En 2025, 43 % des cyberattaques en France ont visé des PME et TPE. Le mythe selon lequel les hackers ne s'intéressent qu'aux grandes entreprises est définitivement enterré. Les PME sont des cibles de choix précisément parce qu'elles sont moins protégées : budgets cybersécurité inexistants, systèmes non mis à jour, mots de passe faibles, et surtout un sentiment d'invulnérabilité qui les rend particulièrement vulnérables.
Le coût moyen d'une cyberattaque pour une PME française est estimé à 50 000 euros par l'ANSSI. Pour 30 % des PME victimes d'un ransomware, l'attaque conduit à la cessation d'activité dans les 6 mois. Ce ne sont pas des statistiques abstraites — ce sont des entreprises qui ferment, des emplois qui disparaissent et des dirigeants qui perdent tout.
La bonne nouvelle : 80 % des cyberattaques peuvent être évitées par des mesures simples et peu coûteuses. Voici les 10 réflexes essentiels.
Réflexe 1 : Des mots de passe robustes et uniques
Ça semble basique, et pourtant 81 % des violations de données impliquent des mots de passe faibles ou réutilisés (rapport Verizon DBIR 2025). « Admin123 », « Entreprise2026 » ou le nom du chat du directeur ne sont pas des mots de passe — ce sont des invitations.
La règle : chaque compte doit avoir un mot de passe unique d'au moins 12 caractères, combinant majuscules, minuscules, chiffres et caractères spéciaux. Impossible de tout retenir ? C'est normal. Utilisez un gestionnaire de mots de passe.
Les outils : Bitwarden (open source, gratuit pour les particuliers, 3 $/utilisateur/mois pour les entreprises), 1Password (7,99 $/utilisateur/mois en entreprise), KeePass (gratuit, open source, hors ligne). Ces outils génèrent des mots de passe aléatoires et les stockent de manière chiffrée. Le seul mot de passe à retenir est le mot de passe maître.
Politique d'entreprise : imposez l'utilisation d'un gestionnaire de mots de passe à tous les salariés. C'est un investissement de 3 à 8 €/utilisateur/mois qui élimine le risque numéro un.
- Activer l'authentification à deux facteurs (2FA) sur tous les comptes.
- Former les employés à détecter les emails de phishing.
- Mettre en place des sauvegardes automatiques quotidiennes hors ligne.
- Mettre à jour systématiquement tous les logiciels et systèmes.
- Installer un antivirus professionnel sur tous les postes.
- Définir une politique de mots de passe robustes (12+ caractères).
Réflexe 2 : L'authentification à deux facteurs (2FA)
Même avec un mot de passe robuste, si celui-ci est compromis (phishing, fuite de base de données), votre compte est exposé. L'authentification à deux facteurs ajoute une couche de sécurité : en plus du mot de passe, vous devez confirmer votre identité via un code temporaire (SMS, application, clé physique).
La règle : activez le 2FA sur tous les comptes critiques — messagerie, banque en ligne, ERP, CRM, accès serveur, réseaux sociaux professionnels, hébergement web.
Préférez les applications d'authentification (Google Authenticator, Microsoft Authenticator, Authy) aux SMS. Les SMS peuvent être interceptés via des attaques SIM swapping. Les applications sont plus sûres. Pour une sécurité maximale, utilisez des clés physiques FIDO2 (YubiKey, environ 50 €/pièce).
Réflexe 3 : Mises à jour systématiques
Les mises à jour de sécurité corrigent les failles exploitées par les hackers. Ne pas les appliquer, c'est laisser la porte ouverte en sachant que des cambrioleurs connaissent l'adresse.
La règle : activez les mises à jour automatiques sur tous les postes de travail, serveurs et équipements réseau. Systèmes d'exploitation (Windows, macOS, Linux), navigateurs, logiciels métier, firmware des routeurs et points d'accès WiFi — tout doit être à jour.
Délai maximum : les mises à jour de sécurité critiques doivent être appliquées dans les 48 heures suivant leur publication. Les mises à jour mineures peuvent attendre une semaine maximum.
Les logiciels obsolètes : si vous utilisez encore Windows 7, Windows Server 2012 ou des versions de PHP antérieures à 8.1, vous êtes en danger. Ces systèmes ne reçoivent plus de correctifs de sécurité et sont des portes d'entrée connues des attaquants.
Réflexe 4 : Sauvegardes régulières et testées
La sauvegarde est votre dernière ligne de défense contre les ransomwares. Si un ransomware chiffre vos fichiers, votre seule option sans payer la rançon est de restaurer à partir d'une sauvegarde. Encore faut-il en avoir une qui fonctionne. Pour en savoir plus, consultez notre article sur Comparatif ERP pour PME 2026.
La règle 3-2-1 : 3 copies de vos données, sur 2 supports différents, dont 1 hors site (cloud ou support physique stocké dans un autre lieu). Cette règle garantit que même en cas de destruction physique de vos locaux (incendie, inondation), vos données survivent.
Fréquence : sauvegarde quotidienne pour les données métier (comptabilité, CRM, fichiers partagés). Sauvegarde hebdomadaire complète du système. Rétention de 30 jours minimum (pour pouvoir remonter dans le temps si un ransomware n'est détecté que tardivement).
Testez vos sauvegardes. Une sauvegarde non testée est une sauvegarde dont vous ne savez pas si elle fonctionne. Planifiez un test de restauration au moins une fois par trimestre. Restaurez un fichier aléatoire et vérifiez son intégrité.
Les outils : Veeam (référence pour les PME, à partir de 2 €/VM/mois), Acronis Cyber Protect (sauvegarde + antivirus intégré), ou simplement un script rsync + un NAS Synology + une réplication cloud (Backblaze B2 à 0,005 $/Go/mois).
Réflexe 5 : Former les collaborateurs au phishing
Le phishing (hameçonnage) reste le vecteur d'attaque numéro un. Un email qui imite votre banque, votre fournisseur ou votre patron, un lien cliqué, un identifiant saisi sur un faux site — et le hacker est dans votre système. En 2025, les attaques de phishing sont devenues sophistiquées grâce à l'IA générative : emails parfaitement rédigés, sans faute d'orthographe, avec des logos et des mises en page identiques aux originaux.
La règle : formez tous les collaborateurs au moins une fois par an. Organisez des simulations de phishing (envoi de faux emails de phishing pour tester la vigilance). Mettez en place un processus simple de signalement (bouton « Signaler un phishing » dans la messagerie).
Les réflexes à enseigner : vérifier l'adresse email de l'expéditeur (pas seulement le nom affiché). Ne jamais cliquer sur un lien dans un email inattendu — aller directement sur le site officiel. Ne jamais fournir d'identifiants par email. En cas de doute, appeler l'expéditeur présumé par téléphone.
Les outils : KnowBe4, Cofense, Gophish (open source) permettent de lancer des campagnes de simulation de phishing et de former les collaborateurs de manière interactive. Comptez 3 à 8 €/utilisateur/mois pour les solutions commerciales.
Réflexe 6 : Segmenter le réseau et gérer les accès
Le principe du moindre privilège : chaque collaborateur ne doit avoir accès qu'aux données et systèmes nécessaires à sa fonction. Le stagiaire du service marketing n'a pas besoin d'accéder au serveur comptable. Si son poste est compromis, les dégâts sont limités à son périmètre d'accès.
Actions concrètes : créez des comptes nominatifs (jamais de compte « admin » partagé). Définissez des groupes d'accès par service. Révoquez immédiatement les accès des collaborateurs qui quittent l'entreprise. Segmentez votre réseau WiFi (un réseau pour les employés, un réseau séparé pour les visiteurs).
Pour les PME : un Active Directory ou un service cloud IAM (Google Workspace, Microsoft 365, Okta) permet de gérer centralement les accès. C'est un investissement qui se rentabilise dès la première violation évitée.
Réflexe 7 : Chiffrer les données sensibles
Le chiffrement rend vos données illisibles sans la clé de déchiffrement. Même si un hacker vole un disque dur ou intercepte une communication, les données chiffrées sont inutilisables.
Chiffrement des disques : activez BitLocker (Windows) ou FileVault (macOS) sur tous les postes de travail, en particulier les ordinateurs portables. Un laptop volé dans un train est un incident matériel. Un laptop volé avec des données clients non chiffrées est une violation de données au sens du RGPD.
Chiffrement des communications : utilisez HTTPS pour votre site web (certificat SSL/TLS gratuit via Let's Encrypt). Utilisez un VPN pour les accès distants. Chiffrez les emails sensibles (PGP, S/MIME ou simplement le chiffrement intégré de Microsoft 365).
Chiffrement des sauvegardes : vos sauvegardes doivent être chiffrées, surtout celles stockées hors site ou dans le cloud. Un backup non chiffré sur un serveur cloud est accessible à quiconque compromet le compte cloud. Pour en savoir plus, consultez notre article sur CRM pour PME.
Réflexe 8 : Installer un antivirus et un pare-feu
Ce n'est plus suffisant seul, mais c'est toujours nécessaire. Un antivirus détecte les malwares connus, un pare-feu filtre le trafic réseau non autorisé.
Antivirus : Windows Defender (intégré à Windows) offre une protection correcte pour les postes de travail. Pour une protection plus complète (anti-ransomware, EDR, gestion centralisée), optez pour une solution entreprise : ESET PROTECT (2 à 4 €/poste/mois), Bitdefender GravityZone (2 à 5 €/poste/mois), CrowdStrike Falcon (8 à 15 €/poste/mois pour les PME exigeantes).
Pare-feu : votre box internet intègre un pare-feu basique. Pour une PME de plus de 10 postes, un pare-feu dédié (Fortinet FortiGate, Palo Alto, pfSense open source) est recommandé. Il filtre le trafic, bloque les sites malveillants et peut détecter les communications suspectes.
Réflexe 9 : Préparer un plan de réponse aux incidents
Malgré toutes les précautions, un incident peut arriver. La question n'est pas « si » mais « quand ». Avoir un plan de réponse préparé fait la différence entre une crise gérée et une catastrophe.
Le plan doit couvrir : qui contacter en premier (responsable IT, prestataire cybersécurité, direction). Comment isoler les systèmes compromis (déconnecter du réseau, pas éteindre). Comment communiquer en interne (informer les collaborateurs sans créer de panique). Comment notifier les autorités (CNIL dans les 72h si données personnelles touchées, dépôt de plainte auprès de la police ou gendarmerie). Comment restaurer les systèmes à partir des sauvegardes. Comment communiquer en externe (clients, partenaires, médias si nécessaire).
Testez le plan. Au moins une fois par an, simulez un incident et déroulez le plan de réponse. Un plan non testé est un plan qui ne marche pas le jour J.
Réflexe 10 : S'entourer d'experts
La cybersécurité est un métier. Si vous n'avez pas de compétences internes, externalisez. Plusieurs options existent pour les PME :
Le prestataire informatique local : votre prestataire IT habituel peut assurer un premier niveau de sécurité (mises à jour, sauvegardes, antivirus, pare-feu). Vérifiez qu'il a des compétences en cybersécurité — ce n'est pas la même chose que de l'infogérance classique.
Les MSSP (Managed Security Service Providers) : des prestataires spécialisés en cybersécurité qui surveillent votre réseau 24/7, détectent les menaces et interviennent en cas d'incident. Comptez 500 à 2 000 €/mois pour une PME de 20 à 50 postes.
Le dispositif « Diagnostic Cybersécurité » de Bpifrance : un audit cybersécurité subventionné pour les PME, réalisé par un prestataire agréé. Le coût résiduel est de 2 000 à 4 000 € (sur un total de 8 000 à 12 000 €). C'est un excellent point de départ pour identifier vos vulnérabilités.
L'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) : elle publie des guides gratuits et très accessibles pour les PME (« Guide d'hygiène informatique », « Attaques par rançongiciels, tous concernés »). À télécharger et lire absolument sur cyber.gouv.fr.
Le budget cybersécurité d'une PME
Combien investir ? La recommandation de l'ANSSI est de consacrer 5 à 10 % du budget IT à la cybersécurité. Pour une PME de 20 salariés avec un budget IT annuel de 50 000 €, cela représente 2 500 à 5 000 €/an. C'est le prix d'un gestionnaire de mots de passe, d'un antivirus entreprise, d'une sauvegarde cloud, d'une formation phishing annuelle et d'un audit de sécurité tous les 2 ans.
Comparé au coût moyen d'une attaque (50 000 €), l'investissement en prévention est 10 à 20 fois inférieur au coût de la réparation. C'est le meilleur ROI que vous pouvez obtenir.
| Menace | Fréquence PME | Protection clé |
|---|---|---|
| Phishing | 80 % des attaques | Formation + filtrage email |
| Ransomware | 1 PME sur 5 | Sauvegarde hors ligne |
| Compromission email | 15 % des attaques | 2FA sur tous les comptes |
| Fuite de données | 10 % des attaques | Chiffrement + accès restreint |
En résumé
La cybersécurité n'est plus une option pour les PME — c'est une obligation de survie. Les 10 réflexes listés ici ne demandent ni des compétences techniques avancées, ni un budget conséquent. Ils demandent de la discipline, de la rigueur et une prise de conscience au niveau de la direction. Un dirigeant qui considère la cybersécurité comme « un truc d'informaticien » met son entreprise en danger. Faites de la cybersécurité une priorité de direction, pas un sujet relégué au service informatique.
