Accueil / Ressources / Infogérance

Cybersécurité PME : les 7 mesures que vous devriez déjà avoir en place

Cybersécurité PME : les 7 mesures que vous devriez déjà avoir en place

Pas besoin d’un budget de multinationale - mais d’une vraie stratégie, oui.

Chaque semaine en France, des PME se font chiffrer leurs données par un ransomware, voler leurs identifiants, ou bloquer leur activité pendant plusieurs jours. Ce ne sont pas des grandes banques ni des opérateurs d’infrastructure critique. Ce sont des cabinets d’expertise comptable de 15 personnes, des agences de communication de 30 collaborateurs, des cabinets médicaux, des PME industrielles de province.

La raison ? Elles étaient perçues - parfois à raison - comme des cibles faciles.

La cybersécurité PME n’est plus un sujet réservé aux DSI avec armée de consultants. C’est une condition sine qua non pour exercer sereinement, honorer vos contrats, et ne pas vous retrouver un lundi matin avec un écran noir et un message de rançon en anglais.

Voici les 7 mesures que toute petite entreprise devrait avoir en place aujourd’hui. Concrètes, budgétées, opérationnelles.


1. L’authentification multi-facteurs (MFA) - la mesure la plus rentable de cette liste

Si vous ne devez retenir qu’une seule mesure de cet article, c’est celle-là.

Le MFA (Multi-Factor Authentication) consiste à exiger, en plus du mot de passe, une deuxième preuve d’identité : un code temporaire reçu par SMS, une notification sur une application (Microsoft Authenticator, Google Authenticator), une clé physique (YubiKey). Résultat : même si un attaquant vole ou devine le mot de passe d’un de vos collaborateurs, il ne peut pas se connecter sans le deuxième facteur.

C’est trivial à déployer sur Microsoft 365, Google Workspace, votre VPN, votre interface de gestion - et ça bloque statistiquement plus de 99 % des attaques basées sur des identifiants compromis, selon Microsoft.

Ce que ça implique en pratique : activer le MFA sur tous les comptes à privilèges en priorité (direction, RH, comptabilité, administrateurs IT), puis l’étendre à l’ensemble des utilisateurs. La résistance initiale est réelle - “c’est contraignant” - mais elle disparaît en deux semaines.

Budget indicatif : inclus dans Microsoft 365 Business Standard/Premium et Google Workspace. Pour les comptes hors suite Microsoft/Google, des solutions comme Cisco Duo coûtent entre 3 € et 6 € par utilisateur/mois.


2. Le firewall d’entreprise - pas la box de l’opérateur

La Livebox Pro ou la Bbox Business que votre opérateur a installée un mardi entre 8h et midi, ce n’est pas un firewall. C’est un routeur avec un NAT basique. Elle ne fait pas d’inspection applicative, pas d’IPS, pas de filtrage de contenu, et elle ne produit aucun log exploitable.

Un pare-feu entreprise digne de ce nom se place entre votre réseau et Internet, inspecte tout ce qui entre et sort, bloque les flux suspects, segmente votre réseau en zones (postes utilisateurs, serveurs, WiFi invités, IoT), et journalise tout. C’est le socle de toute sécurité informatique pour petite entreprise.

Chez complit, nous déployons principalement des Fortinet FortiGate pour les PME - une référence mondiale, avec des appliances dimensionnées pour 10 à 100 utilisateurs (gamme 40F, 60F, 80F), des puces ASIC dédiées à l’inspection SSL sans dégradation de performance, et un écosystème de fonctions de sécurité intégrées : IPS, antivirus réseau, filtrage web, VPN.

Budget indicatif :

  • Matériel : 500 € à 1 500 € HT selon le modèle
  • Licences annuelles : 400 € à 900 € HT/an
  • Installation : 300 € à 800 € HT

Soit entre 1 200 € et 3 200 € HT la première année. À comparer au coût moyen d’un incident de cybersécurité PME : entre 20 000 € et 100 000 € selon l’ANSSI.


3. L’EDR sur les postes - au-delà de l’antivirus classique

L’antivirus traditionnel compare les fichiers à une base de signatures connues. C’est utile. Mais les malwares modernes sont polymorphes, chiffrés, ou se cachent dans des processus légitimes - ils ne correspondent à aucune signature connue.

L’EDR (Endpoint Detection and Response) change de paradigme : il analyse le comportement des processus en temps réel. Si un fichier Excel commence soudainement à lancer des scripts PowerShell, à chiffrer des fichiers sur un partage réseau ou à contacter un serveur à l’étranger, l’EDR le détecte, l’isole, et alerte. Il ne cherche pas une signature - il cherche un comportement anormal.

Pour les PME, les solutions leaders accessibles sont Microsoft Defender for Business (inclus dans Microsoft 365 Business Premium), CrowdStrike Falcon Go, ou SentinelOne Singularity Core.

Budget indicatif : entre 4 € et 12 € par poste et par mois selon la solution et le niveau de fonctionnalités. Pour 30 postes, comptez entre 1 440 € et 4 320 € HT/an.


4. Les sauvegardes - la règle du 3-2-1 et pas de compromis

Un ransomware chiffre vos données. Votre seul recours, si vous refusez de payer la rançon (et vous devriez), c’est la sauvegarde. Encore faut-il qu’elle soit propre, récente, et surtout non accessible depuis le réseau compromis.

La règle du 3-2-1 est le standard minimal de la protection des données PME :

  • 3 copies de vos données
  • sur 2 supports différents (par exemple, NAS local et cloud)
  • dont 1 hors site ou hors réseau (air gap ou cloud avec authentification dédiée)

Le détail qui tue : si votre sauvegarde est montée en permanence sur un lecteur réseau accessible depuis les postes utilisateurs, le ransomware la chiffrera aussi. La sauvegarde doit être isolée.

Ce qu’il faut vérifier : que vos sauvegardes sont réellement restaurables (testez au moins une fois par trimestre), que la rétention couvre au moins 30 jours (les ransomwares peuvent dormir plusieurs semaines avant de se déclencher), et que les données critiques sont couvertes.

Budget indicatif : entre 50 € et 300 € HT/mois selon le volume de données et la solution retenue (Veeam, Acronis, solution cloud Microsoft Azure Backup, etc.).


5. La formation des collaborateurs - votre premier rempart, et souvent le plus faible

90 % des incidents de cybersécurité commencent par une erreur humaine. Un clic sur un lien de phishing, une pièce jointe ouverte sans réfléchir, un mot de passe partagé par email, une clé USB ramassée dans un couloir branchée par curiosité.

La formation à la sécurité informatique pour les collaborateurs n’est pas optionnelle. Et elle n’a pas besoin d’être longue ou rébarbative pour être efficace.

Les approches qui fonctionnent en PME :

  • Sessions courtes et régulières (30 minutes par trimestre) plutôt qu’une formation annuelle oubliée en 48h
  • Simulations de phishing : envoyer de faux emails de phishing à vos équipes et mesurer le taux de clics - c’est édifiant, et très pédagogique
  • Fiches pratiques affichées dans les espaces communs : comment reconnaître un email suspect, que faire en cas d’incident
  • Politique de mot de passe claire : longueur minimale, pas de réutilisation, utilisation d’un gestionnaire de mots de passe (Bitwarden, 1Password)

Budget indicatif : entre 10 € et 25 € par utilisateur/mois pour des plateformes comme KnowBe4 ou Proofpoint Security Awareness. Certains organismes de formation permettent de financer ces actions via les OPCO.


6. La gestion des accès - le principe du moindre privilège

Dans beaucoup de PME, tout le monde a accès à tout. Par habitude, par facilité, parce que “ça va plus vite”. C’est une erreur structurelle.

Le principe du moindre privilège stipule que chaque utilisateur ne doit avoir accès qu’aux ressources strictement nécessaires à ses missions. La comptable n’a pas besoin d’accéder aux dossiers RH. Le commercial junior n’a pas besoin de modifier les règles du firewall. L’alternant qui part dans trois mois ne devrait pas avoir un compte administrateur.

En pratique, cela passe par :

  • Un annuaire centralisé (Active Directory ou Azure AD / Entra ID) avec des groupes bien définis
  • Une politique de révocation rapide : quand un collaborateur quitte l’entreprise, son accès doit être coupé le jour même, pas trois semaines après
  • Un audit des comptes au moins une fois par an : qui a accès à quoi, est-ce que c’est encore justifié ?
  • Des comptes administrateurs séparés des comptes utilisateurs courants - même pour les DSI internes

La gestion des identités et des accès (IAM) est souvent le parent pauvre de la sécurité en PME. C’est pourtant l’un des vecteurs les plus exploités lors d’attaques internes ou après une compromission initiale.

Budget indicatif : Microsoft Entra ID (ex-Azure AD) P1 est inclus dans Microsoft 365 Business Premium. Des solutions IAM dédiées comme Okta coûtent entre 6 € et 15 € par utilisateur/mois.


7. Le monitoring et la supervision - savoir ce qui se passe, en permanence

Vous pouvez avoir le meilleur firewall, le meilleur EDR, et des sauvegardes impeccables - si personne ne regarde les alertes, vous ne servez à rien en cas d’incident. Le monitoring, c’est la capacité à détecter une menace avant qu’elle ne devienne un sinistre.

Pour les PME qui n’ont pas de DSI interne, la réponse passe par un service SOC externalisé ou une solution de monitoring 24/7 gérée par un partenaire. Chez complit, nous proposons un service de supervision continue qui surveille votre réseau, vos équipements, et vos alertes de sécurité en temps réel - et intervient dès qu’un comportement anormal est détecté.

Ce que le monitoring doit couvrir :

  • Les alertes du firewall et de l’EDR
  • Les tentatives de connexion échouées et les connexions depuis des pays inhabituels
  • L’état des sauvegardes (une sauvegarde qui échoue silencieusement, c’est une fausse sécurité)
  • La disponibilité des équipements critiques
  • Les certificats SSL et les mises à jour de sécurité manquantes

Budget indicatif : entre 150 € et 500 € HT/mois selon le périmètre pour un service de monitoring managé. Un investissement qui inclut souvent la supervision réseau globale, pas uniquement la sécurité.


Récapitulatif budgétaire pour une PME de 30 personnes

MesureCoût annuel estimé (HT)
MFA0 € à 2 160 €
Firewall Fortinet (licences)400 € à 900 €
EDR (30 postes)1 440 € à 4 320 €
Sauvegardes600 € à 3 600 €
Formation collaborateurs3 600 € à 9 000 €
Gestion des accès (IAM)0 € à 5 400 €
Monitoring 24/71 800 € à 6 000 €
Total~8 000 € à ~31 000 €/an

La fourchette est large parce que les situations sont très différentes - une PME déjà sur Microsoft 365 Business Premium couvre plusieurs points d’un coup, une autre partira de zéro. Dans tous les cas, le retour sur investissement est immédiat dès qu’on le compare au coût d’un incident non maîtrisé.


Conclusion

La cybersécurité pour les PME n’est pas une affaire de budget démesuré ni de compétences hors de portée. C’est une affaire de méthode, de priorisation, et de rigueur dans l’exécution.

Ces 7 mesures forment un socle solide, accessible, et suffisant pour éliminer l’immense majorité des vecteurs d’attaque courants. Elles ne garantissent pas l’invulnérabilité - rien ne le peut - mais elles font passer votre PME du statut de “cible facile” à celui de “cible qui n’en vaut pas la peine”, ce qui est exactement l’objectif.

Chez complit, nous accompagnons les PME parisiennes dans le déploiement de ces dispositifs : Fortinet pour le réseau et le firewall, EDR sur les postes, monitoring 24/7, MFA et gestion des identités. Si vous voulez faire un point sur votre niveau de maturité actuel, c’est le genre de diagnostic que nous réalisons régulièrement - sans langue de bois.


FAQ - Cybersécurité PME : vos questions fréquentes

Est-ce qu’une PME est vraiment une cible pour les cybercriminels ?

Oui, et de plus en plus. Les PME représentent aujourd’hui la majorité des victimes de ransomwares en France. Précisément parce qu’elles sont moins bien protégées que les grandes entreprises, tout en détenant des données de valeur (données clients, données comptables, propriété intellectuelle). Les outils d’attaque sont automatisés : les attaquants ne vous “choisissent” pas forcément - ils scannent, et ils frappent ce qui répond.

Par quoi commencer si on part de zéro ?

Par le MFA et les sauvegardes - dans cet ordre. Le MFA est gratuit ou quasi-gratuit si vous êtes déjà sur Microsoft 365, et il bloque la majorité des attaques sur les identifiants. Les sauvegardes hors réseau sont votre filet de secours contre le ransomware. Ces deux mesures seules réduisent drastiquement votre exposition. Ensuite, ajoutez le firewall et l’EDR.

Faut-il être conforme RGPD pour mettre en place ces mesures ?

C’est l’inverse : ces mesures vous aident à vous mettre en conformité RGPD. Le règlement européen impose des mesures techniques et organisationnelles appropriées pour protéger les données personnelles. Un incident de sécurité sur des données personnelles doit être notifié à la CNIL dans les 72 heures - ce qui suppose que vous ayez les outils pour détecter l’incident en question. Le monitoring, les logs du firewall, et l’EDR sont des éléments de réponse concrets à cette exigence.

Est-ce qu’on peut tout gérer soi-même, sans prestataire externe ?

En théorie, oui. En pratique, pour la grande majorité des PME sans DSI interne, la réponse est non - ou du moins, pas de façon pérenne. La configuration initiale d’un firewall ou d’un EDR demande une expertise spécifique. Le monitoring 24/7 suppose une disponibilité permanente que vous n’avez pas. Et les mises à jour de sécurité ont besoin d’être appliquées régulièrement sous peine de rendre les équipements vulnérables. Déléguer à un partenaire IT n’est pas un aveu de faiblesse : c’est reconnaître que votre cœur de métier n’est pas l’administration système, et que quelqu’un d’autre peut le faire mieux et moins cher que vous à temps plein.

Parlons de votre projet.

Devis ou simple question,
réponse dans quelques heures.