La cybersécurité coûte de l’argent. Un diagnostic, une formation, un outil de simulation, un audit : les postes de dépense s’accumulent vite pour une PME qui part de zéro. Or, contrairement aux grandes entreprises qui disposent d’un budget propre et d’un responsable sécurité à temps plein, les PME arbitrent en permanence entre leurs priorités opérationnelles et des investissements dont le retour est difficile à chiffrer.

Ce que peu de dirigeants savent : une partie significative de ces dépenses peut être financée par des aides publiques. Chèque diagnostic subventionné, prise en charge des formations par l’OPCO, aides régionales à la transformation numérique, crédit d’impôt formation dirigeant — les dispositifs existent, ils sont accessibles, et ils se cumulent. La difficulté n’est pas de les trouver, mais de savoir lesquels demander, dans quel ordre, et comment monter les dossiers.

Ce guide répertorie les aides concrètes disponibles en 2026 pour les PME françaises, avec les montants réalistes, les conditions d’éligibilité, et les démarches à suivre.

Le chèque diagnostic cyber

Le chèque diagnostic cyber est le dispositif le plus direct pour financer un premier état des lieux de votre sécurité informatique. Il s’adresse aux PME qui n’ont jamais réalisé d’évaluation formelle de leur posture cyber et qui veulent identifier leurs priorités avant d’investir.

Ce que couvre le chèque

Le diagnostic réalisé grâce au chèque comprend généralement : une revue de votre architecture réseau, une analyse de vos pratiques de gestion des mots de passe et des accès, un inventaire des vulnérabilités principales, une évaluation de votre exposition au phishing et aux ransomwares, et une liste de recommandations priorisées par niveau de risque. La durée varie d’une demi-journée pour les TPE à deux jours pour les PME plus structurées.

Le chèque est réalisé par un prestataire référencé. En France, la plateforme cybermalveillance.gouv.fr de l’ANSSI tient un annuaire de prestataires qualifiés auxquels les entreprises peuvent faire appel. La subvention est en général versée directement au prestataire : vous ne payez que le reste à charge, qui varie de 0 à 30 % selon les dispositifs régionaux.

Montants et éligibilité

Le chèque diagnostic cyber n’existe pas sous une forme nationale unique. Il se décline en dispositifs régionaux, parfois cofinancés par l’État, BPI France ou les fonds européens FEDER. En 2026, les montants observés sont :

500 à 1 500 € de subvention pour les TPE (moins de 10 salariés)
1 500 à 3 000 € pour les PME (10 à 249 salariés)
Certaines régions prennent en charge jusqu’à 100 % du coût pour les entreprises dans des secteurs prioritaires

Les critères d’éligibilité communs : être une PME de moins de 250 salariés, être immatriculée en France, ne pas avoir déjà bénéficié d’un diagnostic financé dans les deux dernières années. Certains dispositifs ajoutent des conditions sectorielles (artisanat, commerce, industrie) ou des plafonds de chiffre d’affaires.

Comment demander le chèque

Le point d’entrée le plus efficace est votre CCI locale (Chambre de Commerce et d’Industrie) ou votre chambre de métiers. Ces structures relayent les dispositifs régionaux, vous orientent vers les prestataires qualifiés, et vous aident à monter le dossier. Vous pouvez aussi passer directement par cybermalveillance.gouv.fr pour trouver un prestataire référencé et savoir si votre région dispose d’un dispositif actif.

Le dossier à constituer est généralement léger : Kbis ou extrait SIRENE, RIB, description de votre activité et de vos besoins en quelques lignes. La décision d’attribution prend 2 à 6 semaines selon les régions.

Les aides France Num

France Num est le programme gouvernemental d’accompagnement à la transformation numérique des TPE et PME, piloté par la Direction générale des Entreprises (DGE). Il ne finance pas directement la cybersécurité comme poste isolé, mais il intègre la sécurité numérique comme composante des projets de transformation digitale éligibles.

Ce que couvre France Num

Trois types d’interventions sont pertinents pour la cybersécurité dans le cadre France Num :

L’activation numérique. Des chèques de transformation numérique cofinancés par l’État et les régions permettent aux TPE-PME de financer l’intervention d’un « Activateur France Num » — un conseiller numérique accrédité qui accompagne la définition d’une stratégie digitale incluant les enjeux de sécurité.

La formation des dirigeants et collaborateurs. France Num finance des parcours de formation à la culture numérique, dont certains modules couvrent les bonnes pratiques de cybersécurité, la protection des données, et la gestion des risques numériques.

L’accompagnement à la mise en œuvre. Pour les projets de numérisation plus ambitieux, des aides à l’investissement couvrent parfois les outils de sécurité intégrés à un projet plus large (migration vers le cloud sécurisé, mise en place d’une infrastructure de gestion des accès).

Comment accéder aux aides France Num

Le portail francenum.gouv.fr référence les dispositifs disponibles par région et par taille d’entreprise. Il propose également un diagnostic numérique gratuit en ligne qui vous positionne sur une carte de maturité et vous oriente vers les dispositifs pertinents. Ce diagnostic peut être un premier pas utile avant de demander un chèque diagnostic cyber.

Les aides France Num sont administrées région par région. Les montants, critères et fenêtres de candidature varient donc significativement. Consultez la rubrique « Trouver des aides » du portail France Num en filtrant sur votre région et sur la thématique « Sécurité numérique ».

Financement OPCO pour la formation cybersécurité

Les OPCO (Opérateurs de Compétences) financent la formation professionnelle des salariés. Pour la cybersécurité, c’est le levier le plus direct et le plus généreux pour les PME — à condition de savoir comment formuler la demande.

Comment fonctionnent les OPCO

Les entreprises versent une contribution à la formation professionnelle (0,55 % à 1 % de la masse salariale selon la taille). Ces fonds sont gérés par les OPCO, qui les redistribuent aux entreprises sous forme de remboursements de frais de formation. Pour les PME de moins de 50 salariés, une enveloppe spécifique « Plan de Développement des Compétences TPE-PME » offre des taux de prise en charge souvent supérieurs à ceux des grandes entreprises.

Quels OPCO couvrent la cybersécurité ?

Tous les OPCO peuvent en principe financer des formations en cybersécurité, à condition que la formation soit dispensée par un organisme de formation enregistré (numéro de déclaration d’activité) et que le dossier soit soumis avant le début de la formation. Les OPCO les plus actifs sur le sujet en 2026 :

ATLAS (services financiers, cabinets de conseil, informatique) — fort appétit pour les formations cyber, y compris les certifications
AFDAS (médias, culture, sport, tourisme) — dispositifs spécifiques pour la transformation numérique des secteurs créatifs
OPCO EP (enseignement privé) — certifications ANSSI et formations sensibilisation régulièrement financées
OPCO 2i (industries) — formations cyber pour les environnements OT (Operational Technology) et les PME industrielles
Constructys (construction) — accompagnement cybersécurité des PME du bâtiment

Pour trouver votre OPCO, rendez-vous sur lopco.fr — l’outil officiel qui identifie l’OPCO compétent à partir de votre code NAF/APE.

Montants réalistes et types de formations finançables

Les fourchettes observées en 2026 pour des formations cybersécurité :

Type de formation	Durée	Prise en charge OPCO
Sensibilisation au phishing (groupe)	1 jour	800 à 1 500 €
Formation ISO 27001 sensibilisation	2 jours	1 500 à 2 500 €
Formation référent cybersécurité PME	3 jours	2 000 à 3 500 €
Préparation certification SecNumCloud	5 jours	3 500 à 6 000 €
Cursus ANSSI (MOOC ou en présentiel)	Variable	1 000 à 5 000 €

Ces montants sont des taux horaires forfaitaires multipliés par la durée. Chaque OPCO publie ses grilles tarifaires. Vérifiez la vôtre avant de vous engager auprès d’un organisme de formation.

Comment soumettre une demande

La règle absolue : déposez la demande avant le début de la formation. Un dossier soumis après coup ne sera pas pris en charge. La démarche standard :

Identifiez la formation souhaitée et obtenez un devis de l’organisme de formation
Connectez-vous au portail de votre OPCO (chaque OPCO a sa propre plateforme)
Remplissez le formulaire de demande de prise en charge avec le devis, le programme de la formation, les noms des participants
Obtenez l’accord de financement (généralement sous 5 à 15 jours)
Réalisez la formation et transmettez les justificatifs (feuilles de présence, facture)
Recevez le remboursement sous 30 à 60 jours

Le CPF et la cybersécurité

Le Compte Personnel de Formation (CPF) est alimenté automatiquement pour chaque salarié : 500 € par an, plafonné à 5 000 € (800 € et 8 000 € pour les travailleurs peu qualifiés). Il permet de financer des formations certifiantes inscrites au Répertoire National des Certifications Professionnelles (RNCP) ou au Répertoire Spécifique (RS).

Certifications cybersécurité éligibles au CPF

Plusieurs certifications reconnues en cybersécurité sont accessibles via le CPF sur moncompteformation.gouv.fr :

CompTIA Security+ — certification internationale, niveau de base, reconnue par les recruteurs
Certified Ethical Hacker (CEH) — pour les profils techniques souhaitant se spécialiser
Certifications ANSSI (SecNumAcadémie, MOOC Atelier RGPD) — gratuites mais non CPF-finançables directement ; certains parcours dérivés le sont
Titre professionnel Technicien Systèmes et Réseaux avec module cybersécurité — niveau bac+2, éligible CPF
Diverses certifications de sensibilisation inscrites au Répertoire Spécifique, comme le « Certificat de compétences en entreprise » (CCE) Cybersécurité

Une recherche sur moncompteformation.gouv.fr avec le mot-clé « cybersécurité » affiche en 2026 plusieurs dizaines de formations certifiantes éligibles, de niveaux et durées variables.

Les limites du CPF pour l’employeur

Le CPF appartient au salarié. En tant qu’employeur, vous ne pouvez pas imposer à un employé d’utiliser son CPF pour suivre une formation de votre choix. C’est une ligne claire que les services RH franchissent parfois maladroitement.

Ce que vous pouvez faire : informer vos employés des formations éligibles, communiquer les références des formations que vous jugez pertinentes, proposer un abondement (vous complétez le solde CPF du salarié pour couvrir un reste à charge), et faciliter la prise de la formation sur le temps de travail.

Pour la formation collective décidée par l’entreprise — un groupe de 15 employés qui suivent une journée de sensibilisation au phishing, par exemple — l’OPCO reste le levier approprié, pas le CPF.

Aides régionales à la cybersécurité

Les conseils régionaux, souvent en partenariat avec BPI France et les fonds européens FEDER, proposent des aides spécifiques à la transformation numérique des entreprises de leur territoire. La cybersécurité y est de plus en plus présente, notamment depuis la généralisation des obligations NIS2 qui touchent les chaînes d’approvisionnement locales.

Comment trouver l’aide de votre région

Trois points d’entrée fiables :

Votre CCI. La Chambre de Commerce et d’Industrie de votre département est le guichet le plus réactif. Elle connaît les dispositifs actifs, les fenêtres de dépôt des dossiers, et peut vous accompagner dans la constitution du dossier. Prenez rendez-vous avec le conseiller numérique.

Le portail aides-entreprises.fr. Ce site gouvernemental référence toutes les aides publiques aux entreprises, filtrables par région, thématique (numérique, cybersécurité) et taille d’entreprise.

BPI France. La Banque Publique d’Investissement co-finance de nombreux dispositifs régionaux et dispose de chargés d’affaires dans chaque région. Le guichet BPI France de votre département peut vous orienter vers les aides actives pour votre profil.

Exemples de dispositifs régionaux actifs en 2026

Île-de-France. La région a développé le dispositif « Cyber PME IDF » qui cofinance les diagnostics cybersécurité et les accompagnements à la mise en conformité NIS2. Les PME de moins de 250 salariés peuvent obtenir jusqu’à 50 % de subvention sur les projets cybersécurité dans la limite de 15 000 €.

Auvergne-Rhône-Alpes. Le programme « Ambition Numérique PME AURA » inclut un volet cybersécurité. Les entreprises peuvent bénéficier d’un accompagnement par un prestataire agréé sur la définition d’une feuille de route cyber, avec une prise en charge jusqu’à 70 % pour les TPE.

Occitanie. La région Occitanie, via son agence de développement économique AD’OCC, propose des aides à la transformation numérique incluant la cybersécurité dans le cadre du schéma régional de développement économique. Les dossiers sont instruits par les CCI locales.

Ces exemples illustrent la diversité des dispositifs. Chaque région a ses propres critères, fenêtres de candidature et montants. Vérifiez les dispositifs en cours sur le site de votre conseil régional ou via votre CCI — certains ont des enveloppes limitées qui se ferment en cours d’année.

Crédit d’impôt et dispositifs fiscaux

Les dispositifs fiscaux liés à la cybersécurité sont moins connus que les subventions, mais ils peuvent compléter utilement l’équation financière.

Crédit d’impôt formation des dirigeants

Le crédit d’impôt formation dirigeant (article 244 quater M du CGI) permet aux dirigeants de TPE et PME de déduire de leur impôt les heures passées en formation. Le calcul : nombre d’heures de formation × taux horaire du SMIC. En 2026, le taux horaire est d’environ 12 €, ce qui donne un crédit d’impôt de 12 € par heure de formation suivie par le dirigeant.

Le plafond correspond au nombre d’heures de formation réelles dans l’année. Pour un dirigeant qui suit 40 heures de formation cybersécurité dans l’année (une certification, des webinaires, un parcours e-learning), cela représente environ 480 € de crédit d’impôt. Ce n’est pas transformateur, mais c’est simple à mobiliser.

Conditions : être gérant d’une entreprise soumise à l’impôt sur les sociétés ou à l’impôt sur le revenu, que la formation soit en lien avec l’activité professionnelle. La formation cybersécurité satisfait largement cette condition pour un dirigeant de PME.

Suramortissement numérique

Certains investissements numériques peuvent bénéficier de dispositifs de déduction fiscale renforcée. Ces mécanismes varient selon les années budgétaires et les secteurs prioritaires. En 2026, le suramortissement s’applique principalement aux équipements industriels connectés dans le cadre de la politique de réindustrialisation, avec des dispositions spécifiques pour la sécurisation des systèmes industriels (OT/SCADA). Vérifiez auprès de votre expert-comptable si vos investissements en cybersécurité sont éligibles à un mécanisme de déduction accélérée.

Perspective réaliste sur les avantages fiscaux

Les avantages fiscaux liés à la cybersécurité sont modestes comparés aux subventions directes. Ne structurez pas votre plan de financement autour d’eux. En revanche, documentez systématiquement vos dépenses cyber et signalez-les à votre expert-comptable : certaines peuvent être qualifiées en charges déductibles ou en investissements amortissables, ce qui améliore le coût net réel même sans dispositif fiscal spécifique.

Comment cumuler les aides pour financer sa cybersécurité

Le plan de financement d’une PME bien structurée peut couvrir la majorité des dépenses cyber grâce au cumul de dispositifs. La clé : traiter séparément les différents postes de dépense.

La logique du cumul

Trois postes sont distincts et peuvent être financés indépendamment :

Le diagnostic — financé par le chèque diagnostic cyber (aide régionale ou cybermalveillance.gouv.fr)
La formation — financée par l’OPCO (et ponctuellement abondée par CPF individuel)
Les outils — financés par les aides régionales à la transformation numérique ou par BPI France

Un projet cybersécurité qui combine ces trois postes peut mobiliser des financements de trois sources différentes sans violation de règle d’interdiction de cumul, car les dépenses sont de nature distincte.

Exemple concret pour une PME de 40 salariés

Voici comment une PME industrielle de 40 salariés en région AURA pourrait financer sa mise à niveau cyber en 2026 :

Étape 1 — Diagnostic (coût total : 2 000 €) Demande d’un chèque diagnostic cyber auprès de la CCI. Subvention régionale : 1 400 € (70 %). Reste à charge : 600 €.

Étape 2 — Formation (10 salariés × 1 jour, coût total : 8 000 €) Dossier OPCO déposé avant la formation. Prise en charge à 75 % pour les moins de 50 salariés. Remboursement : 6 000 €. Reste à charge : 2 000 €.

Étape 3 — Déploiement d’une plateforme de simulation de phishing (coût annuel : 3 000 €) Intégration dans un dossier de transformation numérique soumis à la région. Subvention : 1 500 € (50 %). Reste à charge : 1 500 €.

Bilan : 13 000 € de dépenses, 8 900 € de financements publics, soit 68 % de prise en charge.

Ce niveau n’est pas garanti sur tous les territoires ni pour toutes les configurations, mais il illustre ce qui est réalistement atteignable avec un montage soigné.

Séquencer les demandes

L’ordre des démarches compte. Le diagnostic d’abord : il produit un rapport de recommandations qui légitime les dépenses suivantes (formation, outils) dans les dossiers de demande de financement. Un dossier OPCO ou régional qui s’appuie sur les conclusions d’un diagnostic cybersécurité est plus solide qu’une demande générique.

Ensuite : déposez les dossiers OPCO avant de réserver les formations. Puis, une fois les formations réalisées et les besoins en outils confirmés par le diagnostic, montez le dossier aide régionale pour les investissements techniques.

nophi.sh et le financement

nophi.sh est une plateforme de simulation de phishing et de formation anti-hameçonnage pour les PME. Sa conception répond directement aux besoins identifiés dans les diagnostics cybersécurité et aux obligations de l’article 21 de NIS2, notamment sur la formation continue et l’évaluation des mesures.

Comment nophi.sh s’intègre dans les cadres de financement

Via l’OPCO comme outil de formation. Le module de formation de nophi.sh déclenche des parcours de micro-learning personnalisés après chaque simulation de phishing. Cette dimension formation — avec des objectifs pédagogiques mesurables, un suivi de progression par employé, et des rapports d’avancement — permet de qualifier la souscription à nophi.sh comme une action de formation finançable par votre OPCO. Demandez à votre organisme de formation partenaire ou à nophi.sh directement comment structurer le dossier.

Comme suite d’un diagnostic cyber. Les diagnostics cybersécurité financés par les aides publiques recommandent systématiquement trois types d’actions : des mesures techniques (pare-feu, MFA), des mesures organisationnelles (politique de sécurité), et des mesures humaines (formation, tests réguliers des employés). nophi.sh répond directement à cette troisième catégorie. Un dossier de demande d’aide régionale qui cite les recommandations du diagnostic est structurellement solide.

Dans le cadre de la conformité NIS2. L’article 21.2.f de NIS2 impose d’évaluer régulièrement l’efficacité des mesures de sécurité. Les rapports de simulation de phishing de nophi.sh constituent des preuves documentées de cette évaluation. Pour les entreprises qui doivent se conformer à NIS2, l’investissement dans nophi.sh est un investissement de conformité, pas seulement de prévention.

Compatibilité avec les exigences des assureurs cyber. Les assureurs cyber demandent de plus en plus à leurs assurés de démontrer qu’ils forment leurs employés et testent leur résistance au phishing. Un contrat nophi.sh actif renforce votre dossier auprès de l’assureur et peut contribuer à réduire la prime.

Labellisation et certifications

nophi.sh accompagne les entreprises qui visent des labels de cybersécurité reconnus. Certains labels (ExpertCyber, SecNumCloud) valorisent la mise en place de programmes de tests réguliers des employés. La documentation produite par nophi.sh — rapports de campagne, taux d’amélioration, historique des formations — contribue directement au dossier de labellisation.

Pour les tests de sécurité email, nophi.sh propose un outil de diagnostic rapide qui évalue votre exposition au phishing entrant et votre configuration SPF/DKIM/DMARC. Ce test gratuit est souvent le premier résultat visible d’un parcours de mise à niveau.

Consultez nos tarifs pour évaluer le retour sur investissement en tenant compte des financements mobilisables.

FAQ

Les questions fréquentes sont dans le frontmatter et rendues par le template de la page.