Actualité du mois juridique

L'actualité du mois

Partager sur :

TPE-PME : êtes-vous prêts aux nouvelles obligations cybersécurité 2026 ?

Avril 2026 / Temps de lecture estimé : 2 minute(s)

Les cyberattaques touchent désormais les TPE-PME. Leurs infrastructures souvent moins bien protégées, parfois une simple messagerie vulnérable, facilitent les intrusions par phishing ou rançongiciel.

La pression vient également des partenaires commerciaux. Clients, donneurs d'ordre et assureurs exigent des garanties de sécurité et des procédures de sauvegarde documentées avant de s'engager. Les dirigeants doivent pouvoir justifier techniquement la protection de leurs données.

Nouvelles obligations attendues à partir de 2026

Les évolutions réglementaires obligent les entreprises à se structurer, qu'elles soient visées directement par la loi ou par l'intermédiaire des exigences de leurs clients.

Publiée le 27 décembre 2022, la directive européenne NIS 2 impose de nouvelles règles de sécurité informatique. La date limite de transposition du 17 octobre 2024 n'a pas été respectée par la majorité des États membres, entraînant l'ouverture de procédures d'infraction par la Commission européenne.

En France, le projet de loi de transposition (« Résilience des infrastructures critiques et renforcement de la cybersécurité ») a été voté au Sénat en mars 2025, puis validé en commission spéciale à l'Assemblée nationale en septembre 2025. Un vote définitif est envisagé au cours du second semestre 2026, sous réserve de l’agenda parlementaire. Ce texte imposera une gestion stricte des risques à environ 15 000 entités.

Applicable depuis le 17 janvier 2025, le règlement DORA encadre quant à lui la résilience numérique du secteur financier. Les banques et assurances répercutent logiquement ces contraintes réglementaires sur l'ensemble de leurs prestataires et fournisseurs.

Cette mise aux normes s'inscrit dans la stratégie nationale de cybersécurité 2026-2030, qui cible particulièrement l'accompagnement des PME.

Quatre mesures techniques à anticiper

La réglementation n'exige pas des petites structures de déployer des systèmes informatiques complexes. Les recommandations de l'ANSSI se concentrent sur des pratiques de gestion courante :

Verrouiller les accès : L'activation de l'authentification multifacteur (validation via smartphone) sur les messageries, les logiciels de gestion et les serveurs cloud bloque l'utilisation de mots de passe piratés.
Mettre à jour les systèmes : L'installation immédiate des correctifs logiciels empêche l'exploitation des failles connues. L'utilisation d'une détection active (antivirus ou EDR) repère les anomalies sur les postes de travail.
Isoler les sauvegardes : La protection contre les rançongiciels nécessite de conserver plusieurs copies des données, dont une stockée sur un support externe et physiquement déconnecté du réseau principal.
Informer les salariés : Les compromissions démarrent fréquemment par un e-mail frauduleux imitant un contact connu. La formation régulière des équipes réduit ce risque lié à l'ingénierie sociale.

La gestion des accès, les politiques de sauvegarde et la formation s'intègrent au pilotage quotidien de l'entreprise. Documenter ces pratiques répond aux obligations légales en cours d'adoption tout en sécurisant les relations commerciales.

Ce sujet vous intéresse et vous souhaitez en avoir plus, prenez un rendez vous avec votre Expert-comptable

Vous avez trouvé cet article utile ?