Cybersécurité et IA : 6 réflexes pour protéger votre entreprise
Longtemps, les dirigeants de PME ont cru leur entreprise trop petite pour intéresser les cybercriminels. Pourtant les chiffres disent l'inverse. Selon le Panorama de la cybermenace 2025 de l'ANSSI, les PME, TPE et ETI forment la première catégorie de victimes de rançongiciels en France, soit 48 % des cas recensés sur l'année. L'intelligence artificielle a accéléré ce basculement : elle est devenue à la fois l'arme la plus efficace des attaquants et le meilleur bouclier des défenseurs. Bonne nouvelle : les grands groupes ont déjà une méthode éprouvée, et l'essentiel se transpose à votre échelle en six réflexes simples.
Suivre cette thématique pour rester informé
En bref
L'intelligence artificielle a rendu les PME rentables à attaquer : phishing sans fautes, deepfakes, rançongiciels industrialisés. Face à ça, 6 réflexes suffisent, sans expertise technique : former ses équipes, mettre à jour ses outils, recenser ses accès, activer la double authentification, surveiller ses prestataires, tester ses sauvegardes. Autre urgence 2026 : la directive européenne NIS2 élargit les obligations de cybersécurité à des milliers de PME françaises, avec une responsabilité désormais personnelle des dirigeants.
L'IA arme les pirates autant qu'elle vous protège
La bascule récente tient en une idée : l’IA a changé l’économie du risque cyber. L’agence européenne de cybersécurité (ENISA) décrit 2025 comme la première année où l’IA a profondément remodelé le paysage des menaces : automatisation des attaques, phishinbg (hameçonnage) "as a service", contenus malveillants générés à la chaîne, exploitation accélérée des failles. Résultat : le coût d’entrée pour un attaquant s'effondre, le volume d'attaques explose, et cibler une entreprise autrefois jugée trop modeste devient rentable.
L’ANSSI confirme la tendance te surveille désormais de près l’usage de capacités d'intelligence artificielle par les attaquants. L’Agence a recensé à elle seule 128 attaques par rançongiciel et près de 200 incidents d’exfiltration de données en 2025 - et ces chiffres ne couvrent que la partie visible, celle des incidents signalés. Cette industrialisation va de pair avec un véritable marché du crime : des rançongiciels "clés en main" se louent en ligne, abaissant le niveau de compétence requis pour lancer une attaque. Autre évolution marquante : le vol de données précède ou remplace désormais souvent le chiffrement, exposant l’entreprise à un risque de réputation et à des obligations réglementaires, comme la déclaration de l’incident à la CNIL.
Concrètement, l’IA sert à produire des e-mails de phishing sans fautes ni maladresses, à cloner une voix ou un visage (deepfakes) pour crédibiliser une fraude au faux président, ou à industrialiser le vol d’identifiants. Un exemple récent illustre ce danger du quotidien : début 2025, plusieurs entreprises de l’agroalimentaire ont découvert qu’un faux navigateur, présenté comme une version gratuite de Chromium, avait installé un logiciel espion sur les postes de leurs salariés, collectant au passage identifiants et mots de passe.
Le constat est partagé sur le terrain : pour Benjamin Mangel, responsable souscription chez Stoïk, l’IA rend aujourd’hui plus complexes la détection et la prévention des cybermenaces.
Mais la même technologie travaille pour vous
L’IA permet de repérer un comportement anormal sur un réseau, de scanner en continu les vulnérabilités d’un système ou d’intercepter une tentative de fraude avant qu’elle n’aboutisse. Un scan automatisé détecte en quelques minutes une faille qu’une équipe mettrait des jours à repérer à la main, et un filtre intelligent bloque un e-mail frauduleux que l’œil humain aurait laissé passer.
La cybersécurité moderne ne consiste donc pas à se méfier de l’IA, mais à s’assurer qu’elle penche du bon côté, le vôtre.
NIS2 : le cadre réglementaire qui change la donne pour les PME en 2026
Au-delà de la menace technique, 2026 marque un tournant réglementaire que beaucoup de dirigeants de PME sous-estiment encore. La directive européenne NIS2 élargit considérablement le nombre d'entreprises soumises à des obligations de cybersécurité formelles. En France, sa transposition passe par le projet de loi Résilience, qui couvre simultanément NIS2, la directive REC sur les entités critiques et le règlement DORA pour le secteur financier.
Ce qu'il faut retenir pour une PME :
- Le périmètre est large : plus de 15 000 entités sont concernées en France, bien au-delà des grands groupes historiquement visés par les précédentes réglementations. Le seuil général se situe autour de 50 salariés ou 10 millions d'euros de chiffre d'affaires, mais certaines PME plus petites sont concernées par ricochet si elles sont sous-traitantes d'une entité régulée.
- L'effet de cascade touche aussi les non-régulés : même une PME hors périmètre direct peut être sollicitée par ses clients grands comptes pour justifier son niveau de cybersécurité, via des questionnaires de conformité ou des exigences contractuelles renforcées.
- La responsabilité personnelle des dirigeants est engagée : c'est la nouveauté la plus structurante de NIS2. Les organes de direction doivent approuver et superviser les mesures de sécurité, et peuvent être tenus responsables en cas de manquement grave, avec des sanctions pouvant atteindre 10 millions d'euros ou un pourcentage du chiffre d'affaires.
- L'ANSSI a publié un référentiel de préparation : le Référentiel Cyber France (ReCyF), publié en mars 2026, détaille les mesures attendues pour atteindre les objectifs de sécurité fixés par la directive — non obligatoire à ce stade, mais déjà une référence utile pour anticiper.
Le lien avec les 6 réflexes ci-dessous n'est pas anecdotique : la formation des équipes, la maîtrise des accès (MFA) et la gestion des sauvegardes figurent explicitement parmi les mesures attendues par NIS2. Adopter ces réflexes maintenant, c'est donc aussi commencer à se préparer à une obligation réglementaire qui arrive vite.
Les grandes organisations ont une méthode : transposez-la à votre échelle
Les grandes entreprises ont bâti leur défense autour de quelques fondamentaux éprouvés. Pour un dirigeant sans équipe de sécurité dédiée, l’essentiel tient en six réflexes simples, à la portée de toute entreprise et sans expertise technique.
- Formez et sensibilisez vos équipes : la cybersécurité n’est pas l’affaire de la seule DSI, l’erreur humaine ouvre la majorité des brèches. Apprendre à reconnaître un e-mail piégé, à signaler un comportement suspect ou à ne pas réutiliser ses mots de passe constitue le premier rempart et le moins coûteux.
- Gardez vos outils à jour : la majorité des intrusions exploitent des failles connues, et déjà corrigées par leur éditeur. L’ANSSI observe que les équipements de bordure de réseau (pare-feu, VPN), mal supervisés, figurent parmi les portes d’entrée les plus exploitées. Installer les mises à jour sans tarder ferme cette première brèche. Encadrez aussi l’installation de logiciels sur les postes : limiter les téléchargements aux applications validées prive les attaquants d’un vecteur d’entrée très courant - c’est précisément ainsi que le faux navigateur évoqué plus haut s’était introduit.
- Recensez ce que vous possédez : on ne protège que ce que l’on connaît. Un inventaire simple de vos outils, de vos accès et de vos données sensibles suffit à identifier vos points faibles avant les attaquants. Pensez notamment aux comptes d’anciens salariés, souvent oubliés et rarement désactivés : ce sont autant de portes laissées ouvertes.
- Maîtrisez les accès : activez la double authentification (MFA) partout où c’est possible et réservez les comptes administrateurs aux seules personnes qui en ont besoin. Le vol d’identifiants étant l’une des principales portes d’entrée, la double authentification bloque la grande majorité des prises de contrôle de compte, même lorsque le mot de passe a fuité.
- Surveillez vos prestataires : vos fournisseurs en ligne sont autant de points d’entrée. L’ANSSI identifie le ciblage des sous-traitants comme un vecteur majeur de compromission. En août 2025, le groupe Cl0p a exploité la faille d’un logiciel d’entreprise très répandu pour dérober les données de centaines de sociétés dans le monde, dont en France. Identifiez les prestataires réellement critiques pour votre activité.
- Sauvegardez et testez vos sauvegardes : une sauvegarde ne vaut que si elle fonctionne le jour de l’attaque. L’ANSSI rappelle qu’un plan de continuité et de reprise d’activité, préparé à l’avance, est indispensable. Faute de quoi, certaines structures - hôpitaux, établissements scolaires - ont dû fonctionner en mode dégradé pendant plusieurs semaines après une attaque. En octobre 2025, une attaque par rançongiciel a même désorganisé plusieurs aéroports européens pendant plusieurs jours. Une règle simple : trois copies de vos données, sur deux supports différents, dont une conservée hors ligne - un rançongiciel ne peut pas chiffrer ce qui est déconnecté.
Ces six reflexes réduisent fortement votre exposition et forment le socle sur lequel tout le reste repose.
Parce que le risque zéro n’existe pas : protéger et assurer
Même les grandes entreprises, avec leurs équipes et leurs budgets dédiés, subissent des attaques : le risque zéro n’existe pas. L’enjeu n’est donc pas de devenir inviolable, mais de réduire fortement son exposition et de savoir réagir vite. C’est là qu’intervient une approche combinant prévention, intervention et indemnisation, comme celle proposée par Stoïk, partenaire de BNP Paribas.
La logique se déploie en trois temps.
- En amont, la prévention s’appuie sur des outils nourris par l’IA : un scan externe hebdomadaire pour repérer les vulnérabilités, des simulations de phishing pour sensibiliser les équipes, et un suivi assorti de recommandations.
- En cas d’attaque, l’intervention est immédiate : une assistance 24h/24 et 7j/7 sans franchise, une équipe cyber basée en France et un accompagnement juridique et de communication de crise.
- Enfin, l’indemnisation protège la trésorerie : les frais de remise en état sont couverts jusqu’à un million d’euros, comme les pertes d’exploitation liées à l’incident.
Là encore, l’IA joue côté défense. Pour contrer la fraude au virement, l’une des plus coûteuses pour les entreprises, Stoïk a ajouté un dispositif de détection des compromissions de boîtes mail et des tentatives de fraude, avant tout impact financier. La boucle est bouclée : à la menace dopée par l’IA répond une défense, elle aussi, augmentée. Autre atout pour un dirigeant : l’offre se veut accessible - souscription en ligne, questionnaire allégé, et un échange avec un ingénieur cybersécurité pour calibrer la couverture au profil réel de l’entreprise. Quelques prérequis de bon sens conditionnent l’éligibilité : sauvegardes hebdomadaires, antivirus à jour et absence de vulnérabilité critique, autant de réflexes qui rejoignent ceux décrits plus haut.
Questions fréquentes
Une PME est-elle vraiment une cible pour les cybercriminels ?
Oui. Selon l'ANSSI, les PME, TPE et ETI représentent 37 % des victimes de rançongiciels recensées en France en 2025, la première catégorie touchée [1]. L'IA a rendu leur ciblage rentable en abaissant fortement le coût d'une attaque.
Ma PME est-elle concernée par la directive NIS2 ?
Le seuil général se situe à 50 salariés ou 10 millions d'euros de chiffre d'affaires dans l'un des 18 secteurs jugés critiques, mais une PME plus petite peut être concernée si elle est sous-traitante d'une entité régulée. En cas de doute, un premier réflexe consiste à consulter les outils d'autoévaluation disponibles sur le site de l'ANSSI.
Que risque un dirigeant en cas de manquement à NIS2 ?
La nouveauté majeure de NIS2 est la responsabilité personnelle des dirigeants : en cas de manquement grave à la gestion des risques cyber, les sanctions peuvent atteindre 10 millions d'euros ou un pourcentage du chiffre d'affaires, avec un risque de mise en cause individuelle des organes de direction.
Que faire dans les premières heures d'une cyberattaque ?
Isoler immédiatement les systèmes touchés du réseau pour limiter la propagation, prévenir votre assurance cyber si vous en avez une, et documenter l'incident en vue d'une éventuelle déclaration à la CNIL si des données personnelles sont concernées.
Quel est le réflexe le moins coûteux à mettre en place en premier ?
La formation des équipes à reconnaître un e-mail de phishing et l'activation de la double authentification (MFA) sont les deux mesures qui offrent le meilleur rapport protection/coût pour une PME sans budget cybersécurité dédié.
Anticiper plutôt que subir
L’IA n’a pas inventé le risque cyber : elle en a changé l’échelle et la vitesse. Pour un dirigeant, la marche à suivre est claire : adopter les bons réflexes en interne, puis s’appuyer sur un partenaire capable de prévenir, d’intervenir et d’indemniser - d'autant que ces mêmes réflexes préparent aussi le terrain pour les obligations NIS2 qui arrivent.
Pour faire le point sur votre exposition et la protection adaptée à votre activité, le plus simple est d’en parler à l'un de nos chargés d’affaires BNP Paribas.
À l’ère de l’IA, le bon réflexe n’est pas de tout miser sur la technologie, mais de combiner hygiène numérique, vigilance des équipes et filet de sécurité assurantiel.