Numérique Entreprise

Cybersécurité en entreprise : les fondamentaux à maîtriser

| 5 min de lecture
Cybersécurité en entreprise : les fondamentaux à maîtriser

La cybersécurité en PME repose sur cinq piliers : sensibiliser les équipes au phishing (91 % des attaques commencent par un email frauduleux, selon le rapport Verizon DBIR 2024), imposer des mots de passe de 12 caractères minimum avec 2FA, appliquer les mises à jour sous 48 heures, sauvegarder selon la règle 3-2-1 et contrôler les accès par rôle.

Pourquoi les PME sont visées

Les PME représentent 54 % des cyberattaques signalées en France (ANSSI, rapport 2024). La raison : des moyens de protection réduits, une sensibilisation insuffisante et des données à forte valeur (fichiers clients, coordonnées bancaires, propriété intellectuelle). Le coût moyen d’une cyberattaque pour une PME française atteint 59 000 euros selon le rapport Hiscox 2024.

Les mesures les plus efficaces sont aussi les moins coûteuses.

Le phishing, première menace

Le phishing (hameçonnage) consiste à envoyer un email frauduleux imitant un expéditeur légitime, banque, fournisseur, administration, pour pousser le destinataire à cliquer sur un lien piégé ou communiquer des informations sensibles.

Comment le repérer

Quatre signaux d’alerte :

  • L’adresse expéditeur ne correspond pas au domaine officiel ([email protected] au lieu de [email protected])
  • Le message crée un sentiment d’urgence (« Votre compte sera suspendu dans 24 heures »)
  • Le lien pointe vers une URL suspecte (survolez sans cliquer pour voir l’adresse réelle)
  • Le message contient des fautes inhabituelles ou un formatage incohérent

Comment s’en protéger

La sensibilisation des employés bloque plus d’attaques que n’importe quel logiciel. Organisez des sessions de formation trimestrielles et des exercices de simulation. KnowBe4, Cofense et Mailinblack proposent des campagnes de test adaptées aux PME (à partir de 2 €/utilisateur/mois).

Au niveau technique : activez le filtrage anti-spam de votre messagerie et configurez les protocoles SPF, DKIM et DMARC sur votre domaine. Ces protocoles réduisent de 90 % les emails usurpant votre identité.

Les smartphones des collaborateurs sont aussi un vecteur d’attaque. Les mêmes réflexes de vigilance s’appliquent sur mobile : consultez nos conseils pour protéger les données personnelles sur smartphone.

La politique de mots de passe

Les mots de passe faibles ou réutilisés sont la deuxième cause de compromission. Selon le rapport Verizon DBIR 2024, 81 % des piratages impliquent des identifiants volés ou faibles.

Les règles à appliquer

  • 12 caractères minimum, La longueur compte plus que la complexité. La phrase de passe « MonChatMangeDesCrevettesFraîches » résiste mieux qu’un « Xk#9!p » de 6 caractères. Un mot de passe de 12 caractères prend en moyenne 226 ans à casser par force brute (estimation NIST)
  • Un mot de passe unique par service, Pas de réutilisation entre le compte email pro et un site e-commerce personnel
  • 2FA systématique, L’authentification à deux facteurs bloque 99,9 % des tentatives automatisées (source Microsoft, 2023)

Le gestionnaire de mots de passe

Déployez un gestionnaire d’équipe. Bitwarden Teams coûte 4 €/utilisateur/mois. 1Password Business coûte 8 €/utilisateur/mois. Ces outils partagent des identifiants de manière chiffrée sans que les collaborateurs voient les mots de passe en clair.

Les mises à jour : premier rempart technique

Chaque logiciel contient des failles. Les éditeurs les corrigent via des patchs. Un système non mis à jour expose des vulnérabilités documentées publiquement : un cadeau pour les attaquants. En 2024, 60 % des brèches exploitaient des vulnérabilités pour lesquelles un patch existait depuis plus de 30 jours (source Qualys).

Appliquez les mises à jour dans les 48 heures pour :

  • Le système d’exploitation (Windows, macOS, Linux)
  • La suite bureautique et les logiciels métier
  • Les navigateurs web
  • Les équipements réseau (routeur, firewall, NAS)

Automatisez les mises à jour des postes de travail. Pour les serveurs critiques, testez en pré-production avant de déployer. Sur les postes Windows, des logiciels de maintenance gratuits facilitent le suivi des mises à jour et la surveillance du système.

Les sauvegardes : la règle 3-2-1

La règle 3-2-1 est un standard de l’industrie :

  • 3 copies de vos données (l’original + 2 copies)
  • 2 supports différents (serveur local + cloud, par exemple)
  • 1 copie hors site (cloud ou disque stocké dans un autre lieu physique)

Testez la restauration au moins une fois par trimestre. Une sauvegarde qui ne peut pas être restaurée n’a aucune valeur.

Solutions adaptées aux PME : Veeam Backup (gratuit pour les petites configurations), Acronis Cyber Protect, ou un NAS Synology avec synchronisation cloud. Le coût d’une solution de sauvegarde (100 à 500 €/an) est dérisoire face au coût moyen d’une perte de données (59 000 € en moyenne).

La qualité de votre hébergement web conditionne aussi la sécurité des données en ligne : vérifiez les politiques de sauvegarde de votre hébergeur.

Le contrôle des accès

Chaque collaborateur ne devrait accéder qu’aux ressources nécessaires à son travail. Ce principe du « moindre privilège » limite les dégâts en cas de compte compromis.

En pratique :

  • Créez des comptes nominatifs (pas de compte « admin » partagé)
  • Attribuez des droits par rôle (lecture, modification, administration)
  • Désactivez immédiatement les comptes des collaborateurs qui quittent l’entreprise
  • Auditez les droits d’accès une fois par trimestre

Le choix des outils collaboratifs impacte aussi la sécurité. Privilégiez des solutions avec gestion fine des permissions et chiffrement des données au repos.

Que faire en cas d’incident

Malgré les précautions, un incident peut survenir. Un plan de réponse minimal :

  1. Isoler, Déconnectez la machine compromise du réseau
  2. Alerter, Prévenez le responsable informatique et la direction
  3. Documenter, Notez les symptômes, l’heure de détection, les actions entreprises
  4. Signaler, En cas de fuite de données personnelles, la CNIL exige une déclaration sous 72 heures (article 33 du RGPD)
  5. Restaurer, Utilisez vos sauvegardes 3-2-1 pour remettre le système en état

Le portail cybermalveillance.gouv.fr propose une assistance gratuite pour les entreprises victimes d’une attaque.

Prochaine étape

Planifiez une session de sensibilisation phishing ce mois-ci (30 minutes suffisent). Déployez un gestionnaire de mots de passe la semaine prochaine. Vérifiez que vos sauvegardes fonctionnent en testant une restauration. Ces trois actions bloquent la majorité des attaques courantes pour un coût quasi nul.