Réponse publiée le 24 mai 2016

La gestion du risque de cybersécurité pour une petite et moyenne entreprise (PME) comporte deux volets. Le premier est l'identification du risque en fonction de l'activité de la PME, de la nature des actifs qu'elle doit protéger pour garantir sa compétitivité et de son degré d'intégration numérique. Le second volet est la réduction de chaque risque identifié à un niveau acceptable par l'adoption de mesures organisationnelles ou techniques adaptées ou par le recours à des prestations extérieures. Service du Premier ministre à compétence nationale, rattachée au secrétaire général de la défense et de la sécurité nationale, l'agence nationale de la sécurité des systèmes d'information (ANSSI) agit dans ce domaine à plusieurs niveaux. En matière d'identification des risques, l'ANSSI effectue un travail de sensibilisation des dirigeants de PME. Ce travail sera amplifié par son déploiement territorial et la mise en place, conjointement avec le ministère de l'intérieur, du dispositif national d'assistance aux victimes d'actes de cybermalveillance prévu par la stratégie nationale pour la sécurité du numérique, présentée par le Premier ministre le 16 octobre 2015. L'agence a également travaillé à l'intégration d'un volet sécurité dans des outils créés pour les PME par d'autres administrations comme par exemple l'outil « diagnostic d'intelligence économique et de sécurité des entreprises » (DIESE) des services du délégué interministériel à l'intelligence économique. Enfin, avec le club des utilisateurs de la méthode EBIOS, développée et préconisée par l'ANSSI pour les entités et les systèmes complexes, des travaux sont en cours visant à concevoir une méthode simple d'analyse de risque. En matière de réduction des risques, l'ANSSI publie régulièrement des guides de bonnes pratiques. Parmi ces guides accessibles sur le site internet de l'agence, on peut signaler le « guide de bonnes pratiques de l'informatique », élaboré avec la confédération générale des petites et moyennes entreprises (CGPME), ou le « guide d'homologation des systèmes d'information ». L'agence mène également des travaux avec des sociétés d'assurance afin de contribuer à l'émergence d'une offre de garantie assurantielle contre les risques cybernétiques, adaptée aux besoins des PME. Enfin, l'agence décerne un label à des prestataires de service de confiance sur lesquels peuvent s'appuyer les PME dont le taux d'externalisation informatique est généralement élevé.