Le dispositif Cyber PME vise à financer la montée en compétences des PME en matière de cybersécurité.
La cybersécurité est un enjeu clé pour l’avenir des PME. Selon le rapport Hiscox 2023, la part d’entreprises ayant subi au moins une cyber-attaque n’a pas cessé d’augmenter ces dernières années : 53 % des entreprises en 2023, contre 38 % en 2020. L’intensité des attaques s’est aussi accentuée, avec une moyenne de sept attaques par entreprise en 2023 contre quatre l’année précédente. La menace a tendance à s’accentuer chez les petites et moyennes entreprises, moins bien protégées. Les conséquences peuvent être graves : 50 % des PME font faillite dans les 18 mois suivant une attaque, selon un rapport du Campus Cyber.
Cyber PME : un dispositif ouvert à tout type d’activité
C’est pourquoi le gouvernement a lancé en décembre 2023 le dispositif « Cyber PME » afin d’accompagner les PME et les ETI dans leur montée en compétences en matière de cybersécurité. Piloté par la Direction générale des entreprises (DGE), ce programme est opéré par Bpifrance, en lien avec l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et le Secrétariat général pour l’investissement (SGPI). Il s’adresse aux PME et aux ETI de tout secteur d’activité. La priorité est cependant donnée aux entreprises dont l’activité s’inscrit dans les secteurs de l’aéronautique civile et de l’énergie au sens de la directive européenne Network and Information Security 2 (NIS 2).
Cette directive, qui sera transposée en droit français d’ici octobre 2024, obligera les PME à mettre en place des solutions de cybersécurité. Sous peine de sanctions, la majorité des entreprises de plus de 50 salariés « devront se doter d’une politique de sécurité numérique qui devra passer par l’adoption de produits cyber de type SOC (security operation center) ou EDR (endpoint detection & response) », prévient Bruno David, président du directoire de Foliateam, dans une tribune publiée par le quotidien Les Échos. Selon lui, les efforts de mise en conformité seront « considérables » et « comparables à ceux déployés lors de l’entrée en vigueur du RGPD ».
Le dispositif Cyber PME, doté d’une enveloppe de 12,5 millions d’euros dans le cadre du plan France 2030, va fournir « un appui précieux à plusieurs centaines d’entreprises qui seront concernées dès l’automne 2024 par les exigences de la directive NIS 2 et doivent d’ores et déjà préparer leur mise en conformité », a assuré Jean-Noël Barrot, ministre délégué chargé du Numérique, dans un communiqué.
Diagnostiquer puis financer un plan de sécurisation
Ce programme se décompose en deux étapes. La première est la réalisation d’un « diagnostic Cybersécurité » permettant de dresser un état des lieux de l’exposition de l’entreprise aux risques cyber et d’élaborer un plan d’actions. Cette étape fait intervenir un expert désigné par Bpifrance pendant huit jours répartis sur une période de trois à cinq mois. Le coût est de 8 800 euros HT subventionné à 50 % par le dispositif, ce qui laisse un reste à charge de 4 400 euros HT pour l’entreprise.
La deuxième étape consiste à financer le plan de sécurisation défini à la fin de la première phase. Cette subvention, comprise entre 30 000 et 80 000 euros, peut couvrir jusqu’à 70 % des dépenses liées au plan et s’étaler sur une période de 12 à 18 mois.
