.png){kind=small}
Sécurité informatique en PME : les 5 bases que la moitié des entreprises négligent
Ransomware, phishing, fuite de données — les PME sont devenues des cibles privilégiées. Non pas parce qu'elles sont intéressantes, mais parce qu'elles sont accessibles. Voici ce qui protège vraiment.
En 2024, plus de la moitié des cyberattaques visaient des entreprises de moins de 250 salariés. La raison est simple : elles ont des données qui valent quelque chose, et une sécurité souvent équivalente à celle d'un particulier.
Les mesures de base qui neutralisent la grande majorité des risques ne sont ni complexes ni coûteuses. Elles demandent de l'organisation et un peu de méthode.
1. Gestion des accès et des mots de passe
C'est le vecteur d'attaque le plus fréquent. Un mot de passe réutilisé sur plusieurs services, une fuite chez un prestataire : et l'attaquant a accès à votre messagerie, votre comptabilité, votre CRM.
La réponse n'est pas de demander à vos collaborateurs d'inventer des mots de passe complexes. C'est de leur donner un gestionnaire de mots de passe et d'imposer des mots de passe uniques par service. Une fois en place, personne n'y pense plus.
Un collaborateur qui part avec son accès toujours actif reste un risque pendant des mois. Désactiver les accès le jour du départ n'est pas optionnel. C'est une protection élémentaire que la plupart des PME n'ont pas formalisée.
2. Mise à jour des systèmes
La majorité des ransomwares exploitent des vulnérabilités connues : connues au sens où le correctif existe depuis plusieurs mois. Les systèmes non mis à jour sont des portes ouvertes documentées.
Un calendrier de mises à jour planifiées, testées sur un environnement non critique, et appliquées dans un délai raisonnable suffit à écarter une grande partie des risques.
3. Segmentation du réseau
Si tous vos équipements sont sur le même réseau, un poste infecté peut atteindre vos serveurs, votre NAS, vos sauvegardes. C'est exactement comme ça que les ransomwares se propagent à toute une entreprise en quelques minutes.
Séparer le réseau des visiteurs et des téléphones personnels du réseau de production, c'est une configuration à faire une fois qui réduit la surface d'attaque de façon significative.
4. Sensibilisation au phishing
Les filtres anti-spam ne suffisent pas. Un email qui ressemble parfaitement à un message de votre banque, votre expert-comptable ou un client arrive quand même.
Les attaques ciblées préparent le terrain : l'attaquant consulte votre site, votre LinkedIn, vos actualités avant d'envoyer le mail. Le message arrive au bon moment, avec le bon prétexte, au bon interlocuteur.
La sensibilisation ne se fait pas avec un document envoyé une fois par an. Elle se fait avec des exemples concrets, régulièrement, et un canal clair pour signaler les mails suspects sans avoir peur d'être jugé.
5. Plan de réponse à incident
Quand une attaque survient, chaque minute compte. Sans plan, les premières réactions sont souvent les mauvaises : redémarrer les serveurs, brancher des disques supplémentaires, appeler tout le monde en même temps.
Un plan minimal tient sur une page : qui appeler en premier, quels systèmes isoler immédiatement, comment documenter ce qui se passe, et quand notifier la CNIL en cas de fuite de données personnelles. Ce plan, il faut l'avoir avant l'incident.
La CNIL impose une notification sous 72 heures en cas de violation de données personnelles. Ce délai court dès que vous avez connaissance de l'incident. Avoir identifié votre contact CNIL à l'avance évite de perdre du temps dans l'urgence.
Ce que ça représente en investissement
Ces cinq mesures ne demandent pas de budget important. Elles demandent du temps, de la méthode, et un prestataire qui sait les mettre en place correctement.
Le coût d'un ransomware pour une PME moyenne se chiffre en dizaines de milliers d'euros, entre la rançon, les temps d'arrêt, la perte de clients et l'impact sur l'image. La prévention coûte une fraction de ça.
ITProject réalise des audits de sécurité pour TPE/PME et met en place les mesures de protection adaptées à votre contexte, pas à celui d'une grande entreprise.