Guide · Cybersécurité

ANSSI : missions et rôle
de l'agence cyber française

11 min de lecture Mis à jour le 3 juillet 2026 Bretagne · France Rédigé par Paul H (CEO Zéro à Un)
Retour au blog
Logo Visa de sécurité de l'ANSSI, agence nationale de la sécurité des systèmes d'information

Qu'est-ce que l'ANSSI ?

En 2025, 48% des victimes de cyberattaques recensées en France étaient des TPE, PME et ETI, contre 37% l'année précédente, selon le baromètre Cybermalveillance.gouv.fr 2025. Ces entreprises sont désormais la cible la plus fréquente des attaquants, souvent parce qu'elles se pensent trop petites pour être visées. Un dirigeant qui tape "ANSSI" dans Google cherche généralement à comprendre qui se cache derrière ce sigle, et surtout ce que cette agence peut concrètement lui apporter.

L'ANSSI (Agence nationale de la sécurité des systèmes d'information) est l'autorité française qui structure la réponse à cette menace. Créée par décret le 7 juillet 2009, elle est rattachée au Secrétariat général de la défense et de la sécurité nationale (SGDSN), sous l'autorité directe du Premier ministre. Cette position lui donne une influence transversale sur l'ensemble des ministères et services publics.

L'agence ne travaille pas seule. Elle s'appuie sur un large écosystème : experts informatiques, industriels, écoles, ministère de l'Éducation nationale, chercheurs. Elle dispose aussi de son propre centre de formation, le CFSSI (Centre de formation à la sécurité des systèmes d'information), qui délivre des formations et sensibilisations en cybersécurité pour les administrations et, dans une moindre mesure, les entreprises partenaires.

2009
Année de création
42
Mesures du guide d'hygiène informatique
48%
Des victimes de cyberattaques 2025 sont des TPE/PME/ETI

Les cinq missions de l'ANSSI

L'ANSSI organise la protection de la Nation face aux cyberattaques autour de cinq missions : défendre, connaître, partager, accompagner, réguler. Chacune vise un public et un objectif différents, du citoyen à l'opérateur d'importance vitale.

Défendre et détecter les menaces

L'agence assure une veille, une détection et une réponse aux attaques informatiques. Son Centre opérationnel de la sécurité des systèmes d'information (COSSI) intervient en cas d'attaque avérée ou soupçonnée contre l'État ou une infrastructure sensible. Le CERT-FR, le centre gouvernemental de réponse à incident, dépend de cette même sous-direction Opérations et publie des bulletins d'alerte sur les vulnérabilités en cours.

Accompagner, former et partager

L'ANSSI publie des guides pratiques gratuits pour les entreprises et les particuliers, et propose un MOOC de sensibilisation à la cybersécurité, accessible à tous et délivrant une attestation de réussite en fin de parcours.

MissionCibleExemple d'action
DéfendreÉtat, opérateurs d'importance vitaleRéponse aux incidents, sécurisation des réseaux sensibles
ConnaîtreMenaces, vulnérabilités, tendancesVeille du cyberespace, bulletins CERT-FR
PartagerSecteur privé, collectivités, citoyensGuides, recommandations, MOOC gratuit
AccompagnerAdministrations, opérateurs régulésAssistance technique, certification
RégulerSecteurs soumis à obligationsApplication de NIS2, référentiel SecNumCloud

Les guides ANSSI gratuits pour les TPE et PME

Contrairement à une idée reçue, l'ANSSI ne se limite pas aux grandes administrations. Elle publie deux guides gratuits directement utiles à une petite structure, sans prérequis technique pour le second.

  • Le Guide d'hygiène informatique : 42 mesures réparties sur 8 axes (mots de passe, sauvegardes, séparation des usages, sécurisation du Wi-Fi...), pensées pour des structures de toute taille.
  • Le Guide des bonnes pratiques de l'informatique : coécrit avec la CPME, il résume 12 recommandations accessibles à un non-spécialiste, tirées de l'analyse d'attaques réelles.

Ces deux guides couvrent l'essentiel : sécurisation d'un site web, gestion des accès, procédure en cas d'incident. Un audit de sécurité professionnel reste toutefois nécessaire pour vérifier que ces mesures sont réellement appliquées et pas seulement lues.

Dans la pratique, la plupart des petites structures commencent par le second guide, plus court et plus accessible, avant de piocher dans le premier au fur et à mesure que leur maturité en sécurité progresse. Aucun des deux n'est réservé aux grandes entreprises : ils ont été pensés dès le départ pour des équipes sans expert sécurité en interne.

SecNumCloud et la certification des prestataires

SecNumCloud est le référentiel de sécurité de l'ANSSI pour les services cloud. Un hébergeur certifié SecNumCloud a démontré, par un audit indépendant, que ses infrastructures répondent à des exigences renforcées de sécurité et de souveraineté des données.

Cette certification ne concerne pas que les grands groupes. Pour une PME qui héberge des données sensibles (données de santé, données financières, contrats clients), vérifier si son prestataire est qualifié ou certifié par l'ANSSI est un critère de choix légitime, au même titre que le prix ou la localisation des serveurs.

L'ANSSI délivre aussi d'autres qualifications moins connues du grand public mais tout aussi utiles pour choisir un prestataire : la qualification PASSI pour les auditeurs de sécurité, ou la qualification PDIS/PRIS pour les prestataires de détection et de réponse aux incidents. Un prestataire qualifié PASSI a été audité par l'ANSSI elle-même sur ses méthodes, ses compétences et la confidentialité de ses interventions.

Dans les faits, peu de TPE/PME feront directement appel à un prestataire qualifié PASSI, réservé aux audits les plus sensibles. Mais connaître l'existence de ces labels aide à distinguer un prestataire sérieux d'un simple discours commercial qui se contente de citer l'ANSSI sans en respecter les référentiels.

Une régulation qui touche certains secteurs, pas toutes les PME

L'ANSSI participe à l'application de plusieurs réglementations européennes et nationales : la directive NIS2, le régime des opérateurs d'importance vitale (OIV), ou encore des exigences liées au règlement européen sur la cybersécurité (Cyber Resilience Act). Ces obligations légales ciblent des secteurs précis : énergie, santé, transport, finance, infrastructures numériques critiques.

La grande majorité des TPE et PME françaises n'entrent pas directement dans ce périmètre réglementaire. Elles restent néanmoins exposées aux mêmes attaques (phishing, rançongiciels, usurpation de fournisseur) et ont donc tout intérêt à suivre les recommandations de l'ANSSI par prudence, même sans obligation légale.

Coopération internationale : l'exemple du BSI allemand

L'ANSSI entretient une coopération étroite avec son homologue allemand, le BSI (Bundesamt für Sicherheit in der Informationstechnik). Un accord de reconnaissance mutuelle des certificats de sécurité CSPN-BSZ, renouvelé récemment, permet à une certification obtenue dans un pays d'être reconnue dans l'autre. Les deux agences publient aussi des rapports conjoints, notamment sur la sécurisation des grands événements sportifs internationaux.

Cette coopération franco-allemande illustre une tendance de fond : la cybersécurité ne s'arrête pas aux frontières nationales, et les référentiels comme SecNumCloud gagnent en poids à mesure qu'ils sont reconnus par d'autres pays européens.

Pourquoi s'y intéresser sans y être obligé

La majorité des TPE et PME françaises ne sont soumises à aucune obligation légale liée à l'ANSSI. C'est justement ce qui rend la démarche volontaire plus rare, et donc plus rentable pour celles qui la font. Le coût moyen d'un incident cyber pour une PME française dépasse 50 000 €, entre perte d'exploitation, restauration des systèmes et atteinte à la réputation locale. Suivre les recommandations de l'ANSSI en amont coûte largement moins cher que de les découvrir après une attaque.

Trois signaux doivent alerter un dirigeant de TPE/PME : aucune sauvegarde testée depuis plus de six mois, un seul mot de passe partagé par toute l'équipe, ou un site web sans certificat HTTPS valide. Ces trois points figurent parmi les mesures les plus basiques du Guide d'hygiène informatique, et pourtant restent parmi les causes les plus fréquentes d'incidents constatés sur le terrain.

Erreur fréquente : confondre "avoir lu le guide" et "avoir appliqué le guide". Un dirigeant qui a téléchargé le PDF de l'ANSSI n'a pas nécessairement vérifié que son hébergeur applique un certificat SSL à jour, que ses sauvegardes fonctionnent réellement, ou que ses collaborateurs utilisent des mots de passe uniques. La vérification technique reste une étape distincte de la lecture du guide.

FAQ : ANSSI et cybersécurité des entreprises

Puis-je contacter l'ANSSI si je suis victime d'une cyberattaque ?

L'ANSSI intervient surtout auprès des administrations et des opérateurs d'importance vitale. Pour une entreprise ou un particulier victime d'une cyberattaque, c'est le dispositif Cybermalveillance.gouv.fr qui oriente vers un prestataire de proximité et fournit des fiches réflexes gratuites.

Qu'est-ce que le CERT-FR et quel est son rôle ?

Le CERT-FR est le centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques, opéré par l'ANSSI. Il publie des bulletins d'alerte sur les vulnérabilités et coordonne la réponse lors d'incidents touchant des systèmes sensibles.

L'ANSSI impose-t-elle des obligations légales aux entreprises ?

Oui, pour certains secteurs. L'ANSSI participe à l'application de réglementations comme la directive européenne NIS2 ou le régime des opérateurs d'importance vitale (OIV), qui imposent des obligations de sécurité à des entreprises ciblées. La majorité des PME n'y sont pas directement soumises, mais peuvent suivre ses recommandations volontairement.

Quels guides gratuits l'ANSSI propose-t-elle pour les PME ?

Le Guide d'hygiène informatique regroupe 42 mesures pour tout type de structure, et le Guide des bonnes pratiques de l'informatique, coécrit avec la CPME, résume 12 recommandations accessibles aux non-spécialistes. Les deux sont téléchargeables gratuitement sur le site officiel de l'ANSSI.

Vos mesures ANSSI sont-elles vraiment appliquées ?

Lire un guide et sécuriser réellement son site web sont deux choses différentes. Notre agence audite gratuitement votre niveau de sécurité actuel.

Auditer mon site gratuitement