Checklist Sécurité PME : 20 Mesures Essentielles (PDF)

Les petites et moyennes entreprises françaises sont devenues les cibles privilégiées des cyberattaques, avec 43 % de l'ensemble des incidents de cybersécurité qui visent désormais spécifiquement les PME selon les dernières données de l'ANSSI et de cybermalveillance.gouv.fr. Contrairement à une idée reçue tenace, les cybercriminels ne ciblent pas uniquement les grandes entreprises du CAC 40 — ils exploitent systématiquement les failles de sécurité des structures plus modestes, souvent moins bien protégées mais détentrices de données précieuses (fichiers clients, données bancaires, propriété intellectuelle, accès aux systèmes de grands donneurs d'ordre). Le coût moyen d'une violation de données pour une PME française atteint désormais 50 000 euros, un montant qui peut être fatal pour une entreprise de moins de 50 salariés. Cette checklist opérationnelle détaille 20 mesures de sécurité essentielles, classées par priorité et par domaine, avec pour chacune une explication du pourquoi, un guide de mise en œuvre concrète, les outils gratuits disponibles, et une estimation du retour sur investissement. De la gestion des mots de passe à la supervision réseau, chaque mesure est accessible même sans expertise technique avancée. Téléchargez la version PDF imprimable pour suivre votre progression et protéger durablement votre entreprise.

Pourquoi les PME sont-elles devenues les cibles prioritaires des cyberattaques ?

La réalité est brutale : les PME combinent une surface d'attaque significative avec des défenses souvent insuffisantes, ce qui en fait des cibles à haut rendement pour les cybercriminels. Selon le rapport annuel de l'ANSSI, les PME et ETI représentent 40 % des attaques par ransomware traitées par l'agence, un chiffre en augmentation constante depuis trois ans. Les attaquants ciblent les PME pour plusieurs raisons stratégiques.

Premièrement, les PME sont des portes d'entrée vers les grands comptes. Dans le contexte de la supply chain numérique, compromettre un sous-traitant ou un fournisseur de petite taille permet d'accéder aux systèmes de ses clients grands comptes. L'attaque SolarWinds a magistralement illustré ce principe à l'échelle mondiale, et la directive NIS2 impose désormais aux grandes entreprises de vérifier la sécurité de leur chaîne d'approvisionnement — ce qui signifie que les PME insuffisamment protégées risquent de perdre des marchés.

Deuxièmement, les PME disposent de données de grande valeur : fichiers clients avec données personnelles (RGPD), données bancaires, brevets et propriété intellectuelle, accès à des systèmes métier critiques. Un fichier client de 10 000 contacts avec coordonnées bancaires se revend entre 5 et 50 euros par enregistrement sur le dark web, soit un potentiel de 100 000 à 500 000 euros pour les cybercriminels.

Troisièmement, le coût d'une cyberattaque est proportionnellement plus dévastateur pour une PME que pour un grand groupe. Quand le coût moyen d'un incident s'élève à 50 000 euros, cela peut représenter plusieurs mois de trésorerie pour une PME de 20 salariés. Les statistiques montrent que 60 % des PME victimes d'une cyberattaque majeure font faillite dans les 18 mois suivant l'incident.

Catégorie 1 — Mots de passe et gestion des accès (mesures 1 à 5)

Mesure 1 : Imposer des mots de passe robustes avec un gestionnaire de mots de passe

Les mots de passe faibles ou réutilisés sont la cause de plus de 80 % des compromissions de comptes. Déployez un gestionnaire de mots de passe d'entreprise (Bitwarden, 1Password, KeePass) pour générer et stocker des mots de passe uniques et complexes (minimum 14 caractères, combinaison de majuscules, minuscules, chiffres et caractères spéciaux). Chaque collaborateur doit avoir un coffre-fort numérique personnel et les mots de passe partagés d'équipe doivent être gérés dans des dossiers dédiés avec des droits d'accès granulaires.

Outil gratuit : Bitwarden (version gratuite) ou KeePassXC (open source). ROI estimé : Le coût d'un gestionnaire de mots de passe est d'environ 3 € par utilisateur et par mois. Le coût moyen d'une compromission de compte due à un mot de passe faible est de 15 000 €. Le ROI est immédiat.

Mesure 2 : Activer l'authentification multifacteur (MFA) sur tous les accès critiques

Le MFA (authentification multifacteur) ajoute une couche de sécurité essentielle en exigeant un second facteur de vérification en plus du mot de passe : une application d'authentification (Microsoft Authenticator, Google Authenticator), une clé de sécurité FIDO2, ou un SMS (moins sécurisé). Activez le MFA en priorité sur : la messagerie professionnelle, le VPN, les accès administrateur, les applications cloud (Microsoft 365, Google Workspace), la banque en ligne et les réseaux sociaux d'entreprise.

Outil gratuit : Microsoft Authenticator ou Google Authenticator (gratuits). ROI estimé : Le MFA bloque 99,9 % des attaques par mot de passe compromis selon Microsoft. C'est la mesure de sécurité au meilleur rapport coût/efficacité.

Bonnes pratiques complémentaires

Mesure 3 : Appliquer le principe du moindre privilège

Chaque utilisateur ne doit disposer que des droits d'accès strictement nécessaires à l'exercice de ses fonctions. Aucun utilisateur standard ne devrait être administrateur local de son poste de travail. Les comptes administrateurs du domaine Active Directory doivent être réservés aux tâches d'administration et ne jamais être utilisés pour la navigation web ou la messagerie. Créez des comptes d'administration dédiés (« adm-prenom.nom ») distincts des comptes utilisateurs quotidiens.

Mesure 4 : Mettre en place une politique de verrouillage des comptes

Configurez le verrouillage automatique des comptes après 5 tentatives de connexion échouées (avec déverrouillage automatique après 30 minutes). Activez l'audit des tentatives de connexion échouées pour détecter les attaques par force brute. Sur Active Directory, configurez la stratégie de verrouillage de comptes via les GPO. Pour les applications cloud, activez les politiques d'accès conditionnel qui bloquent les connexions depuis des localisations ou appareils inhabituels.

Mesure 5 : Révoquer immédiatement les accès des collaborateurs partants

Le jour du départ d'un collaborateur, désactivez tous ses accès : compte Active Directory, messagerie, VPN, applications cloud, accès physiques (badge). Consultez notre checklist complète de départ salarié pour un processus détaillé. Les statistiques montrent que 34 % des violations de données impliquent un ancien employé dont les accès n'ont pas été correctement révoqués.

Catégorie 2 — Sauvegardes et mises à jour (mesures 6 à 10)

Mesure 6 : Mettre en place la stratégie de sauvegarde 3-2-1-1-0

La sauvegarde est votre dernière ligne de défense contre les ransomwares. La règle 3-2-1-1-0 signifie : 3 copies de vos données, sur 2 supports différents, dont 1 hors site, 1 copie immuable ou hors ligne, et 0 erreur de restauration (testée régulièrement). En pratique : une sauvegarde quotidienne sur un NAS local, une réplication sur le cloud (Backblaze B2, Wasabi, ou sauvegarde native Microsoft 365), et une sauvegarde mensuelle sur disque dur externe déconnecté du réseau et stocké hors des locaux.

Outil gratuit : Veeam Community Edition (gratuit jusqu'à 10 machines), Duplicati (open source pour le cloud). ROI estimé : Le coût d'une solution de sauvegarde PME est d'environ 200-500 €/mois. Le coût moyen d'un ransomware sans sauvegarde est de 250 000 €. Consultez notre calendrier annuel des sauvegardes.

Mesure 7 : Tester la restauration des sauvegardes trimestriellement

Une sauvegarde qui n'a jamais été testée ne vaut rien. Les statistiques montrent que 73 % des entreprises n'ont jamais testé la restauration de leurs sauvegardes, et parmi celles qui l'ont fait, 37 % ont découvert que leurs sauvegardes étaient inutilisables (corrompues, incomplètes, procédure inconnue). Programmez un test de restauration trimestriel : restaurez un échantillon de fichiers, une base de données, et un serveur complet sur un environnement de test isolé. Documentez le temps de restauration (RTO réel) et vérifiez l'intégrité des données restaurées.

Mesure 8 : Appliquer les mises à jour de sécurité sous 72 heures

Les vulnérabilités logicielles non corrigées sont le deuxième vecteur d'intrusion le plus exploité après le phishing. Un correctif de sécurité critique doit être appliqué dans les 72 heures suivant sa publication. Activez les mises à jour automatiques sur les postes de travail (Windows Update) et les navigateurs web. Pour les serveurs, mettez en place un processus de patch management mensuel (Patch Tuesday Microsoft) avec test préalable en environnement de qualification. N'oubliez pas les firmwares des équipements réseau (routeurs, pare-feux, points d'accès Wi-Fi).

Bonnes pratiques complémentaires

Outil gratuit : WSUS (Windows Server Update Services, gratuit) pour le déploiement centralisé des mises à jour Microsoft. PDQ Deploy (version gratuite) pour les applications tierces.

Mesure 9 : Maintenir un inventaire à jour de tous les actifs informatiques

Vous ne pouvez pas protéger ce que vous ne connaissez pas. Maintenez un inventaire exhaustif de tous les équipements informatiques (postes de travail, serveurs, équipements réseau, imprimantes, téléphones IP, IoT), de tous les logiciels installés (avec leurs versions), et de tous les comptes utilisateurs et administrateurs. Cet inventaire doit être mis à jour à chaque arrivée/départ de collaborateur, chaque achat/décommissionnement d'équipement, et audité semestriellement.

Mesure 10 : Désinstaller les logiciels obsolètes et inutilisés

Chaque logiciel installé sur un poste est une surface d'attaque potentielle. Les logiciels obsolètes (Java 8, Flash Player, anciennes versions d'Adobe Reader) ou les logiciels inutilisés multiplient les vulnérabilités exploitables. Réalisez un audit annuel des logiciels installés et supprimez tout ce qui n'est pas strictement nécessaire. Établissez une liste blanche de logiciels autorisés et bloquez l'installation de logiciels non approuvés via les GPO.

Catégorie 3 — Réseau et messagerie (mesures 11 à 15)

Mesure 11 : Configurer un pare-feu avec des règles strictes

Le pare-feu est le gardien de votre réseau. À minima, votre pare-feu doit bloquer tout trafic entrant non sollicité, filtrer le trafic sortant pour détecter les communications malveillantes (C2), et segmenter votre réseau interne en zones (postes utilisateurs, serveurs, Wi-Fi invités). Si vous utilisez un routeur grand public sans fonctions de pare-feu avancées, envisagez le passage à un UTM (Unified Threat Management) comme pfSense (gratuit, open source) ou Fortinet (payant mais adapté PME).

Outil gratuit : pfSense (pare-feu open source de niveau professionnel). ROI estimé : Un pare-feu pfSense sur du matériel recyclé coûte 0 € en licences et protège efficacement un réseau PME.

Mesure 12 : Segmenter le réseau en zones isolées

La segmentation réseau consiste à diviser votre réseau en sous-réseaux (VLAN) isolés les uns des autres. À minima, séparez : le réseau des postes utilisateurs, le réseau des serveurs, le réseau Wi-Fi des invités, et les équipements IoT (imprimantes, caméras, thermostat). Ainsi, un ransomware qui infecte un poste utilisateur ne peut pas se propager directement aux serveurs. La segmentation se configure sur votre switch manageable et votre pare-feu.

Mesure 13 : Sécuriser le Wi-Fi d'entreprise

Votre réseau Wi-Fi est une porte d'entrée potentielle pour les attaquants à proximité physique. Utilisez le chiffrement WPA3 (ou WPA2-Enterprise au minimum), changez le mot de passe Wi-Fi à chaque départ de collaborateur, créez un réseau Wi-Fi invités distinct et isolé du réseau interne, désactivez le WPS (Wi-Fi Protected Setup) qui est vulnérable, et cachez le SSID du réseau professionnel si possible. Pour les entreprises de plus de 20 postes, envisagez l'authentification 802.1X avec certificats ou RADIUS.

Mesure 14 : Déployer un filtrage email anti-phishing

Le phishing étant le vecteur d'attaque numéro un (91 % des cyberattaques), la protection de votre messagerie est critique. Configurez les protocoles d'authentification SPF, DKIM et DMARC pour votre domaine. Déployez une passerelle de sécurité email qui analyse les pièces jointes en sandbox et vérifie les URLs en temps réel. Pour les utilisateurs de Microsoft 365, activez au minimum Microsoft Defender for Office 365 (Plan 1). Consultez notre fiche réflexe phishing pour les détails techniques.

Mesure 15 : Bloquer les macros Office par défaut

Les macros VBA dans les documents Office (Word, Excel) sont le mécanisme de livraison le plus courant pour les malwares. Depuis 2022, Microsoft bloque par défaut les macros dans les fichiers téléchargés, mais cette protection peut être contournée. Renforcez cette mesure en bloquant l'exécution de toutes les macros non signées via une GPO Active Directory. Si certains métiers nécessitent des macros, signez numériquement les macros approuvées et n'autorisez que les macros signées.

Catégorie 4 — Sensibilisation et procédures (mesures 16 à 20)

Mesure 16 : Former les collaborateurs au phishing avec des simulations

La technologie seule ne suffit pas — le facteur humain reste le maillon le plus ciblé. Mettez en place un programme de sensibilisation continu avec des simulations de phishing mensuelles, des micro-formations trimestrielles et un test annuel de connaissance. Un programme efficace réduit le taux de clic sur les emails de phishing de 30-40 % à moins de 5 % en 12 mois. Consultez notre guide anti-phishing pour les détails.

Outil gratuit : Gophish (plateforme de simulation de phishing open source). ROI estimé : Coût de déploiement Gophish = 0 €. Réduction du risque de compromission par phishing = 85 %. ROI exceptionnel.

Mesure 17 : Rédiger et diffuser une charte informatique

La charte informatique est un document qui définit les règles d'utilisation des ressources informatiques de l'entreprise par les collaborateurs. Elle couvre : l'usage acceptable d'Internet et de la messagerie, les règles sur les mots de passe et le MFA, l'interdiction d'installer des logiciels non autorisés, les règles sur l'utilisation des équipements personnels (BYOD), la procédure de signalement des incidents de sécurité, et les sanctions en cas de non-respect. La charte doit être annexée au règlement intérieur et signée par chaque collaborateur à son arrivée.

Mesure 18 : Mettre en place un plan de réponse aux incidents

Un plan de réponse aux incidents (PRI) définit qui fait quoi en cas de cyberattaque. Il inclut : la composition de la cellule de crise, les procédures d'alerte (qui prévenir et dans quel ordre), les fiches réflexes par type d'incident (ransomware, phishing, fraude au président, fuite de données), les contacts d'urgence (prestataire de réponse aux incidents, assureur, forces de l'ordre, ANSSI, CNIL), et les procédures de communication interne et externe. Testez le plan annuellement avec un exercice de simulation. Consultez notre fiche réflexe ransomware.

Mesure 19 : Désigner un référent cybersécurité

Même dans une PME de 10 salariés, une personne doit être identifiée comme référent cybersécurité. Cette personne (qui peut cumuler cette fonction avec son poste habituel) est responsable du suivi des mises à jour, de la gestion des sauvegardes, du traitement des incidents de sécurité, de la veille sur les menaces, et de la relation avec les prestataires IT. Elle reçoit une formation spécifique et dispose d'un budget dédié (même modeste) pour les actions de sécurité.

Mesure 20 : Planifier un audit de sécurité annuel

Un audit de sécurité externe annuel permet d'identifier les failles que vous ne voyez pas de l'intérieur. Il peut s'agir d'un test d'intrusion (pentest) qui simule une attaque réelle, d'un audit de configuration qui vérifie les paramètres de sécurité de votre infrastructure, ou d'un audit de conformité qui vérifie votre respect du RGPD et des exigences NIS2. Les résultats de l'audit alimentent votre plan d'amélioration continue et justifient les investissements auprès de la direction. Consultez notre guide d'audit Microsoft 365.

Coût estimé : Un pentest PME coûte entre 3 000 et 8 000 € selon le périmètre. Un audit de configuration entre 2 000 et 5 000 €. Rapporté au coût moyen d'un incident (50 000 €), le ROI est évident.

Contexte réglementaire : NIS2, RGPD et assurance cyber

Le cadre réglementaire européen et français impose aux PME des obligations croissantes en matière de cybersécurité. La méconnaissance de ces obligations expose à des sanctions financières qui s'ajouteraient aux coûts d'un éventuel incident.

La directive NIS2, transposée en droit français, élargit considérablement le périmètre des entreprises soumises à des obligations de cybersécurité. Les PME de plus de 50 salariés ou de plus de 10 millions d'euros de chiffre d'affaires dans les secteurs concernés (énergie, transports, santé, numérique, alimentation, chimie, etc.) sont désormais qualifiées d'« entités importantes » et doivent mettre en place des mesures de gestion des risques, notifier les incidents significatifs, et peuvent être sanctionnées en cas de non-conformité. De plus, NIS2 impose aux grandes entreprises de vérifier la sécurité de leur chaîne d'approvisionnement, ce qui signifie que les PME sous-traitantes doivent démontrer un niveau de sécurité acceptable pour conserver leurs marchés.

Le RGPD impose à toute entreprise traitant des données personnelles (c'est-à-dire toutes les entreprises) de mettre en place des mesures techniques et organisationnelles appropriées pour protéger ces données. En cas de violation (y compris une cyberattaque), la notification à la CNIL est obligatoire dans les 72 heures. Les sanctions peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial — des montants dissuasifs même pour les PME.

Enfin, les assureurs cyber conditionnent désormais la couverture au respect de prérequis minimaux : MFA sur tous les accès distants, sauvegardes testées et déconnectées, EDR sur tous les endpoints, politique de gestion des correctifs. Une PME qui ne remplit pas ces conditions se verra refuser la couverture ou proposer des franchises prohibitives. Les 20 mesures de cette checklist constituent le socle minimum attendu par les assureurs.

Plan de mise en œuvre : par où commencer ?

Face à 20 mesures, il est essentiel de prioriser. Voici un plan de mise en œuvre réaliste sur 6 mois, structuré en quick wins (résultats immédiats) et projets à moyen terme :

Mois 1-2 — Quick wins (impact maximal, effort minimal) : Activez le MFA sur la messagerie et le VPN (mesure 2), déployez un gestionnaire de mots de passe (mesure 1), activez les mises à jour automatiques sur les postes (mesure 8), bloquez les macros Office (mesure 15), et rédigez une charte informatique simple (mesure 17). Ces cinq mesures peuvent être implémentées en deux mois par un responsable IT seul et bloquent déjà plus de 80 % des vecteurs d'attaque courants.

Mois 3-4 — Consolidation : Mettez en place la sauvegarde 3-2-1-1-0 (mesure 6) et testez-la (mesure 7), configurez le pare-feu avec des règles strictes (mesure 11), sécurisez le Wi-Fi (mesure 13), déployez SPF/DKIM/DMARC (mesure 14), et réalisez l'inventaire des actifs (mesure 9). Ces mesures nécessitent plus de temps et potentiellement l'aide d'un prestataire, mais elles constituent le socle technique de votre sécurité.

Mois 5-6 — Maturité : Lancez les simulations de phishing (mesure 16), segmentez le réseau (mesure 12), appliquez le moindre privilège (mesure 3), mettez en place le plan de réponse aux incidents (mesure 18), et planifiez l'audit de sécurité annuel (mesure 20). Ces mesures apportent la maturité nécessaire pour résister aux attaques ciblées et satisfaire les exigences réglementaires et assurantielles.

Outils gratuits pour chaque mesure : le kit de démarrage PME

La cybersécurité ne nécessite pas un budget conséquent pour démarrer. De nombreux outils gratuits ou open source offrent un niveau de protection professionnel. Voici une sélection validée pour les PME :

Mots de passe : Bitwarden (gestionnaire gratuit), KeePassXC (open source local). MFA : Microsoft Authenticator, Google Authenticator (gratuits). Sauvegardes : Veeam Community Edition (gratuit, 10 machines), Duplicati (open source, cloud). Pare-feu : pfSense (open source, professionnel). Antivirus/EDR : Microsoft Defender (inclus dans Windows), Wazuh (SIEM/EDR open source). Simulation phishing : Gophish (open source). Inventaire : GLPI (gestion de parc open source), OCS Inventory (inventaire automatique). Mises à jour : WSUS (gratuit avec Windows Server), PDQ Deploy (version gratuite).

Ces outils gratuits permettent de couvrir les 20 mesures avec un investissement initial limité aux coûts d'installation et de formation. Pour les PME sans compétence technique interne, un prestataire informatique local peut installer et configurer l'ensemble de ces outils en quelques jours pour un budget de 3 000 à 8 000 euros, un investissement dérisoire comparé au coût moyen d'un incident.

Retour sur investissement : combien coûte la sécurité vs. l'insécurité

L'objection la plus courante des dirigeants de PME est le coût de la cybersécurité. Comparons les investissements nécessaires avec le coût de l'inaction :

Coût annuel d'une cybersécurité de base pour une PME de 30 postes : Gestionnaire de mots de passe (100 €/mois), solution de sauvegarde (300 €/mois), pare-feu pfSense (0 €), simulation de phishing Gophish (0 €), formation des utilisateurs (2 000 €/an), audit de sécurité annuel (5 000 €), assurance cyber (4 000 €/an). Total : environ 16 000 €/an, soit 45 € par poste et par mois.

Coût moyen d'un incident de sécurité pour une PME : Ransomware = 50 000 à 250 000 € (plus 23 jours d'arrêt), fraude au président = 150 000 € en moyenne, violation de données RGPD = 50 000 € + sanctions CNIL, perte de clients suite à l'atteinte réputationnelle = inestimable. Le calcul est simple : investir 16 000 € par an pour éviter un risque de 50 000 à 250 000 € représente un retour sur investissement de 3 à 15x.

Aller plus loin : les mesures avancées pour PME ambitieuses

Une fois les 20 mesures essentielles en place, les PME souhaitant atteindre un niveau de maturité supérieur peuvent envisager des mesures avancées : déploiement d'un EDR (Endpoint Detection and Response) sur tous les postes pour une détection comportementale avancée, mise en place d'un SIEM (Security Information and Event Management) pour la corrélation d'événements de sécurité, souscription à un SOC managé pour une surveillance 24/7, réalisation de tests d'intrusion internes et externes, et obtention d'une certification (ISO 27001, Cyber Essentials, ou le label ExpertCyber de cybermalveillance.gouv.fr).

Ces mesures avancées sont particulièrement pertinentes pour les PME évoluant dans des secteurs réglementés (santé, finance, défense), les sous-traitants de grandes entreprises soumises à NIS2, et les PME traitant des données sensibles (données de santé, données financières, données de mineurs). Consultez notre livre blanc sur le pentest cloud et notre guide sur la conformité RGPD 2026 pour approfondir ces sujets.

Erreurs courantes de cybersécurité des PME à éviter absolument

Au-delà des mesures à mettre en place, il est essentiel de connaître les erreurs les plus fréquentes commises par les PME en matière de cybersécurité, car éviter ces pièges est tout aussi important que d'implémenter les bonnes pratiques. L'expérience des incidents traités par les équipes de réponse aux incidents révèle des schémas récurrents qui auraient pu être facilement évités.

Erreur n°1 — Confondre antivirus et cybersécurité. De nombreux dirigeants de PME pensent qu'un antivirus installé sur chaque poste suffit à les protéger. En réalité, un antivirus traditionnel basé sur les signatures ne détecte que les menaces connues et est impuissant face aux attaques sophistiquées (malware fileless, phishing ciblé, exploitation de vulnérabilités zero-day). L'antivirus est une brique parmi 20 mesures nécessaires, pas une solution unique.

Erreur n°2 — Négliger les mises à jour des équipements réseau. Si la plupart des PME mettent à jour les postes de travail (grâce aux mises à jour automatiques Windows), les routeurs, pare-feux, points d'accès Wi-Fi et switches reçoivent rarement les correctifs de firmware. Or ces équipements sont directement exposés sur Internet et leurs vulnérabilités sont activement exploitées par les attaquants. La faille FortiGate exploitée massivement en 2023 est un exemple tragique de cette négligence.

Erreur n°3 — Stocker les sauvegardes sur le même réseau que les données. Une sauvegarde accessible depuis le réseau de production sera chiffrée en même temps que les données originales par un ransomware. Le nombre de PME qui découvrent après une attaque que leurs sauvegardes sur le NAS local ont été chiffrées est alarmant. Au moins une copie de sauvegarde doit être physiquement déconnectée du réseau (disque dur externe, bande magnétique) ou immuable (cloud object lock).

Erreur n°4 — Ne pas tester les sauvegardes. Comme mentionné dans la mesure 7, 73 % des entreprises n'ont jamais testé la restauration de leurs sauvegardes. Lors d'un incident, elles découvrent que les sauvegardes sont corrompues, incomplètes, ou que personne ne sait comment les restaurer. Testez la restauration trimestriellement et documentez la procédure.

Erreur n°5 — Donner les droits administrateur à tout le monde. Par facilité ou par méconnaissance, de nombreuses PME configurent tous les comptes utilisateurs comme administrateurs locaux. Cette pratique permet à un malware d'installer des logiciels, de désactiver l'antivirus et de se propager sans aucune restriction. Un utilisateur standard n'a jamais besoin de droits administrateur pour son travail quotidien.

Erreur n°6 — Ignorer le départ des collaborateurs. Quand un salarié quitte l'entreprise, son compte reste souvent actif pendant des semaines voire des mois. Ces comptes fantômes sont une aubaine pour les attaquants (compromission) et un risque d'action malveillante (salarié mécontent). Le désactivation du compte doit intervenir le jour même du départ, avant que le collaborateur ne quitte les locaux.

Tableau de suivi de la mise en conformité

Pour suivre votre progression dans la mise en œuvre des 20 mesures, utilisez un tableau de suivi simple avec quatre colonnes : le numéro de la mesure, son statut (non démarré, en cours, terminé), la date de mise en œuvre, et le responsable désigné. Ce tableau doit être revu mensuellement en comité de direction pour maintenir l'engagement de la direction et assurer l'avancement du programme.

Attribuez à chaque mesure un score de maturité sur une échelle de 0 à 3 : 0 = non implémenté, 1 = partiellement implémenté, 2 = implémenté mais non documenté/testé, 3 = implémenté, documenté et testé. L'objectif est d'atteindre un score minimum de 2 pour chaque mesure dans les 6 premiers mois, puis un score de 3 pour les 12 mesures les plus critiques dans l'année. Ce scoring permet de visualiser les progrès, d'identifier les retards et de communiquer objectivement avec la direction et les assureurs.

Pour les PME souhaitant aller plus loin dans la formalisation, la référence française est le guide d'hygiène informatique de l'ANSSI qui détaille 42 mesures de sécurité fondamentales. Nos 20 mesures couvrent les plus critiques et constituent un sous-ensemble pragmatique adapté aux contraintes des PME. Le label ExpertCyber de cybermalveillance.gouv.fr certifie les prestataires compétents pour accompagner les PME dans cette démarche, et le programme France Relance a permis de financer des diagnostics de cybersécurité pour les collectivités et les établissements de santé — renseignez-vous sur les aides similaires disponibles dans votre région.

Questions fréquentes sur la cybersécurité des PME

Ma PME est trop petite pour intéresser les hackers, non ?

Non. 43 % des cyberattaques ciblent les PME, précisément parce qu'elles sont moins bien protégées. Les attaquants utilisent des outils automatisés qui scannent Internet à la recherche de cibles vulnérables, quelle que soit leur taille. De plus, les PME sont souvent ciblées comme porte d'entrée vers leurs clients grands comptes dans une logique d'attaque de la supply chain.

Combien coûte la mise en sécurité d'une PME ?

Avec les outils gratuits et open source disponibles (Bitwarden, pfSense, Gophish, Veeam Community Edition), le coût de base est d'environ 16 000 €/an pour une PME de 30 postes, soit 45 € par poste et par mois. Les quick wins (MFA, gestionnaire de mots de passe, mises à jour automatiques) peuvent être déployés pour moins de 500 € au total. L'aide d'un prestataire pour l'installation initiale coûte entre 3 000 et 8 000 €.

Par quelle mesure dois-je commencer ?

Commencez par les trois mesures au meilleur rapport coût/efficacité : l'activation du MFA sur la messagerie et le VPN (bloque 99,9 % des attaques par mot de passe), le déploiement d'un gestionnaire de mots de passe (élimine les mots de passe faibles et réutilisés), et la mise en place de sauvegardes testées (garantit la récupération en cas de ransomware). Ces trois mesures peuvent être opérationnelles en une semaine.

Suis-je concerné par la directive NIS2 ?

Si votre PME compte plus de 50 salariés ou réalise plus de 10 millions d'euros de chiffre d'affaires, et opère dans l'un des secteurs couverts (énergie, transports, santé, numérique, eau, alimentation, chimie, espace, administration publique, etc.), vous êtes probablement classé « entité importante » sous NIS2. Même si vous n'êtes pas directement concerné, vos clients grands comptes pourraient exiger un niveau de sécurité minimal dans le cadre de la gestion des risques de leur chaîne d'approvisionnement.

Mon assureur exige le MFA et des sauvegardes testées, est-ce vraiment nécessaire ?

Oui, et c'est le minimum. Les assureurs cyber refusent de plus en plus les couvertures aux entreprises ne respectant pas un socle de sécurité minimum. Les prérequis courants sont : MFA sur tous les accès distants et comptes administrateurs, sauvegardes déconnectées et testées, EDR sur tous les endpoints, gestion des correctifs, et formation des utilisateurs. Sans ces mesures, votre couverture sera refusée ou assortie de franchises prohibitives.

Dois-je avoir un responsable cybersécurité dédié dans ma PME ?

Pas nécessairement à temps plein. Désignez un référent cybersécurité parmi vos collaborateurs existants (souvent le responsable IT) qui consacrera 10 à 20 % de son temps à la sécurité. Complétez par un prestataire externe (MSSP — Managed Security Service Provider) pour les tâches spécialisées (audit, tests d'intrusion, gestion des incidents). Pour les PME sans compétence IT interne, un prestataire infogérant avec une offre sécurité intégrée est la solution la plus pragmatique.

Comment convaincre ma direction d'investir en cybersécurité ?

Parlez le langage de la direction : risque financier et conformité réglementaire. Présentez le coût moyen d'un incident (50 000 à 250 000 €), le risque de faillite (60 % des PME dans les 18 mois), les obligations réglementaires (NIS2, RGPD) avec les sanctions associées, et les exigences des assureurs. Proposez un plan progressif commençant par les quick wins à coût minimal, et montrez le ROI de chaque mesure par rapport au coût d'un incident.

Comment puis-je vérifier rapidement le niveau de sécurité de ma PME ?

Utilisez l'outil d'autodiagnostic gratuit de cybermalveillance.gouv.fr qui évalue votre posture de sécurité en quelques minutes. Complétez par un scan de vulnérabilités externes gratuit (Qualys FreeScan, SecurityHeaders.com pour votre site web). Pour une évaluation approfondie, faites réaliser un audit par un prestataire labellisé ExpertCyber.

Inspiré des recommandations de cybermalveillance.gouv.fr (licence Etalab 2.0)

Conclusion

La prévention et la préparation restent les meilleures armes face aux cybermenaces. Téléchargez cette ressource, diffusez-la dans votre organisation et n'hésitez pas à nous contacter pour un accompagnement personnalisé.