En 2025, 43% des cyberattaques en France ont ciblé des entreprises de moins de 50 salariés (source ANSSI). Le coût moyen d'une attaque pour une TPE : 25 000 euros — entre la perte d'exploitation, la remédiation technique et la perte de données.
Et pourtant, 80% de ces attaques auraient pu être évitées avec des mesures basiques. Pas besoin d'un budget sécurité de 50 000 euros. 10 actions simples suffisent.
Mesure 1 : des mots de passe solides et un gestionnaire
Le mot de passe "Entreprise2024!" n'est pas un bon mot de passe. Il sera craqué en 3 secondes par un outil automatisé.
L'action : installez un gestionnaire de mots de passe pour toute l'équipe (Bitwarden en version gratuite, ou 1Password à 4 euros/mois/utilisateur). Chaque mot de passe généré aléatoirement, minimum 16 caractères, unique par service.
Le mot de passe maître du gestionnaire, lui, doit être une phrase longue que vous retenez : "MonChatMangeDesCrevettesSurLaTable" est infiniment plus solide que "P@ssw0rd!2024".
Mesure 2 : l'authentification à deux facteurs (2FA)
Même avec un bon mot de passe, si un employé se fait piéger par un phishing, l'attaquant a le mot de passe. Le 2FA ajoute une couche : en plus du mot de passe, il faut un code temporaire généré par le téléphone.
L'action : activez le 2FA sur tous les comptes critiques — email, banque, hébergement, réseaux sociaux, outils métier. Utilisez une appli (Google Authenticator, Authy) plutôt que le SMS (interceptable).
Mesure 3 : les mises à jour automatiques
Les failles de sécurité sont corrigées par les éditeurs dans les jours qui suivent leur découverte. Mais si vous ne mettez pas à jour, la faille reste ouverte. Les ransomwares exploitent massivement les failles Windows et navigateurs connues depuis des mois.
L'action : activez les mises à jour automatiques sur tous les postes (Windows, macOS, navigateurs, logiciels métier). Un redémarrage par semaine, c'est le prix à payer.
Mesure 4 : la sauvegarde 3-2-1
La règle 3-2-1 : 3 copies de vos données, sur 2 supports différents, dont 1 hors site.
L'action concrète :
- Copie 1 : votre disque dur (les données en production)
- Copie 2 : un disque dur externe ou NAS (sauvegarde quotidienne automatique)
- Copie 3 : un service cloud (Backblaze B2 à 6$/mois, ou Synology C2)
Testez la restauration une fois par trimestre. Une sauvegarde qu'on ne sait pas restaurer n'est pas une sauvegarde.
Mesure 5 : la sensibilisation anti-phishing
90% des attaques commencent par un email de phishing. Le maillon faible, c'est l'humain.
L'action : formez votre équipe à reconnaître les emails suspects. Les signaux :
- Urgence artificielle ("Votre compte sera suspendu dans 2h")
- Expéditeur inconnu ou nom de domaine suspect
- Liens vers des URLs étranges (passez la souris sans cliquer)
- Pièces jointes inattendues (.exe, .zip, .js)
- Demande d'identifiants par email (aucun service légitime ne fait ça)
Faites un exercice de phishing simulé une fois par an. Les plateformes comme Gophish (gratuit) permettent d'envoyer de faux phishings à votre équipe pour identifier les faiblesses.
Mesure 6 : le Wi-Fi sécurisé
Le Wi-Fi de votre bureau est un point d'entrée. Si le mot de passe est "bonjour123" ou si vous utilisez le protocole WEP (obsolète depuis 15 ans), n'importe qui dans la rue peut accéder à votre réseau.
L'action : protocole WPA3 (ou WPA2-AES minimum), mot de passe complexe de 20+ caractères, réseau invité séparé pour les visiteurs.
Mesure 7 : le chiffrement des portables
Un ordinateur portable volé dans une voiture, un sac oublié dans le train — ça arrive. Si le disque n'est pas chiffré, le voleur accède à toutes vos données.
L'action : activez BitLocker (Windows Pro) ou FileVault (macOS). C'est gratuit, intégré au système, et transparent à l'usage.
Mesure 8 : les droits d'accès restreints
Tout le monde n'a pas besoin d'accéder à tout. Le comptable n'a pas besoin d'accéder aux fichiers techniques, le stagiaire n'a pas besoin des droits administrateur.
L'action : appliquez le principe du moindre privilège. Chaque utilisateur n'accède qu'aux ressources nécessaires à son travail. Et supprimez les comptes des personnes qui quittent l'entreprise le jour même du départ.
Mesure 9 : l'antivirus et le pare-feu
Windows Defender est suffisant pour la majorité des TPE. Inutile d'acheter un antivirus payant si votre hygiène numérique est bonne. En revanche, vérifiez que Defender est activé et à jour sur tous les postes.
Le pare-feu Windows doit rester activé. Ne le désactivez pas "parce qu'un logiciel ne marche pas" — trouvez la bonne exception plutôt que de tout ouvrir.
Mesure 10 : le plan de réponse à incident
Le jour où ça arrive (et statistiquement, ça arrivera), vous devez savoir quoi faire. Un plan de réponse en 5 lignes :
- Isoler la machine infectée (débrancher le réseau, pas éteindre)
- Prévenir votre prestataire IT ou appeler le 3218 (cybermalveillance.gouv.fr)
- Ne pas payer la rançon (ça ne garantit pas la récupération des données et ça finance les criminels)
- Restaurer depuis la sauvegarde
- Déposer plainte et déclarer l'incident à la CNIL si des données personnelles sont concernées
Imprimez ce plan. Affichez-le. Le jour J, personne ne cherchera un document numérique sur un ordinateur chiffré par un ransomware.
La cybersécurité n'est pas un sujet technique réservé aux informaticiens. C'est un sujet de dirigeant. 10 mesures simples, appliquées rigoureusement, bloquent la grande majorité des attaques.