Découvrez à travers cet article, comment être conforme aux recommandations de l’ANSSI 

47 % des entreprises européennes ont subi au moins une cyberattaque en 2024.  En France, le coût annuel de la cybercriminalité est évalué à plus de 100 milliards d'euros.  D’année en année, les cybermenaces évoluent. Les attaques visant les entreprises sont désormais minutieusement ciblées et planifiées pour subtiliser leurs données les plus sensibles.

Entité de référence en France en matière de cybersécurité, l’ANSSI (Agence nationale de la sécurité des systèmes d'information) joue un rôle central dans la protection des organisations contre les menaces numériques. L’agence remplit plusieurs missions : elle communique sur l’évolution des cybermenaces, attribue des certifications aux prestataires de cybersécurité qui répondent à ses exigences… et élabore des réglementations pour accroître le niveau de cybersécurité des entreprises.

Quelles sont les principales recommandations de l’ANSSI pour protéger votre entreprise et vos données ? Comment se conformer aux différents cadres réglementaires élaborés par l’agence ?

Les principales recommandations de l’ANSSI

L’ANSSI décompose la gestion des cyber risques en quatre grands piliers.

1. L'évaluation des risques : votre entreprise doit cartographier l’ensemble de ses actifs, (logiciels, applications, terminaux, données…) afin de déterminer le périmètre numérique à protéger. Cette phase implique également de modéliser les menaces afin d’évaluer la nature des risques et de prioriser les actions de cybersécurité à mener.
2. La mise en place de mesures de protection : l’agence insiste régulièrement sur l’adoption de mécanismes comme le chiffrement des données, qui protège les informations sensibles même en cas de compromission. Elle insiste également sur l’adoption de technologies et d’outils souverains, afin de protéger vos données des réglementations extra-territoriales et du cyber-espionnage. D’autres mesures comme l’authentification multi facteur ou le principe du moindre privilège font également partie des fondamentaux recommandés.
3. La détection et la réponse aux incidents : l’ANSSI recommande d’assurer une surveillance continue de vos SI pour repérer les comportements anormaux et détecter rapidement toute tentative d’intrusion. Cela passe par l’adoption d’un SOC, l’élaboration d’un plan de réponse aux incidents et de rétablissement des activités critiques, ou encore le déploiement d’un EDR (Endpoint detection and response) / XDR (Extended detection and response).
4. La formation des collaborateurs : pour instaurer une culture de la cybersécurité, il convient d’organiser régulièrement des formations et ateliers de sensibilisation à l’ensemble des collaborateurs. L’objectif est de les informer des bonnes pratiques à adopter, mais aussi de les aider à identifier les cybermenaces. La mise en place d’exercices de crise ou de faux emails de phishing contribue à ancrer les bons réflexes des équipes.

Les réglementations & normes de l’ANSSI à respecter

L’ANSSI contribue à l’élaboration de certains cadres réglementaires nationaux et européens. Elle est également chargée de veiller à leur bonne application par les organisations françaises. L’agence distingue deux champs d’application : la sécurité des systèmes d'information et la confiance numérique.

La sécurité des systèmes d’information passe par des réglementations qui visent à renforcer le niveau de cybersécurité des organisations ainsi que leur cyber-résilience. Parmi les principaux cadres réglementaires, on peut citer :

• La directive européenne NIS2 : adoptée par le Sénat en mars 2025, elle élargit le champ d’application de la première directive NIS en imposant des obligations renforcées en matière de cybersécurité. 18 secteurs d’activité sont directement concernés. La directive NIS2 stipule notamment que les incidents de sécurité doivent être signalés à l’ANSSI dans un délai de 24 heures, engage la responsabilité des dirigeants, impose la réalisation d’une analyse des risques, l’élaboration d’un plan de continuité, ou encore l’adoption de mesures de protection. Consultez notre ebook pour vérifier si vous êtes concerné par la directive et découvrir l’ensemble de ses obligations.
• La réglementation DORA : applicable depuis le début de l’année 2025, le Digital Operational Resilience Act a pour objectif de renforcer la résilience opérationnelle des acteurs du secteur financier face aux risques numériques. Elle exige ainsi la mise en place d’une gouvernance IT robuste, une gestion continue des risques informatiques, des tests de pénétration réguliers, ainsi qu’un reporting obligatoire des incidents majeurs.
• Le RGPD : en vigueur depuis 2018, le Règlement Général sur la Protection des Données a pour objectif de protéger les données personnelles des citoyens de l’UE. Il décrit le droit que les personnes ont sur leurs données et les obligations des entreprises qui les traitent.
• Le RGS (Référentiel général de sécurité) : ce cadre réglementaire français définit les règles de sécurité que doivent respecter les systèmes d’information des administrations publiques et de leurs prestataires. Il encadre notamment l’usage des certificats électroniques, des signatures numériques et des services qualifiés de confiance. Il est actuellement en cours de refonte dans le cadre d’une harmonisation avec les règlements européens (notamment eIDAS 2)

Pour instaurer une confiance numérique, l’ANSSI encadre et certifie la fiabilité des technologies et des acteurs du numérique en matière de cybersécurité. Cette confiance numérique se transpose notamment à travers :

• Le Cyber Resilience Act : ce règlement européen, adopté en 2024 et applicable à partir de 2027, impose des exigences de cybersécurité à tous les produits numériques mis sur le marché européen (logiciels, objets connectés, équipements matériels).
• Le Cybersecurity Act : entré en vigueur en 2019, il établit un cadre européen de certification de cybersécurité pour les produits, services et processus numériques.
• La doctrine “Cloud au centre” : portée par l’État français elle impose à toutes les administrations ainsi qu’aux opérateurs d’importance vitale ou de services essentiels de privilégier par défaut les solutions cloud, dans une logique de modernisation et de renforcement de la résilience numérique.
• Le référentiel SecNumCloud : élaboré par l’ANSSI, il définit les exigences de sécurité et de souveraineté que doivent respecter les fournisseurs de services Cloud pour être qualifiés SecNumCloud. Ce label garantit que vos données sont hébergées en France selon les standards les plus stricts et ne sont pas soumises à des réglementations extraterritoriales.

Comment se conformer à ces réglementations ?

Voici 5 étapes à suivre pour entrer en conformité avec ces différentes réglementations :

1. Mener un audit de conformité, pour identifier les écarts entre votre environnement existant et les exigences des réglementations applicables, en tenant compte des spécificités de votre secteur d’activité.
2. Rationaliser vos outils pour réduire votre surface d’attaque et adopter des solutions homologuées par l’ANSSI afin d’avoir des garanties sur le niveau de sécurité des technologies déployées au sein de votre organisation.
3. Adopter des dispositifs de protection complémentaires, par exemple pour sécuriser vos terminaux, protéger les accès distants, ou détecter en temps réel les menaces.
4. Définir des process clairs en cas d’incident de sécurité, pour rétablir les activités critiques, restaurer les données dans les meilleurs délais, et limiter les conséquences opérationnelles.
5. Former et sensibiliser vos équipes en continu, pour réduire les risques d’erreurs humaines.

Loin de s’inscrire dans une logique punitive, l’ANSSI accompagne les organisations dans la sécurisation de leur système d’informations et de leurs données. À ce titre, l’agence a publié plusieurs guides de référence, sur lesquels votre entreprise peut s’appuyer pour se mettre en conformité. L’adoption de solutions homologuées par l’ANSSI, que ce soit pour la sécurité du Cloud,  du travail collaboratif ou encore de la protection des terminaux peut considérablement faciliter votre travail de mise en conformité réglementaire.