1 366 incidents confirmés, NIS 2 en cours de transposition, un règlement européen qui va concerner vos équipements industriels dès 2027… Le rapport ANSSI 2025 est sorti. Décryptage pour les dirigeants de PME industrielles qui veulent comprendre ce qui arrive, et ce qu'il faut faire maintenant.
Les chiffres clés 2025 à retenir — et ce qu'ils disent vraiment
Le rapport d'activité 2025 de l'ANSSI vient d'être publié. Derrière les statistiques institutionnelles, il y a un message clair pour les dirigeants de PME : la menace est désormais systémique, elle ne cible plus seulement les grandes entreprises ou les hôpitaux, et le cadre réglementaire qui vous oblige à réagir est en train de se mettre en place.
3 586
événements de sécurité traités
1 366
incidents cyber confirmés en 2025
+30 %
d'audits automatisés vs 2024
28
guides techniques publiés
Ce qui frappe dans ces chiffres, c'est moins leur volume que ce qu'ils masquent. Les 1 366 incidents sont ceux où un attaquant a effectivement réussi à compromettre un système. Derrière, il y a 3 586 signalements traités en amont — autant d'intrusions qui ont failli aboutir.
Ce qui change en 2025
Les attaquants automatisent et élargissent leur cible. Ils ne cherchent plus seulement les grandes entreprises : ils cherchent le maillon faible dans une chaîne de valeur. Dans une filière industrielle, ce maillon peut être un sous-traitant, un intégrateur ERP, ou simplement un accès distant mal sécurisé.
NIS 2 : votre PME est peut-être déjà concernée — et le temps presse
La directive européenne NIS 2 est le sujet majeur du rapport ANSSI 2025. Elle va imposer des obligations concrètes de cybersécurité à plusieurs milliers d'entreprises françaises — dont des PME et ETI de taille intermédiaire opérant dans 18 secteurs d'activité.
Êtes-vous concerné par NIS 2 ? Quelques secteurs concernés| Secteur | Catégorie | Urgence |
|---|---|---|
| Industrie manufacturière (métallurgie, agroalimentaire, machines…) | Entité importante (EI) | Modérée |
| Transports (logistique, sous-traitants ferroviaires, aériens…) | Entité essentielle (EE) | Élevée |
| Alimentation (production, transformation, distribution) | Entité importante (EI) | Modérée |
| Prestataires numériques (infogérance, cloud, intégrateurs ERP) | Entité essentielle ou importante | Élevée |
| Santé, énergie, eau, finances | Entité essentielle (EE) | Élevée |
Les entreprises concernées devront respecter des obligations précises : mise en place de mesures de sécurité proportionnées, notification des incidents à l'ANSSI, et à terme, contrôles et sanctions possibles.
« Pour les entités, NIS 2 est une nécessité autant qu'une opportunité. Au-delà d'une obligation légale, c'est un levier pour moderniser, sécuriser et renforcer la confiance. »
Le calendrier à connaître
Novembre 2025
Pré-enregistrement ouvert
L'ANSSI a lancé un service de pré-enregistrement volontaire sur MesServicesCyber. Gratuit, il permet d'anticiper et de tester votre éligibilité.
2026 — en cours
Publication des textes réglementaires
La loi est adoptée. Les décrets d'application vont préciser les seuils, les obligations et les délais de mise en conformité.
À venir
Obligation d'enregistrement et premiers contrôles
Les entités assujetties devront s'enregistrer officiellement et démontrer leur conformité. Des sanctions pourront être prononcées.
Conseil : ne laissez pas la réglementation vous rattraper. Un diagnostic numérique Click & Tech permet d'évaluer votre maturité cyber actuelle et d'identifier les écarts à combler avant les premières obligations.
Cyber Resilience Act : une obligation qui arrive pour vos équipements industriels
Moins médiatisé que NIS 2, le Cyber Resilience Act (CRA) est pourtant tout aussi structurant pour les PME industrielles. Ce règlement européen impose des exigences minimales de cybersécurité à tous les produits comportant des éléments numériques mis sur le marché européen.
Concrètement : caméras de surveillance, automates industriels, logiciels de supervision, équipements connectés, systèmes de contrôle… si vos produits ou ceux que vous intégrez comportent du logiciel, ils sont concernés.
Ce qui se passe en 2026–2027
Le CRA entre en application progressivement entre juin 2026 et décembre 2027. Les fabricants, importateurs et distributeurs devront documenter la sécurité de leurs produits dès la conception. Les éditeurs de logiciels auront l'obligation de notifier les vulnérabilités — y compris dans les ERP et logiciels métier.
Pour les industriels qui achètent et intègrent des équipements, le CRA signifie que vos fournisseurs devront vous prouver la sécurité de leurs produits. C'est un nouveau critère de sélection qui va s'imposer dans vos appels d'offres.
Ce que ça change pour un intégrateur ERP comme Franchir un cap?
Chez Franchir Un Cap, nous suivons ces évolutions de près. L'intégration Odoo implique des choix d'architecture (gestion des accès, hébergement, mises à jour) qui devront s'inscrire dans ce nouveau cadre. Anticiper aujourd'hui évite de devoir tout reprendre dans l'urgence en 2027.
MesServicesCyber : la boîte à outils gratuite que vous devriez déjà utiliser
L'ANSSI a lancé en avril 2025 la plateforme MesServicesCyber, un portail numérique gratuit destiné à toutes les organisations — publiques et privées — pour renforcer leur cybersécurité.
+20 000
ressources consultées
9 900
tests de maturité réalisés
5 500+
diagnostics Cyberdépart
Ce que vous pouvez faire dès aujourd'hui, gratuitement, sur messervicescyber.fr :
3 actions gratuites à faire cette semaine
- Tester votre éligibilité NIS 2 — un questionnaire en ligne indique si votre entreprise est dans le périmètre de la directive.
- Réaliser le test de maturité cyber en 3 minutes — il vous donne un score et des recommandations adaptées à votre situation.
- Vous pré-enregistrer si vous pensez être concerné par NIS 2 — cela vous donne accès à des ressources spécifiques et facilite l'enregistrement officiel à venir.
IA et cybersécurité : deux sujets qui ne peuvent plus être traités séparément
Le rapport ANSSI 2025 consacre un chapitre entier à l'intelligence artificielle. Ce n'est pas un effet de mode : l'IA crée de nouvelles surfaces d'attaque en même temps qu'elle ouvre de nouvelles capacités de défense.
L'ANSSI distingue trois angles d'approche, tous pertinents pour une PME :
Formation F1C : notre programme "Débuter avec l'IA" (12h, éligible OPCO) intègre une séquence dédiée aux risques et bonnes pratiques en matière de cybersécurité liée à l'IA. Financement possible via OPCO 2i, BPI Booster IA, ou plan de formation.
Ce que vous devez faire dès maintenant : plan d'action PME
Le rapport ANSSI 2025 ne s'adresse pas directement aux PME. Mais ses implications sont concrètes. Voici la feuille de route pragmatique que nous recommandons à nos clients.
✅ Plan d'action en 4 étapes
Étape 1 — Cette semaine : tester votre éligibilité NIS 2 sur MesServicesCyber et réaliser le test de maturité gratuit.
Étape 2 — Ce mois-ci : réaliser un inventaire de vos outils numériques — logiciels, accès distants, ERP, équipements connectés — et identifier les points d'entrée critiques.
Étape 3 — Ce trimestre : former vos équipes aux bonnes pratiques. 80 % des incidents cyber commencent par une erreur humaine (phishing, mot de passe, clic sur un lien).
Étape 4 — Cette année : intégrer la cybersécurité dans votre plan numérique global — notamment si vous avez un projet ERP, cloud ou automatisation en cours.
La cybersécurité ne commence pas par un pare-feu. Elle commence par une prise de conscience, une cartographie de vos usages, et un plan d'action proportionné à votre réalité de PME.