PME : les dispositifs publics et gratuits pour muscler sa cybersécurité
La prise de conscience du risque cyber augmente chez les petites et moyennes entreprises (PME), qui sont les organisations les plus vulnérables face à la cybercriminalité. C'est du moins ce qu'indique la 2e édition du baromètre national de la maturité cyber des PME et très petites entreprises (TPE) publiée en octobre 2025 par cybermalveillance.gouv.fr. Selon ce baromètre, les entreprises interrogées en 2025 sont 44% à penser qu'elles sont fortement exposées aux cyberattaques, contre 38% en 2024. Et 80% d'entre elles estiment qu'elles ne sont pas préparées aux cyberattaques, notamment à cause d'un manque d'accompagnement. Pourtant, il existe une myriade de dispositifs publics visant à aider les PME et TPE à renforcer leur cybersécurité. Enchevêtrés et éparpillés, ceux-ci ont néanmoins des spécificités propres et complémentaires.
Des programmes nationaux pour conseiller
Parmi ces dispositifs, certains sont mis en œuvre à l'échelle nationale par des institutions publiques importantes comme l'Agence nationale de la sécurité des systèmes d'information (Anssi), la Banque publique d'investissement (BPI), la gendarmerie nationale, ou encore cybermalveillance.gouv.fr. Ils visent principalement à fournir un diagnostic cyber aux PME et TPE afin de les aider à mettre en œuvre un plan d'action pour renforcer leur cyber-résilience. Certains offrent toutefois un accompagnement plus complet que d'autres.
L'Anssi vient de lancer le dispositif Mon Diagnostic Cyber qui permet aux PME et TPE de bénéficier de l'aide gratuite d'un "aidant cyber" pour mettre en œuvre un plan d'action. Cet aidant cyber est issu d'un organisme public ou adhérent d'une association à but non lucratif spécialisée dans le numérique. Il est formé par l'Anssi pour réaliser ce diagnostic. Pour en bénéficier, l'entreprise doit faire sa demande sur le site de l'Anssi. Quelques jours plus tard, un aidant cyber la contacte pour réaliser le diagnostic qui dure 1h30 et qui prend en compte ses propres problématiques. Ensuite, un plan d'action lui est proposé. L'entreprise peut être accompagnée pendant six mois pour mettre en œuvre ce plan d'action qui est composé de six mesures.
Avec le dispositif Diagonal, la gendarmerie nationale a déployé une procédure qui ressemble beaucoup à Mon Diagnostic Cyber de l'Anssi. Adressé prioritairement aux entreprises qui relèvent des zones de la gendarmerie, celles-ci peuvent contacter les militaires afin de leur demander un entretien de deux heures, dans leurs locaux, visant à diagnostiquer leur maturité cyber et envisager des pistes d'amélioration. Il leur est ensuite remis un rapport d'évaluation contenant des préconisations fondées sur la norme ISO 27001, le Règlement général de la protection des données et les préconisations de l'Anssi.
Plus complet, le dispositif de cybermalveillance.gouv.fr couvre la sensibilisation avec SensCyber, la mise en relation avec des prestataires de cybersécurité grâce à Mon Expert Cyber, et l'assistance en cas d'incident cyber via le 17Cyber. La sensibilisation que propose SensCyber s'effectue à travers des slides et vidéos, disponibles sur le site internet, réparties en trois modules sur les cybermenaces actuelles, les cyber-risques pour les organisations et les méthodes d'action.
Quant à Mon Expert Cyber, la procédure est simple : l'entreprise renseigne ses caractéristiques organisationnelles (taille, secteur d'activité), la nature de ses besoins en cybersécurité et ses matériels et environnements concernés sur la plateforme. Ensuite, cybermalveillance.gouv.fr propose à l'entreprise des prestataires locaux et labellisés par l'institution, qui fournissent des solutions adaptées à ses besoins. "Cela fonctionne de manière proactive : le système fait le matching entre la demande effectuée par l'organisation, ses besoins, et le prestataire labellisé. Une notification est automatiquement envoyée aux prestataires et les quatre premiers qui souhaitent répondre à la demande de l'organisation vont lui émettre leur offre. Cela permet des taux de réponses très rapides", affirme Franck Gicquel, directeur des partenariats de cybermalveillance.gouv.fr.
Véritable fierté de l'institution, Mon Expert Cyber exige que les prestataires sélectionnés correspondent aux critères du label qu'ils doivent obtenir : "On a créé ce label de la manière la plus pragmatique en partant des besoins concrets des PME et TPE. Il valide l'expertise du prestataire sur trois domaines de compétences : la sécurisation du système d'information, sa maintenance et la réponse aux incidents en cas d'attaque cyber. Aussi, ce sont des acteurs locaux. Plus de 70% des prestataires sont hors Ile-de-France."
Quant au 17Cyber, il s'agit du service historique de cybermalveillance.gouv.fr. Via celui-ci, une entreprise qui rencontre un incident de cybersécurité peut le signaler sur la plateforme dédiée. Celle-ci lui propose alors une assistance technique grâce à des prestataires sélectionnés par cybermalveillance.gouv.fr. Depuis décembre 2024, 17Cyber propose de mettre en relation l'entreprise victime d'un incident avec la police ou la gendarmerie pour faciliter le dépôt de plainte. "Prochainement, les computer security incident response team territoriaux seront impliqués. Ils seront mis en contact avec les victimes pour les assister avant de les rediriger vers les prestataires."
Enfin, le dispositif Cyber PME mis en œuvre par la BPI dans le cadre du programme France 2030 vise à accompagner les PME dans le renforcement de leur cybersécurité. Cela passe par une prise en charge partielle de frais de conseil en cybersécurité grâce à des prestataires sélectionnés. Ces prestataires sont essentiellement des entreprises de conseil qui ont des compétences en cybersécurité comme Almond ou Onepoint. Toute PME qui émet une demande en ligne peut bénéficier de leur diagnostic basé sur une méthodologie mise au point en collaboration avec l'Anssi.
"Ce dispositif ne vise pas à faire de la sensibilisation, de l'audit technique, du test ou autres. Il vient combler ce qu'il manque aujourd'hui pour les PME. A savoir permettre à un consultant d'aller sur place, dans l'entreprise, afin qu'il échange avec le dirigeant et le comité de direction de la PME, pour mettre en place les premières actions de mitigation du risque cyber. Cela passe par un diagnostic à partir d'une méthodologie qu'on a élaborée en prenant en compte nos connaissances des PME, des référentiels de marché comme les normes ISO, mais aussi ceux de l'Anssi, etc. On a fait en sorte qu'elle soit adaptée aux PME", précise Bruno Gueit, directeur conseil à la BPI. Puis, sur la base de ce diagnostic, un plan d'action est proposé à la PME. "Nous rémunérons l'expert 8800 euros pour cette prestation. Nous prenons en charge 32%. Il y a donc un reste à charge de 6000 euros hors taxe pour l'entreprise bénéficiaire".
Les dispositifs régionaux : des aides plus ciblées
Au-delà de ces dispositifs nationaux, il existe quelques dispositifs régionaux permettant aux PME de bénéficier de diagnostics. Mais aussi, parfois, de subventions pour l'achat de solutions de cybersécurité et de prestations techniques, de formation ou de conseil. Ainsi, avec le Pass Cyber Formation, la région Hauts de France prend en charge la moitié des frais de formation visant à adopter les bonnes pratiques face aux cybermenaces, dans la limite de 200 euros hors taxe par journée de formation. A travers le dispositif Mon bouclier cyber expert, la région Sud Provence-Alpes-Côte d'Azur propose une subvention comprise entre 2000 et 5000 euros pour l'acquisition de solutions de cybersécurité.
En Ile-de-France, le Campus Cyber propose le dispositif Cybiah à destination des PME de la région. Grâce à ses experts, Cybiah fournit un diagnostic sans reste à charge aux PME franciliennes qui le demandent et dont le coût est estimé à environ 10 000 euros. Celui-ci est effectué à partir d'une évaluation de leur maturité cyber basée sur une analyse de leurs vulnérabilités exposées dans le web, des audits et tests techniques. Ensuite, une feuille de route leur est transmise, qui propose des solutions d'investissements, de formations ou encore de conseils.
"La première phase du programme Cybiah doit s'arrêter en juin 2026. D'ici là, on doit avoir accompagné 150 PME et 30 collectivités territoriales. On le fera. Notre objectif est même de dépasser ce nombre", affirme Joffrey Célestin-Urbain. Le président du Campus Cyber souhaite donner un nouvel élan à Cybiah. Il veut un renforcement de l'accompagnement "avec un suivi en aval du diagnostic afin de voir si la PME est allée jusqu'au bout du programme". Enfin, il souhaite que ce dispositif privilégie les PME visées par la directive NIS 2. De quoi les préparer avant la transposition de la directive qui tarde à venir.