🛡️

Cybersécurité des TPE/PME

Obligations légales, responsabilités et enjeux pour les organisations françaises

NIS 2 — En vigueur 2024RGPD — ApplicableLoi Godfrain 1988

À propos de cette veille

Cette veille juridique analyse les obligations légales des TPE/PME face aux cybermenaces. Dans un contexte où les cyberattaques explosent, les dirigeants d'entreprise engagent leur responsabilité personnelle en cas de négligence. Cette veille s'appuie sur des textes officiels (RGPD, NIS 2, Loi Godfrain) et un cas réel survenu en mars 2026 dans une structure où j'ai effectué mon stage.

Pourquoi les TPE/PME sont des cibles

43%

des organisations françaises ont subi au moins une cyberattaque réussie au cours de l'année écoulée

58 600€

coût moyen d'une cyberattaque pour une entreprise française

72h

délai légal pour notifier la CNIL (RGPD Art. 33)

60%

des PME victimes d'une attaque majeure ferment dans les 18 mois

20M€

ou 4% du CA mondial — amende maximale RGPD

Cybermalveillance.gouv.fr— Baromètre national TPE-PME 2025 ANSSI— Panorama de la cybermenace 2024 Rapport Hiscox— Gestion des cyber-risques 2025 RGPD— Règlement UE 2016/679

Le cadre légal

Texte de loi	Domaine	Sanction / Obligation
Loi Godfrain 1988	Criminalité informatique	Accès frauduleux = 2 ans + 60 000€
RGPD Art. 32	Sécurité des données	Mesures techniques obligatoires
RGPD Art. 33	Notification incidents	72h pour notifier la CNIL
NIS 2 (2024)	Infrastructures critiques	Continuité + gestion des incidents

Les 3 obligations principales

🔒

Sécuriser

✓Chiffrement des données
✓Contrôle des accès
✓Sauvegardes régulières
✓Mises à jour systèmes

📋

Documenter

✓Registre des traitements
✓Politique de sécurité
✓Traçabilité des incidents
✓Charte informatique

🚨

Notifier

✓CNIL sous 72h
✓Personnes concernées
✓ANSSI si NIS 2
✓Dépôt de plainte

⚖️

Responsabilité personnelle du dirigeant

→

Responsabilité PÉNALE en cas de négligence prouvée

→

NIS 2 : interdiction temporaire d'exercer possible

→

Amende jusqu'à 20M€ ou 4% du CA mondial

💡

Application concrète dans mes stages

🛡️

Sauvegarde13

Proxmox Backup Server

Solution de sauvegarde automatisée avec déduplication 71x. Répond directement à l'obligation de sauvegardes régulières des données.

💻

CPRPF

Déploiement de secours WDS/MDT

Serveur de déploiement de secours garantissant la continuité du service. Répond à l'obligation de résilience des systèmes informatiques.

Sources

cnil.frcybermalveillance.gouv.frsilicon.frlegifrance.gouv.fr

📰

Actualités Cybersécurité en temps réel

Les dernières actualités sur la cybersécurité des entreprises, mises à jour automatiquement