Rapport ANSSI 2025 :
ce que les chiffres ne
disent pas des PME

L'Agence nationale de la sécurité des systèmes d'information a publié début mai son rapport d'activité pour l'année 2025. On y trouve un bilan chiffré, un cadre stratégique renouvelé, et une préparation méthodique à la directive NIS 2.

On y trouve aussi, en creux, quelque chose de plus intéressant pour un dirigeant de PME : la confirmation que personne ne compte les entreprises comme la sienne.

Deux chiffres, et une lecture

Le bilan retient deux nombres. L'ANSSI a enregistré 3 586 événements de sécurité en 2025, soit une baisse de 22 % par rapport à 2024. Elle a recensé 1 366 incidents, soit une hausse de 0,4 %.

La tentation est de retenir le premier chiffre et de conclure que la menace reflue. Ce serait une erreur de lecture. Un événement de sécurité est un signal : quelque chose a été détecté, remonté, analysé. Un incident, c'est un événement qui s'est confirmé - une compromission réelle. Le volume de signaux baisse d'un cinquième ; le nombre de compromissions réelles, lui, ne bouge pas d'un pouce.

Autrement dit : il y a moins de bruit, mais autant de dégâts.

Ces chiffres ne vous concernent pas

Voici le point qu'aucun titre de presse ne relève. Le périmètre de l'ANSSI, ce sont les administrations, les opérateurs d'importance vitale, les entités essentielles. Un cabinet de courtage de six personnes, une agence immobilière, une PME industrielle de quarante salariés ne figurent nulle part dans ces 1 366 incidents.

Non pas parce qu'ils ne sont pas attaqués. Parce que personne ne les compte.

Une PME compromise ne déclare pas, la plupart du temps. Elle n'a pas d'obligation de notification hors RGPD, pas de CERT interne, pas de canal de remontée.

Elle paie, ou elle encaisse, et elle continue. Le chiffre national qui décrirait honnêtement l'exposition des PME françaises n'existe pas - et c'est précisément ce qui rend le sujet si facile à repousser.

Ce que le rapport dit quand même

Trois éléments méritent l'attention d'un dirigeant.

NIS 2 avance. L'ANSSI indique avoir invité plusieurs milliers d'entités françaises à renforcer leurs moyens de cyberdéfense en préparation de la directive. Le texte a été adopté en première lecture au Sénat en mars 2025, puis en commission spéciale à l'Assemblée nationale en septembre. Si votre entreprise n'est pas directement concernée, vos clients ou vos donneurs d'ordre le seront - et l'exigence descendra la chaîne de sous-traitance.

C'est ainsi que la réglementation atteint les PME : par contrat, pas par décret.

La résilience se teste. L'exercice REMPAR 25, organisé en septembre 2025 autour d'un scénario de panne numérique généralisée, a mobilisé 5 680 participants issus de 1 263 organisations. L'idée mérite d'être retenue à l'échelle d'une PME : la seule façon de savoir si l'on redémarre après un incident, c'est d'avoir essayé une fois, à froid.

Le niveau existe. Il n'est simplement pas là où vous êtes

En avril 2026, la France a participé à Locked Shields, le plus grand exercice international de cyberdéfense, organisé par le centre d'excellence de l'OTAN. Quatre mille experts, quarante et une nations. L'équipe franco-suédoise, à laquelle participaient des spécialistes de l'ANSSI, a terminé troisième - après une deuxième place l'année précédente.

L'expertise française en cybersécurité est réelle et se mesure au meilleur niveau mondial. Le problème n'a jamais été là. Il est que cette expertise se concentre sur l'État, les grands opérateurs et les infrastructures critiques, pendant que l'immense majorité du tissu économique - les PME qui n'ont ni service informatique interne ni budget de sécurité - reste dans un angle mort.

Ce qu'un dirigeant peut en retirer

Le rapport de l'ANSSI est un document d'État qui parle à des structures d'État. Il ne vous dira pas si votre entreprise est exposée.

Trois questions le feront mieux que n'importe quelle statistique :

  • Vos sauvegardes ont-elles déjà été restaurées, en situation réelle, une seule fois ?
  • Combien de comptes actifs appartiennent à des personnes qui ne travaillent plus chez vous ?
  • Qui a vérifié le travail de votre prestataire informatique - en dehors de lui-même ?

Si l'une de ces réponses est « je ne sais pas », le chiffre qui vous concerne n'est pas dans le rapport. Il est chez vous.

Source : ANSSI, rapport d'activité 2025 (mai 2026) ; ANSSI, Locked Shields 2026 (avril 2026).