58 600 euros. C’est ce que coûte en moyenne une cyberattaque à une PME française, d’après le baromètre CESIN 2025. Dedans : la remise en état des serveurs, les jours de boulot perdus, les frais d’avocat et la com’ de crise pour limiter les dégâts. Pour une boîte de moins de 50 personnes, ça peut représenter trois ou quatre mois de trésorerie. Certaines mettent la clé sous la porte.
Le truc rassurant (si on peut dire), c’est que la plupart de ces attaques n’ont rien de sophistiqué. On ne parle pas de hackers d’État ni de failles zero-day. On parle de mots de passe ridicules, de logiciels jamais mis à jour et de salariés qui cliquent sur un lien douteux un lundi matin à 8h30. Cinq gestes de base suffisent à couper l’herbe sous le pied de la grande majorité des menaces.
1. Des mots de passe solides et un gestionnaire dédié
82 % des violations de données impliquent un facteur humain. Et devinez quel facteur revient le plus souvent ? Le mot de passe minable. “entreprise2024”, “Admin123”, le prénom du patron suivi de sa date de naissance – ça se craque en quelques secondes avec des outils que n’importe qui peut télécharger gratuitement.
Concrètement, voilà ce qu’il faut faire :
- Déployer un gestionnaire de mots de passe pour toute l’équipe. Bitwarden (open source, gratuit en version de base) ou KeePass font parfaitement l’affaire. La version Teams de Bitwarden revient à 4 dollars par utilisateur et par mois – ce n’est pas la mer à boire.
- Générer un mot de passe unique par service via le gestionnaire. Minimum 16 caractères, avec lettres, chiffres et symboles mélangés. Personne n’a besoin de les retenir, c’est tout l’intérêt.
- Choisir un mot de passe maître costaud pour verrouiller le gestionnaire. Une phrase de passe de 5 ou 6 mots tirés au hasard tient mieux la route qu’un truc complexe que vous allez noter sur un post-it.
Le piège classique : le fameux fichier Excel partagé sur le réseau avec tous les mots de passe de la boîte dedans. Autant laisser la clé sous le paillasson.
2. La double authentification sur tous les comptes critiques
Le principe de la double authentification (2FA) est simple : après votre mot de passe, on vous demande un deuxième élément – un code temporaire reçu par SMS, généré par une appli, ou validé par une clé physique. Résultat : même si quelqu’un vole votre mot de passe, il est bloqué sans ce second facteur.
Par où commencer :
- La messagerie pro, en priorité absolue. Celui qui contrôle votre email peut réinitialiser les mots de passe de tous vos autres comptes. C’est la porte d’entrée principale.
- Ensuite, votre hébergement web, votre CMS, vos accès bancaires en ligne et votre stockage cloud. Si vous gérez un site, la sécurité de votre hébergement (mutualisé, VPS ou dédié) passe forcément par là.
- Préférez une appli d’authentification (Google Authenticator, Authy, Microsoft Authenticator) au SMS. Le SMS peut être intercepté – c’est rare, mais ça existe.
Le chiffre qui parle : Microsoft estime que la 2FA bloque 99,9 % des attaques automatisées sur les comptes. Aucune autre mesure n’offre un rapport effort/protection aussi délirant.
3. Les mises à jour : le réflexe que tout le monde repousse
On connaît tous la chanson. La notification apparaît, on clique sur “Reporter”. Sauf que les mises à jour corrigent des failles connues. Et quand l’éditeur publie le correctif, la faille devient publique – les attaquants s’y engouffrent. WannaCry, le ransomware qui a mis à genoux des centaines de milliers de machines en 2017, exploitait une brèche Windows corrigée deux mois plus tôt. Les victimes avaient juste repoussé la mise à jour.
Ce qu’il faut faire (vraiment) :
- Activer les mises à jour automatiques partout : système d’exploitation, navigateurs, logiciels métier. Pas d’exception.
- Bloquer un créneau par semaine pour traiter celles qui demandent un redémarrage.
- Penser aux équipements réseau – routeur, pare-feu, NAS. Leurs firmwares ne se mettent quasiment jamais à jour tout seuls, et c’est souvent le maillon oublié.
- Désinstaller ce que vous n’utilisez plus. Chaque logiciel installé, c’est une surface d’attaque supplémentaire.
La règle d’or : notification de mise à jour = action immédiate. Pas demain. Pas vendredi. Maintenant (ou dans l’heure).
4. Les sauvegardes : votre assurance contre le ransomware
Un ransomware chiffre vos fichiers et réclame une rançon pour vous rendre l’accès. Avec une sauvegarde récente et qui fonctionne, vous restaurez vos données et vous envoyez balader l’attaquant. Sans sauvegarde ? Vous êtes pieds et poings liés. Et même en payant, rien n’est garanti – seulement 65 % des entreprises qui passent à la caisse récupèrent effectivement leurs fichiers.
Ce qui doit être en place :
- La fameuse règle du 3-2-1 : trois copies de vos données, deux supports différents, une copie hors site (cloud ou disque externe stocké ailleurs que dans vos locaux).
- Des sauvegardes automatiques, chaque jour. Ne comptez jamais sur la bonne volonté humaine pour une tâche quotidienne répétitive.
- Un test de restauration par trimestre. Minimum. Une sauvegarde jamais testée, c’est comme un extincteur vide : ça rassure jusqu’au jour où on en a besoin.
- Le support de sauvegarde doit être déconnecté du réseau principal. Sinon, un ransomware le chiffre aussi – et votre filet de sécurité disparaît.
5. La sensibilisation au phishing : le maillon humain
73 % des attaques contre les entreprises françaises démarrent par du phishing. Un faux email de votre banque, un SMS soi-disant envoyé par l’URSSAF, un message LinkedIn d’un recruteur bidon. Les techniques ont évolué, comme le détaille le guide de prévention du phishing de cybermalveillance.gouv.fr : oubliez les fautes d’orthographe grossières d’il y a dix ans. Aujourd’hui, les messages sont impeccables, parfois pondus par des outils d’intelligence artificielle.
Comment s’en protéger concrètement :
- Former toute l’équipe à repérer les signaux louches : adresse d’expéditeur bizarre, ton alarmiste (“votre compte sera supprimé dans 24h”), lien qui pointe ailleurs que ce qu’il affiche, pièce jointe sortie de nulle part.
- Poser une règle non négociable : on ne clique jamais sur un lien dans un email pour accéder à un service sensible. On ouvre le navigateur, on tape l’adresse soi-même. Point.
- Créer un climat où signaler une erreur n’est pas puni. Un employé qui dit “j’ai cliqué sur un truc suspect” permet de réagir vite. Un employé qui se tait par peur de se faire engueuler laisse l’attaquant avancer tranquillement dans votre réseau.
Checklist cybersécurité pour PME
Un calendrier réaliste pour tout mettre en place sans se noyer :
Semaine 1 - Le plus urgent :
- Installer un gestionnaire de mots de passe et y migrer les accès critiques
- Activer la 2FA sur la messagerie pro et les outils bancaires
- Vérifier que les mises à jour automatiques tournent bien sur chaque poste
Semaine 2 - Sauvegardes :
- Lancer une sauvegarde automatique quotidienne (locale + cloud)
- Tester la restauration d’un fichier – juste un – pour s’assurer que le processus tient la route
Semaine 3 - Sensibilisation :
- Réunir l’équipe 30 minutes. Montrer des vrais exemples de phishing. Pas de la théorie : des captures d’écran, des cas concrets.
- Mettre noir sur blanc la procédure de signalement d’un email suspect
Le mois d’après :
- Passer en revue les accès : qui accède à quoi, avec quels droits – et surtout, est-ce que c’est encore justifié ?
- Couper les comptes des anciens collaborateurs (oui, il y en a toujours qui traînent)
- Vérifier les firmwares des équipements réseau
Le vrai coût de la négligence
58 600 euros en moyenne, mais la réalité varie énormément. Un ransomware sur une TPE de 10 personnes peut coûter entre 15 000 et 80 000 euros si l’activité s’arrête plusieurs jours. En face, le coût des mesures décrites ici ? Quelques dizaines d’euros par mois pour les outils, et quelques heures de mise en place. Le calcul est vite fait.
La cybersécurité, ce n’est pas une affaire de budget à six chiffres. C’est une question de rigueur sur les fondamentaux. Les cinq gestes de cet article ne vous protégeront pas contre un groupe de hackers organisés qui vous cible spécifiquement. Mais ils neutralisent les attaques opportunistes – celles qui ratissent large, au hasard, et qui font le plus de dégâts chez les entreprises qui n’ont rien prévu.