📋 Gouvernance·5 min de lecture

Trois mesures obligatoires en 2026: MFA, droits d'accès, plan d'incident

MFA, audit des droits d'accès et plan d'incident: les 3 chantiers que la CNIL et l'ANSSI vous imposeront en 2026. Comment les déployer sans budgeter 100 k€.

Gabriel
Gouvernance & certifications · publié le 20 juin 2026

En bref

• 48 % des rançongiciels visent des PME/TPE (ANSSI 2026); 74 % restent sous le niveau « Essentiel » • La CNIL sanctionne désormais 32 % de PME/TPE en contrôles; l'absence de MFA a coûté 42 M€ à Free • Déployer MFA, auditer les droits et documenter votre plan d'incident = 90 % de la résilience visible

Pourquoi ces trois mesures deviennent non-négociables en 2026

Le panorama ANSSI 2026 confirme que 48 % des victimes de rançongiciels en France sont des PME/TPE/ETI et que 74 % d'entre elles restent sous le niveau « Essentiel ». Traduction: trois quarts des PME touchées n'ont même pas les basiques en place.

En parallèle, début 2026, Free (42 M€) et France Travail (5 M€) ont été sanctionnés pour des failles de sécurité, notamment l'absence d'authentification multifacteur et des droits d'accès trop larges. L'ANSSI et la CNIL ne font plus de différence entre un géant des télécoms et une PME: elles attendent les mêmes fondamentaux.

Ce qui change cette année? La procédure simplifiée représente désormais 80 % des sanctions, ce qui expose les PME à un risque accru de poursuites même pour des manquements courants. Pas besoin de fuite spectaculaire. Un registre oublié ou des accès non vérifiés suffisent. Et les actions prioritaires: MFA sur tous les accès distants, audit des droits d'accès, conformité cookies, procédure de gestion des violations et mise en conformité structurée.

MFA: arrêter de repousser, déployer en 30 jours

Le consensus est clair: le phishing reste le vecteur d'intrusion n°1: 91 % des cyberattaques réussies débutent par un email frauduleux, selon le rapport ANSSI 2025. Sans MFA (authentification multifacteur), un mot de passe volé = accès immédiat. Avec MFA? L'attaquant a besoin de deux facteurs, ce qui change tout.

Concrètement, commencer par: OUI, ça demande du changement. Non, ce n'est pas 3 mois de projet. Voici le chemin pragmatique:

  1. Activer MFA d'abord sur les comptes sensibles (admin système, email, RH, finance) → 1 semaine
  2. Communiquer simplement: "À partir du X, vous devrez entrer un code depuis votre téléphone à côté de votre mot de passe"
  3. Offrir du support: FAQ écrite, 30 min d'accompagnement groupe, puis sur demande
  4. Étendre progressivement (mail, accès VPN, outils cloud) → 3-4 semaines

Coûts: gratuit (Microsoft Authenticator, Google Authenticator) à 5-10 €/utilisateur/mois pour une solution managée (Okta, Duo). Zéro amende CNIL si bien documenté. Économies: 1 incident évité = 100-250 k€ de remédiation en moins.

Faites auditer votre posture d'accès gratuitement, on vous rendra un diagnostic en 48h.

Audit des droits d'accès: 5 jours, 1 checklist, des risques éliminés

Début 2026, Free (42 M€) et France Travail (5 M€) ont été sanctionnés pour des failles de sécurité, notamment l'absence d'authentification multifacteur et des droits d'accès trop larges. La raison? Des comptables qui pouvaient lire les emails de la direction, des développeurs avec accès prod, des ex-salariés toujours actifs. Classique, coûteux, facile à corriger.

Ce qu'il faut auditer:

  • Qui a accès à quoi? (liste Excel: user, système, niveau d'accès)
  • Qui n'est plus là? (ex-salariés, ex-prestataires)
  • Les accès correspondent-ils au rôle? (un manager ne devrait pas avoir admin base de données)
  • Les outils cloud collectifs (Google Workspace, Microsoft 365) sont-ils configurés pour réduire les partages excessifs?

Projet: 2-3 jours de collecte + 2 jours d'analyse. Livrable: un registre d'accès à jour, les anomalies flagrantes signalées, un plan de correction (supprimer, réduire, monitorer). Coût: DIY pour 50-100 k€ de responsabilité, ou 2-5 k€ avec un auditeur externe qui structure l'exercice.

Résultat: plus attractif pour les auditeurs, moins d'exposition CNIL, plus facile à auditer vous-même l'année suivante.

Plan d'incident: c'est votre filet de sécurité

Le plan cyber "version 2026" marque surtout un changement de posture: on arrête de parler uniquement de technologies, et on parle davantage d'organisation, de réflexes et de capacité à encaisser une attaque. La cybersécurité est présentée comme un sujet de continuité d'activité. L'objectif n'est pas d'être parfait, mais de continuer à travailler même si un incident arrive.

Votre plan d'incident doit répondre à une seule question: si on se fait attaquer demain, qui fait quoi et comment on la joue? Pas besoin de 50 pages. Une page suffit.

À minima:

Pour NIS2, il y a une obligation formelle: notification à l'ANSSI sous 24h en cas d'incident. Autant le prévoir. Avoir ça écrit = preuve pour un auditeur = moins de risque de sanction en cas de mauvaise gestion.

Passez votre maturité en incident au test avec notre dashboard gratuit, scores immédiats, gains visibles.

Questions fréquentes

Combien coûte vraiment déployer MFA pour une PME de 30 personnes?

Gratuit avec authenticateurs natifs (Windows Hello, Google Authenticator): 0 €. Vous dépensez 2-3 jours IT pour configurer, former, supporter. Si vous êtes seul IT, 200-400 € en freelance aide extérieure. Avec une solution SSO (Okta, Duo), comptez 10-15 €/user/mois = 300-450 €/mois. Amortissement facile: 1 incident évité = 2-3 ans d'abonnement économisés.

Et si je fais un audit des droits d'accès et que je découvre un vrai problème?

C'est exactement pour ça qu'on le fait. Mieux vaut le trouver vous-même en audit interne qu'en se le faire signaler par la CNIL ou un attaquant. Les problèmes courants (ex-salarié toujours actif) se règlent en quelques heures. Les plus complexes (accès héritée, droits mal documentés) demandent une mise à jour du processus RH/IT, utile de toute façon.

La CNIL va-t-elle vraiment contrôler une PME avec 15 salariés?

En 2025, 32 % des entreprises contrôlées étaient des PME ou TPE. Sur les 87 sanctions prononcées, 69 l'ont été via la procédure simplifiée, qui cible précisément les petites structures. Oui. La CNIL cible maintenant les TPE/PME systématiquement. Et avec la procédure simplifiée, le contrôle est plus rapide (pas 6 mois, 2-3 semaines d'enquête).

Où trouver de l'aide concrète pour ces trois chantiers sans dépenser 50 k€?

Commencez par l'audit gratuit: état des lieux en 48h, ordre de priorité clair. Puis déployez par étapes: MFA (DIY), audit droits (interne ou petit prestataire 2-5 k€), plan d'incident (réunion 4h d'équipe + doc). Vous êtes prêt pour 2026 avec 5-8 k€, pas 50 k€.

À lire aussi