHcloud),

- Banques systémiques (BNP Paribas),

- Santé (Sanofi),

- Agroalimentaire (Danone),

- Eau et assainissement (Veolia),

- Industrie chimique et défense (Arkema, Thales)

- Fournisseurs essentiels intégrés dans des chaînes critiques ou des infrastructures numériques sensibles.

NIS2

-15 000 entités essentielles ou importantes, ainsi que 1 500 collectivités territoriales.

DORA

-Secteur financier : banques, assurances, infrastructures financières critiques.

Anticiper dès aujourd’hui permet aux entreprises et collectiviter d’éviter des dépenses importantes liées à une mise en conformité précipitée et mal budgétée. Cette anticipation garantit la continuité des activités, rassure les clients et partenaires, et facilite les audits réglementaires futurs.

Vous souhaitez anticiper efficacement ces obligations et renforcer la résilience numérique de votre PME ?

Contactez Thoret Conseil pour réaliser un audit cybersécurité ou organiser une simulation de crise cyber adaptée à vos besoins.

Vous pouvez aussi retrouver ses services sur notre page Gestion de Crise.

Anne-Claire di Donato