ANSSI cybersécurité : rôle, référentiels et conformité pour les entreprises en 2026
Rôle et missions de l’ANSSI en cybersécurité
L’ANSSI a trois missions principales : protéger les systèmes d’information critiques, détecter les cybermenaces et réagir aux incidents. En 2025, elle a traité 3 200 incidents, dont 30 % concernaient des PME (rapport ANSSI 2025). Ses actions ciblent quatre publics :
- Les opérateurs d’importance vitale (OIV) : 250 entreprises françaises dans les secteurs de l’énergie, la santé ou les transports. Pour elles, la conformité aux critères de sécurité des systèmes d’information (DICP) est obligatoire.
- Les opérateurs de services essentiels (OSE) : 600 entreprises soumises à la directive NIS 2 depuis 2024. Par exemple, un hôpital doit notifier toute cyberattaque sous 24 heures.
- Les administrations publiques : L’ANSSI supervise la sécurité des systèmes d’information de l’État via le Référentiel Général de Sécurité (RGS).
- Les entreprises privées bénéficient de guides pratiques et de certifications comme PASSI (Prestataires d’Audit de la Sécurité des Systèmes d’Information) ou SecNumCloud pour les services cloud.
L’ANSSI collabore également avec des acteurs clés comme le CLUSIF (Club de la Sécurité de l’Information Français) et le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) pour diffuser les bonnes pratiques.
Les référentiels ANSSI : PASSI, RGS et SecNumCloud
L’ANSSI publie des référentiels pour standardiser la cybersécurité. Voici les trois principaux, adaptés aux entreprises :
| Référentiel | Public cible | Objectif | Coût moyen (2026) |
|---|---|---|---|
| PASSI | Toutes entreprises | Audit des vulnérabilités par un prestataire certifié | 8 000 à 25 000 € |
| RGS | Administrations, entreprises travaillant avec l’État | Sécuriser les services en ligne (ex : plateformes de déclaration) | 5 000 à 15 000 € |
| SecNumCloud | Fournisseurs de services cloud | Certification des hébergeurs pour les données sensibles | 30 000 à 100 000 € |
PASSI : l’audit obligatoire pour les entreprises critiques
Un audit PASSI évalue la conformité de votre système d’information aux 5 critères DICP (Disponibilité, Intégrité, Confidentialité, Preuve, Traçabilité). En 2025, 70 % des PME auditées présentaient des vulnérabilités critiques, notamment sur la traçabilité des accès (source : CLUSIF).
Exemple : Une PME de 50 salariés dans le secteur de la santé a subi une fuite de données après un audit PASSI révélant l’absence de journalisation des accès aux dossiers patients. Le coût de la remédiation s’est élevé à 18 000 euros.
RGS : le cadre pour les services en ligne
Le Référentiel Général de Sécurité (RGS) s’applique aux entreprises qui échangent des données avec l’État, comme les plateformes de marchés publics ou les déclarations fiscales. Il impose plusieurs mesures strictes. Le chiffrement des données doit utiliser des algorithmes validés par l’ANSSI. Une authentification forte (MFA) est requise pour les accès administrateur. Enfin, la protection des données personnelles doit être assurée en complément du RGPD.
En 2024, une entreprise de logistique a été exclue d’un marché public pour non-conformité au RGS, perdant un contrat de 1,2 million d’euros.
SecNumCloud : la certification pour le cloud
SecNumCloud est une certification obligatoire pour les hébergeurs cloud traitant des données sensibles dans des secteurs comme la santé, la finance ou la défense. En 2026, 40 % des entreprises françaises utilisent un service SecNumCloud, contre 15 % en 2022 (ANSSI).
Pour une PME, choisir un hébergeur certifié SecNumCloud réduit de 60 % le risque de fuite de données (étude CESIN). Parmi les hébergeurs certifiés figurent OVHcloud, Outscale et 3DS Outscale.
Comment se conformer aux exigences de l’ANSSI ?
La conformité ANSSI repose sur quatre étapes clés. Voici une méthode adaptée aux TPE-PME :
Évaluer son niveau de risque Un audit initial permet d’identifier vos vulnérabilités en utilisant le guide d’auto-évaluation ANSSI. Ce diagnostic peut coûter entre 0 et 2 000 euros selon la complexité de votre système. Trois critères essentiels doivent être vérifiés : la disponibilité de vos services, comme la redondance des serveurs, l’intégrité de vos données, notamment via des sauvegardes externalisées, et la confidentialité, assurée par le chiffrement des données sensibles.
Choisir un référentiel adapté Le choix du référentiel dépend de votre activité. PASSI convient aux entreprises critiques des secteurs santé, énergie ou finance. RGS s’applique si vous travaillez avec l’État ou gérez des données publiques. SecNumCloud est indispensable si vous utilisez ou fournissez des services cloud.
Mettre en place les mesures techniques Pour le PASSI, plusieurs actions sont nécessaires. La journalisation des accès peut être assurée par une solution SIEM comme Splunk ou Wazuh. Le chiffrement des données sensibles doit utiliser AES-256. La sécurisation du réseau informatique passe par un pare-feu et une segmentation adaptée.
Pour le RGS, l’authentification forte est obligatoire, via une clé YubiKey ou une application comme Google Authenticator. La signature électronique des documents peut être réalisée avec des outils comme DocuSign ou Universign.
Pour SecNumCloud, l’hébergement doit être confié à un fournisseur certifié comme OVHcloud. Le chiffrement des données doit couvrir à la fois les données au repos et en transit.
- Former les équipes La sensibilisation des équipes est cruciale, car 80 % des cyberattaques réussies exploitent une erreur humaine (Verizon DBIR, 2025). Il est recommandé de former vos collaborateurs aux techniques de phishing et ransomware. Un plan de réponse aux incidents, comme un plan de continuité d’activité (PCA), réduit de 50 % le temps de reprise après une cyberattaque (Gartner).
Outils et certifications ANSSI pour les entreprises
L’ANSSI propose des outils gratuits et des certifications pour aider les entreprises à se protéger :
Outils gratuits Plusieurs ressources sont disponibles pour les TPE-PME. MonServiceSécurisé est un outil d’auto-évaluation accessible en ligne (lien). CLIP est une liste de diffusion permettant de recevoir les alertes cyber en temps réel. Des guides pratiques, comme le document “Comment sécuriser son système d’information” (ANSSI, 2025), offrent des conseils concrets.
Certifications payantes
| Certification | Public cible | Coût (2026) | Durée de validité |
|---|---|---|---|
| PASSI | Entreprises critiques | 8 000 à 25 000 € | 1 an |
| RGS | Administrations, entreprises travaillant avec l’État | 5 000 à 15 000 € | 2 ans |
| SecNumCloud | Fournisseurs de services cloud | 30 000 à 100 000 € | 3 ans |
| Qualification CSPN | Éditeurs de solutions cyber | 15 000 à 50 000 € | 2 ans |
Exemple : Une PME de 30 salariés dans le secteur de la santé a obtenu la certification PASSI en 2025 pour 12 000 euros, ce qui lui a permis de réduire de 30 % sa prime d’assurance cyber.
Erreurs à éviter avec l’ANSSI
Trois pièges courants pénalisent les entreprises :
Négliger les mises à jour Les cyberattaques exploitent souvent des vulnérabilités connues mais non corrigées, comme le révèle 60 % des incidents signalés à l’ANSSI en 2025. Pour éviter ce risque, Tu dois d’automatiser les mises à jour de vos systèmes, que ce soit via Windows Update ou les patchs Linux.
Sous-estimer la formation Une PME a perdu 50 000 euros après une attaque par phishing ciblant un employé non formé. Pour prévenir ce type d’incident, il est recommandé d’organiser des sessions trimestrielles sur les bonnes pratiques en cybersécurité.
Choisir un prestataire non certifié Un audit PASSI réalisé par un prestataire non certifié ANSSI n’a aucune valeur légale. Avant de sélectionner un partenaire, vérifiez sa certification sur le site de l’ANSSI.
Prochaine étape :
- Téléchargez le guide d’auto-évaluation ANSSI pour évaluer votre niveau de risque.
- Identifiez le référentiel adapté à votre entreprise (PASSI, RGS ou SecNumCloud).
- Contactez un prestataire certifié PASSI pour un audit complet.
