NIS2 : ce que les PME françaises doivent mettre en place avant la mise en conformité

La directive européenne NIS2 (Network and Information Security 2) est entrée en vigueur en France fin 2024. Elle élargit considérablement le périmètre des entreprises soumises à des obligations de cybersécurité renforcées. Contrairement à NIS1 qui ne concernait qu’une poignée d’opérateurs critiques, NIS2 touche désormais plusieurs milliers de PME et ETI françaises dans de nombreux secteurs d’activité.

Qui est concerné par NIS2 ?

NIS2 distingue deux catégories d’entités : les entités essentielles (grandes entreprises dans des secteurs critiques comme l’énergie, les transports, la santé) et les entités importantes, qui incluent les PME de taille moyenne (50 à 250 salariés, ou chiffre d’affaires entre 10 et 50 M€) opérant dans des secteurs comme la fabrication, le numérique, les services postaux ou la restauration collective.

Si vous faites partie de la chaîne d’approvisionnement d’une grande entreprise déjà soumise à NIS2, vous pouvez également être indirectement impacté. En cas de doute, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) publie régulièrement des guides sectoriels pour vous aider à déterminer votre statut.

Les obligations concrètes imposées par NIS2

Les entreprises concernées doivent mettre en place un ensemble de mesures techniques et organisationnelles, parmi lesquelles :

• Gouvernance cyber : nommer un responsable de la sécurité informatique (RSSI ou équivalent) et former la direction aux risques cyber.
• Gestion des risques : réaliser une analyse de risques régulière et documenter les mesures de protection en place.
• Continuité d’activité : disposer d’un plan de reprise d’activité (PRA) et le tester au moins une fois par an.
• Sécurité de la chaîne d’approvisionnement : évaluer la sécurité de vos fournisseurs et prestataires informatiques.
• Gestion des incidents : être en mesure de détecter, signaler et répondre à un incident de sécurité dans des délais stricts (24h pour la notification initiale à l’ANSSI).
• Chiffrement et authentification forte : déployer le MFA (authentification multi-facteurs) sur tous les accès critiques.

Quelles sanctions en cas de non-conformité ?

Les sanctions prévues sont significatives : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles, et jusqu’à 7 millions d’euros ou 1,4 % du CA pour les entités importantes. Au-delà des amendes, une violation de NIS2 peut entraîner une suspension temporaire des activités et une atteinte sévère à la réputation de l’entreprise.

Par où commencer ? Le plan d’action recommandé

Face à l’ampleur des exigences, beaucoup de dirigeants ne savent pas par où commencer. Voici le plan d’action en 4 étapes que nous recommandons chez 1FOPRESTA :

1. Déterminer votre périmètre NIS2 avec l’aide de l’ANSSI ou d’un prestataire certifié.
2. Réaliser un audit de votre système d’information pour identifier les écarts par rapport aux exigences.
3. Prioriser les actions correctives selon le niveau de risque (authentification forte, sauvegardes, mises à jour).
4. Documenter et tester : mettre en place les procédures et les tester régulièrement.

Chez 1FOPRESTA, nous accompagnons les PME françaises dans leur mise en conformité NIS2 : audit initial, plan d’action sur mesure, déploiement des solutions techniques et formation des équipes. Contactez-nous pour un diagnostic gratuit.

Ransomware : comment protéger votre entreprise en 5 étapes concrètes

En 2025, une PME française sur cinq a subi une attaque par ransomware. Ces logiciels malveillants chiffrent l’ensemble de vos données et réclament une rançon pour les restituer — avec aucune garantie de récupération même après paiement. Le coût moyen d’une attaque pour une PME dépasse désormais 50 000 euros, sans compter les pertes d’exploitation et l’impact sur la réputation.

La bonne nouvelle : la grande majorité des attaques réussies exploitent des failles connues et évitables. Voici les 5 étapes indispensables pour sécuriser votre entreprise.

Étape 1 : Sauvegarder selon la règle 3-2-1

La sauvegarde est votre dernière ligne de défense. Appliquez la règle 3-2-1 : 3 copies de vos données, sur 2 supports différents, dont 1 hors site (cloud ou disque déconnecté). Testez la restauration au moins une fois par trimestre. Une sauvegarde non testée n’est pas une vraie sauvegarde.

Étape 2 : Mettre à jour systématiquement tous vos systèmes

80 % des ransomwares exploitent des vulnérabilités déjà corrigées par des mises à jour. Activez les mises à jour automatiques sur Windows, les logiciels, les navigateurs et les équipements réseau. Planifiez une revue mensuelle des correctifs pour les systèmes critiques.

Étape 3 : Déployer l’authentification multi-facteurs (MFA)

Le vol de mots de passe est la principale porte d’entrée des ransomwares. Avec le MFA, même si un mot de passe est compromis, l’attaquant ne peut pas accéder au système sans le second facteur d’authentification. Activez le MFA en priorité sur les accès VPN, Microsoft 365, et les outils de gestion à distance.

Étape 4 : Former vos collaborateurs au phishing

90 % des infections démarrent par un e-mail de phishing. Une formation de 2 heures par an et des simulations régulières d’attaques réduisent drastiquement le risque humain. Apprenez à vos équipes à vérifier l’adresse de l’expéditeur, à ne jamais cliquer sur un lien suspect et à signaler immédiatement tout e-mail douteux.

Étape 5 : Segmenter votre réseau et limiter les droits

Un ransomware se propage latéralement sur le réseau. En segmentant votre infrastructure (séparation des réseaux serveurs, postes, imprimantes, IoT) et en appliquant le principe du moindre privilège (chaque utilisateur n’accède qu’à ce dont il a besoin), vous limitez considérablement la surface d’attaque et la propagation en cas d’infection.

Et si vous êtes déjà victime d’une attaque ?

En cas d’attaque ransomware : déconnectez immédiatement les machines du réseau, ne payez pas la rançon sans avoir consulté un expert, et contactez l’ANSSI et votre prestataire informatique. Signalez l’incident sur cybermalveillance.gouv.fr. 1FOPRESTA propose une assistance d’urgence en cas d’incident cyber — contactez-nous au plus vite pour limiter les dégâts.

MFA : guide de déploiement de l’authentification multi-facteurs pour les PME

L’authentification multi-facteurs (MFA, ou double authentification) est aujourd’hui la mesure de cybersécurité au meilleur rapport coût/efficacité pour les entreprises. Selon Microsoft, elle bloque plus de 99,9 % des attaques automatisées sur les comptes. Pourtant, de nombreuses PME françaises ne l’ont pas encore déployée, souvent par manque de temps ou de savoir-faire technique.

Ce guide pratique vous explique comment déployer le MFA étape par étape dans votre entreprise, sans perturber la productivité de vos équipes.

Qu’est-ce que le MFA et pourquoi en avez-vous besoin ?

Le MFA exige que l’utilisateur prouve son identité via deux éléments distincts : quelque chose qu’il connaît (mot de passe), quelque chose qu’il possède (téléphone, token physique) ou quelque chose qu’il est (empreinte digitale, reconnaissance faciale). Même si un cybercriminel obtient votre mot de passe, il ne peut pas accéder à votre compte sans le second facteur.

Quels accès sécuriser en priorité ?

Commencez par les accès à fort impact en cas de compromission :

• Microsoft 365 / Google Workspace : e-mails, fichiers partagés, Teams
• VPN et accès distants : télétravail, maintenance à distance
• Comptes d’administration : Active Directory, serveurs, pare-feu
• ERP et logiciels métier : comptabilité, CRM, gestion de production
• Banque en ligne et outils de paiement

Quelle solution MFA choisir ?

Plusieurs solutions s’adaptent aux PME. Microsoft Authenticator est idéal si vous utilisez déjà Microsoft 365 — il s’intègre nativement et la configuration ne prend que quelques minutes par utilisateur. Google Authenticator ou Authy fonctionnent avec la plupart des services compatibles TOTP. Pour les besoins plus avancés (SSO, gestion centralisée), des solutions comme Duo Security ou Okta offrent un tableau de bord d’administration complet.

Comment déployer le MFA sans bloquer vos équipes ?

Le principal frein au déploiement du MFA en PME est la résistance des utilisateurs. Voici comment l’éviter :

1. Communiquez en amont : expliquez pourquoi c’est nécessaire, avec des exemples concrets d’entreprises victimes de piratage.
2. Pilotez sur un groupe restreint : commencez par les managers et l’équipe IT avant de déployer à tous.
3. Formez rapidement : une démo de 15 minutes suffit pour montrer comment utiliser l’application d’authentification.
4. Prévoyez un plan B : définissez la procédure si un utilisateur perd son téléphone (numéros de secours, codes de récupération).

1FOPRESTA prend en charge le déploiement du MFA dans votre entreprise, de la configuration technique à la formation des utilisateurs. Contactez-nous pour un devis rapide.

Deepfakes vocaux et fraude au président : comment protéger votre entreprise

Imaginez recevoir un appel téléphonique de votre PDG vous demandant d’effectuer un virement urgent et confidentiel. Sa voix, son intonation, son style de communication — tout semble authentique. Sauf que ce n’est pas lui. C’est un deepfake vocal généré par intelligence artificielle à partir d’enregistrements publics disponibles sur Internet.

Cette menace n’est plus de la science-fiction. En 2024, une entreprise hongkongaise a perdu 25 millions de dollars à cause d’un deepfake vidéo/audio d’un responsable financier. En France, plusieurs PME ont déjà été victimes de variantes de cette technique, combinée à la classique fraude au président.

Comment fonctionne la fraude au président augmentée par l’IA ?

Les fraudeurs suivent généralement ce scénario :

1. Collecte de données : ils récupèrent des enregistrements audio/vidéo de dirigeants sur LinkedIn, YouTube, podcasts, interviews.
2. Création du deepfake : des outils d’IA gratuits ou peu coûteux clonent la voix en quelques minutes.
3. L’appel : le comptable ou le DAF reçoit un appel du « PDG » demandant un virement urgent, souvent avec une couverture narrative plausible (acquisition secrète, litige en cours).
4. Pression temporelle : les fraudeurs insistent sur l’urgence et la confidentialité pour court-circuiter les procédures habituelles.

Les signes d’alerte à reconnaître

Même avec un deepfake de qualité, certains signaux doivent alerter : une demande de virement inhabituelle ou urgente, un appel depuis un numéro inconnu ou masqué, une demande de confidentialité absolue, une pression pour contourner les procédures normales, ou un interlocuteur qui évite de répondre à des questions de vérification personnelles.

5 mesures pour se protéger

1. Établissez un mot de passe ou code secret interne pour toute demande de virement inhabituelle — un mot convenu à l’avance entre le dirigeant et le service comptable.

2. Mettez en place une procédure de double validation : tout virement au-dessus d’un certain seuil nécessite une confirmation par un second canal (rappel sur le numéro officiel, e-mail signé, validation physique).

3. Sensibilisez vos équipes financières : organisez des sessions de formation et des simulations d’attaques pour que vos collaborateurs sachent reconnaître ces tentatives.

4. Limitez les informations publiques sur vos dirigeants : réduisez au minimum les enregistrements audio/vidéo accessibles publiquement.

5. Auditez vos procédures financières : identifiez les points faibles dans votre chaîne de validation des paiements.

1FOPRESTA vous accompagne dans la mise en place de procédures anti-fraude et la sensibilisation de vos équipes aux nouvelles menaces cyber. Contactez-nous pour un audit de vos processus financiers.

Attaques supply chain : le nouveau risque cyber des PME sous-traitantes

Les cybercriminels ont changé de cible. Plutôt que d’attaquer frontalement de grandes entreprises aux défenses renforcées, ils s’attaquent désormais à leurs sous-traitants et fournisseurs — souvent des PME moins bien protégées — pour s’infiltrer ensuite chez les donneurs d’ordre. C’est ce qu’on appelle une attaque par la chaîne d’approvisionnement (supply chain attack).

Si vous êtes prestataire, sous-traitant ou fournisseur d’une grande entreprise ou d’une administration, vous êtes potentiellement une porte d’entrée vers des cibles bien plus lucratives. Et cette responsabilité peut engager votre propre responsabilité contractuelle et juridique.

Comment fonctionnent les attaques supply chain ?

Les attaquants compromettent d’abord le système d’information d’un fournisseur de confiance, puis utilisent cet accès légitime pour s’infiltrer chez le client final. L’attaque peut passer par un logiciel mis à jour malicieusement, un accès VPN prestataire compromis, un e-mail envoyé depuis un domaine fournisseur piraté, ou encore un document partagé contenant un malware.

L’exemple le plus célèbre est l’attaque SolarWinds (2020) qui a compromis 18 000 organisations mondiales via la mise à jour d’un logiciel réseau. En France, plusieurs secteurs (défense, aéronautique, santé) ont été touchés via leurs sous-traitants PME.

Êtes-vous concerné ?

Vous êtes à risque si vous : avez accès au réseau ou aux systèmes de vos clients grands comptes, partagez régulièrement des fichiers ou documents avec des grandes entreprises, utilisez des logiciels tiers dont vous gérez les mises à jour pour vos clients, ou êtes soumis à NIS2 en tant que fournisseur d’une entité essentielle.

Les mesures de protection prioritaires

Segmentez vos accès clients : les connexions vers les systèmes de vos clients doivent être isolées du reste de votre réseau interne. Un accès compromis côté PME ne doit pas permettre de rebondir vers plusieurs clients.

Appliquez le principe du moindre privilège : vos techniciens n’ont accès qu’aux systèmes et aux données strictement nécessaires à leur mission.

Surveillez vos journaux d’accès : une détection précoce d’une activité anormale peut stopper une attaque avant qu’elle n’atteigne vos clients.

Mettez en place une politique de mise à jour stricte : testez les mises à jour logicielles avant déploiement et vérifiez les signatures numériques.

1FOPRESTA accompagne les PME sous-traitantes dans l’évaluation et le renforcement de leur sécurité informatique, y compris dans le cadre des exigences NIS2 et des audits imposés par les grands donneurs d’ordre.