Une PME sur deux pense encore que les pirates ne s’intéressent qu’aux grands groupes. C’est faux, et les chiffres le rappellent sans ménagement : selon l’ANSSI, 43 % des victimes de cyberattaques en France sont des petites et moyennes entreprises. Pas des multinationales. Des sociétés de 5, 20 ou 80 salariés, souvent sans informaticien à demeure.
La raison est simple. Un attaquant cherche la porte la plus facile à ouvrir, pas la plus prestigieuse. Et une PME qui n’a jamais vraiment réfléchi à la protection de ses données, c’est une porte grande ouverte.
Ce guide ne vous demande pas de devenir expert en sécurité informatique. Il rassemble les gestes qui comptent vraiment : les mots de passe, les sauvegardes, la formation des équipes, les outils à installer. Du concret, applicable même quand le budget tient sur un coin de table.
Pourquoi les PME sont devenues la cible préférée des pirates
Les grandes entreprises ont des équipes dédiées, des pare-feux à plusieurs dizaines de milliers d’euros, des procédures testées. Une PME, elle, fonctionne souvent avec le matériel acheté il y a quatre ans et un antivirus gratuit installé par habitude.
Les pirates le savent. Ils automatisent leurs attaques et ratissent large. Un ransomware ne choisit pas sa victime à la main : il se propage, chiffre tout ce qu’il trouve, et réclame une rançon. Une boulangerie avec son logiciel de caisse subit le même mécanisme qu’un cabinet comptable.
Trois portes d’entrée reviennent en boucle. Le phishing, d’abord : un faux mail qui imite votre banque ou un fournisseur. Les mots de passe faibles ensuite, devinés ou rachetés sur des fuites de données. Et les failles non corrigées, ces mises à jour qu’on repousse depuis des mois parce que « ça marche très bien comme ça ».
Le problème, c’est qu’une PME se croit trop petite pour intéresser qui que ce soit. Cette fausse tranquillité est exactement ce qui la rend vulnérable.
Ce qu’une cyberattaque coûte vraiment à une entreprise
On parle souvent du montant de la rançon. Mais la rançon n’est que la partie visible.
Quand un rançongiciel chiffre vos fichiers, votre activité s’arrête. Plus de devis, plus de facturation, plus d’accès aux dossiers clients. Pour une PME, chaque jour d’arrêt se compte en chiffre d’affaires perdu. Comptez aussi l’intervention d’un prestataire pour remettre les systèmes d’aplomb, la reconstitution des données quand c’est possible, et le temps passé par toute l’équipe à rattraper le retard.
Il y a ensuite ce qui ne se chiffre pas immédiatement. Un client dont les coordonnées bancaires ont fuité ne revient pas toujours. Un fournisseur qui apprend que vous avez été piraté regarde votre sérieux d’un autre œil. La réputation met des années à se construire et quelques jours à s’abîmer.
Un audit de sécurité réalisé par un prestataire coûte entre 2 000 et 10 000 € selon la taille de l’entreprise. Ça paraît cher sur le moment. À côté d’une semaine d’arrêt total, c’est une assurance. L’ANSSI recommande d’ailleurs de consacrer 5 à 10 % du budget informatique à la sécurité. Beaucoup de PME sont très loin du compte.
La sécurisation des données financières passe aussi par un logiciel comptable adapté.
Mots de passe et accès : le premier rempart de votre cybersécurité
C’est la base, et c’est pourtant là que tout dérape le plus souvent. Le même mot de passe utilisé partout, noté sur un post-it sous le clavier, ou pire, partagé par mail entre collègues.
Quelques règles simples changent radicalement la donne :
- Un mot de passe différent pour chaque service, d’au moins 12 caractères, idéalement 16. Une phrase facile à retenir mais longue vaut mieux qu’un charabia impossible.
- Un gestionnaire de mots de passe pour stocker tout ça. Bitwarden, 1Password ou KeePass génèrent et retiennent des mots de passe complexes à votre place. Vous n’en mémorisez plus qu’un seul, celui du coffre.
- La double authentification activée partout où c’est possible. Même si un pirate récupère votre mot de passe, il lui manque le code reçu sur votre téléphone. C’est la mesure la plus efficace contre le vol de compte, et elle est gratuite.
Pensez aussi aux accès. Chaque salarié n’a besoin que de ce qui concerne son travail, rien de plus. Le commercial n’a pas à toucher à la comptabilité, le stagiaire n’a pas les droits administrateur. Et le jour où quelqu’un quitte l’entreprise, ses accès doivent être coupés le jour même. Pas la semaine d’après.
Sauvegardes : la bouée qui sauve quand tout le reste a lâché
Si vous ne deviez retenir qu’une chose de cet article, ce serait celle-ci. Une bonne sauvegarde, c’est la différence entre un mauvais souvenir et la fermeture de l’entreprise.
La référence tient en trois chiffres : la règle 3-2-1. Trois copies de vos données, sur deux supports différents, dont une conservée hors de vos locaux. Concrètement, ça peut être votre serveur, un disque externe et un cloud sécurisé. Si un ransomware chiffre votre serveur et le disque branché dessus, la copie distante reste intacte.
Pour sécuriser davantage vos données, une migration vers le cloud peut être envisagée.
Automatisez tout ça. Une sauvegarde qui dépend de quelqu’un qui pense à brancher un disque chaque vendredi soir finira par être oubliée. Programmez-la pour qu’elle tourne seule, tous les jours.
Et puis testez-la. C’est le détail que presque personne ne fait. Une sauvegarde qu’on n’a jamais essayé de restaurer est une promesse, pas une garantie. Une fois par trimestre, prenez une heure pour vérifier qu’on peut vraiment récupérer un fichier. Le jour de l’incident, ce n’est pas le moment de découvrir que les sauvegardes étaient corrompues depuis six mois.
Former ses équipes, le maillon qu’on oublie toujours
On peut installer les meilleurs outils du monde. Il suffit d’un clic sur le mauvais lien pour que tout s’effondre.
Le phishing reste le vecteur d’attaque numéro un, et il vise vos collaborateurs, pas vos machines. Un mail qui imite parfaitement votre logiciel de paie, une fausse facture, un message urgent du « dirigeant » qui demande un virement immédiat. Sous pression, n’importe qui peut tomber dans le piège.
La formation ne demande pas un grand plan. Apprenez à vos équipes à repérer les signaux qui doivent alerter : un expéditeur bizarre, une urgence artificielle (« votre compte sera bloqué dans 2 heures »), des fautes d’orthographe, un lien qui ne mène pas où il prétend. La règle d’or tient en une phrase : dans le doute, on ne clique pas, on appelle.
Certaines entreprises organisent de fausses campagnes de phishing pour tester leurs salariés. L’idée n’est pas de piéger les gens pour les sanctionner, mais de transformer une erreur sans conséquence en réflexe durable. Quelqu’un qui s’est fait avoir une fois sur un faux mail interne s’en souviendra longtemps.
Le facteur humain n’est pas une faiblesse à cacher. C’est votre meilleure défense quand il est bien préparé.
Les outils de protection à mettre en place dans une PME
Passons au matériel et aux logiciels. Pas besoin d’une usine à gaz, mais quelques briques de base ne se discutent pas.
Un antivirus sérieux sur chaque poste, à jour. Les solutions modernes, dites EDR, vont plus loin qu’un antivirus classique : elles détectent les comportements anormaux, pas seulement les virus déjà connus. Pour une PME, c’est un investissement raisonnable et utile.
Les mises à jour, ensuite. Activez-les en automatique partout : systèmes d’exploitation, navigateurs, logiciels métier. Une faille non corrigée est une fenêtre laissée ouverte. La plupart des grosses attaques exploitent des vulnérabilités connues depuis des mois, pour lesquelles un correctif existait déjà.
Le chiffrement protège vos données si un ordinateur portable est volé ou perdu. BitLocker sous Windows, FileVault sous macOS : c’est intégré, gratuit, et il suffit de l’activer. Sans ça, n’importe qui peut lire le contenu d’un disque dérobé.
Un pare-feu correctement configuré filtre ce qui entre et sort de votre réseau. Et pour les accès à distance, devenus la norme avec le télétravail, un VPN d’entreprise évite que les connexions transitent en clair sur le wifi d’un café.
Un mot sur le matériel lui-même. Un parc d’ordinateurs trop ancien, qui ne reçoit plus de mises à jour de sécurité, devient un risque en soi. Renouveler ses postes de travail au bon moment fait partie de la stratégie de sécurité, au même titre que le reste. Un PC sous un système d’exploitation qui n’est plus maintenu, c’est une porte qu’aucun antivirus ne refermera complètement.
Cybersécurité et RGPD : ce que la loi vous impose
Protéger les données, ce n’est pas qu’une bonne pratique. C’est une obligation légale dès que vous traitez des informations personnelles : fichiers clients, données salariés, coordonnées de prospects.
Le RGPD vous demande de mettre en place des mesures « appropriées » pour sécuriser ces données. En cas de fuite, vous devez notifier la CNIL sous 72 heures, et prévenir les personnes concernées si le risque est élevé. Ignorer ces règles peut coûter cher : les sanctions de la CNIL grimpent jusqu’à 4 % du chiffre d’affaires annuel mondial pour les manquements les plus graves.
La bonne nouvelle ? Les mesures décrites dans cet article répondent déjà à une grande partie de ces exigences. Sauvegardes, chiffrement, gestion des accès, sensibilisation des équipes : en sécurisant votre entreprise, vous vous mettez aussi en conformité. La CNIL et cybermalveillance.gouv.fr publient des fiches pratiques gratuites pour vous aider à formaliser tout ça.
Que faire si votre entreprise est déjà piratée
Ça arrive. Et la panique est mauvaise conseillère. Voici la marche à suivre si vous découvrez une intrusion ou un fichier chiffré.
Isolez d’abord la machine touchée. Débranchez le câble réseau, coupez le wifi, mais n’éteignez pas l’ordinateur tout de suite : certaines traces utiles pour comprendre l’attaque disparaissent à l’extinction. Le but est d’empêcher la propagation aux autres postes.
Ne payez pas la rançon. Rien ne garantit que vous récupérerez vos données, et payer désigne votre entreprise comme une cible qui cède. C’est aussi la position officielle des autorités françaises.
Contactez un professionnel et signalez l’incident. Le site cybermalveillance.gouv.fr met en relation avec des prestataires référencés et propose une assistance gratuite. Si des données personnelles ont fuité, prévenez la CNIL dans les 72 heures. Et déposez plainte : c’est nécessaire pour l’assurance et pour les suites judiciaires.
C’est là que vos sauvegardes entrent en jeu. Si elles sont saines et testées, vous restaurez vos systèmes et vous repartez. Sinon… vous comprenez maintenant pourquoi on insiste autant dessus.
Par où commencer : un plan de cybersécurité en 30 jours
Tout faire d’un coup, c’est le meilleur moyen de ne rien faire. Voici un ordre de priorité réaliste pour une PME qui part de zéro.
| Période | Actions | Coût |
|---|---|---|
| Semaine 1 | Activer la double authentification sur tous les comptes critiques (mail, banque, cloud) | Gratuit |
| Semaine 2 | Mettre en place un gestionnaire de mots de passe pour toute l’équipe | Faible |
| Semaine 3 | Configurer des sauvegardes automatiques selon la règle 3-2-1 et tester une restauration | Variable |
| Semaine 4 | Sensibiliser les équipes au phishing et activer les mises à jour automatiques | Gratuit |
Ces quatre semaines couvrent l’essentiel du risque pour un budget proche de zéro. Le reste, comme l’audit complet, le pare-feu professionnel ou la segmentation du réseau, viendra ensuite, quand les bases seront solides.
Commencez par la double authentification et les sauvegardes. Si vous ne deviez faire que deux choses cette semaine, ce serait celles-là. À elles seules, elles écartent la majorité des scénarios catastrophe.
Questions fréquentes sur la cybersécurité en entreprise
▸Les PME sont-elles vraiment ciblées par les cyberattaques ?
▸Quel budget prévoir pour la cybersécurité d’une PME ?
▸Quelles sont les premières mesures de cybersécurité à mettre en place ?
▸Comment protéger les données de mes clients dans une PME ?
▸Faut-il un informaticien dédié pour assurer la cybersécurité ?
Par quoi commencer demain matin
Après avoir vu passer pas mal d’entreprises se faire surprendre, le constat est toujours le même : ce ne sont presque jamais les attaques sophistiquées qui font mal, mais les négligences ordinaires. Un mot de passe partagé, une sauvegarde jamais testée, un mail ouvert un peu vite.
La cybersécurité d’une PME ne se joue pas sur des outils hors de prix. Elle se joue sur quelques réflexes tenus dans la durée. Le point faible, ce n’est pas le budget, c’est la régularité. Activer la double authentification prend dix minutes. Vérifier ses sauvegardes, une heure par trimestre. C’est peu, au regard de ce qu’une attaque peut emporter.
Commencez petit, mais commencez. Le pire moment pour s’occuper de sa sécurité, c’est le lendemain de l’attaque.


