Réaliser un diagnostic de l'existant
Avant toute chose, il est indispensable de cartographier l'environnement informatique de la PME. On ne peut pas protéger ce qu'on ne connaît pas. Mon premier réflexe quand je me penche sur une structure, c'est de dresser un inventaire complet.
C'est un état des lieux complet de votre SI (Système d'Information) : matériel, logiciels, réseaux, données, utilisateurs, processus et niveaux de protection actuels. Il identifie les vulnérabilités avant qu'un attaquant ne les exploite.
Les 5 axes du diagnostic initial
PC, laptops, serveurs, imprimantes, smartphones, objets connectés (IoT). Tout appareil connecté au réseau est une surface d'attaque potentielle.
OS, logiciels métier, antivirus, applications SaaS, licences actives et versions installées. Les logiciels non mis à jour sont la première porte d'entrée des attaquants.
Plan du réseau LAN/WAN, Wi-Fi, VPN, pare-feu, routeurs, switches. Identifiez les points d'accès non sécurisés et les zones non segmentées.
Données personnelles (RGPD), données financières, données métier sensibles, secrets industriels. Savoir ce qu'on a permet de savoir quoi protéger en priorité.
Comptes actifs/inactifs, droits d'accès, comptes administrateurs, prestataires externes. Les accès non révoqués sont une vulnérabilité majeure trop souvent négligée.
Mon retour de recherche : beaucoup de PME découvrent lors d'un audit qu'elles ont encore des comptes actifs d'anciens salariés partis 2 ans plus tôt. C'est l'une des failles les plus banales - et les plus exploitées.
Les outils gratuits pour l'audit
| Outil | Usage | Niveau requis | Disponibilité |
|---|---|---|---|
| Nmap | Scan réseau, inventaire des ports ouverts | Intermédiaire | Gratuit, open-source |
| OpenVAS | Scan de vulnérabilités complet | Avancé | Gratuit, open-source |
| Cyberdiag (ANSSI) | Auto-diagnostic guidé PME/TPE | Débutant | Gratuit, en ligne |
| Belarc Advisor | Inventaire logiciel et matériel | Débutant | Gratuit (usage local) |
| Microsoft Secure Score | Score sécurité environnements M365 | Débutant | Inclus M365 |
| Have I Been Pwned | Vérification des emails compromis | Débutant | Gratuit, en ligne |
Rédiger la politique et la charte informatique
Une politique de sécurité informatique (PSI) est le document fondateur qui définit les règles, responsabilités et procédures de sécurité au sein de l'entreprise. Elle doit être adaptée à la réalité de la PME - pas copiée-collée d'un grand groupe.
Document stratégique validé par la direction. Il définit les objectifs de sécurité, les risques acceptés, les responsabilités (RSSI, DSI, DPO) et les grandes lignes des mesures techniques et organisationnelles.
- Périmètre couvert
- Classification des actifs
- Gestion des incidents
- Obligations légales
- Plan de continuité (PCA)
Document opérationnel signé par chaque salarié et prestataire. Elle énumère les droits et obligations d'utilisation des ressources informatiques de l'entreprise au quotidien.
- Usage des équipements
- Règles sur les mots de passe
- Navigation internet / email
- Appareils personnels (BYOD)
- Télétravail et accès distants
La structure d'une PSI pour PME
D'après mes recherches sur les référentiels de l'ANSSI (notamment le guide "La cybersécurité pour les TPE/PME en 12 questions"), voici la structure minimale recommandée :
Présentation de l'entreprise, périmètre de la politique, objectifs de sécurité (confidentialité, intégrité, disponibilité - le triptyque CIA).
Désignation d'un responsable (même à temps partiel pour une PME), rôles et responsabilités de chacun, relation avec les prestataires.
Inventaire et classification, règles de gestion du matériel, politique de mise à jour et de fin de vie des équipements.
Politique de mot de passe, MFA, gestion des droits, accès distants sécurisés (VPN), règle du moindre privilège.
Procédure de détection, notification, escalade, réponse et post-mortem. À qui on appelle à 2h du matin en cas de ransomware.
PCA/PRA, objectifs RTO et RPO, procédures de basculement, tests réguliers des sauvegardes.
L'ANSSI propose des guides gratuits et des modèles de PSI adaptés aux TPE/PME sur son site officiel. Le référentiel "MonAideCyber" propose également un accompagnement gratuit pour les structures de moins de 250 salariés.
Gestion des accès et des identités (IAM)
La gestion des identités et des accès (IAM - Identity and Access Management) est l'un des piliers les plus critiques de la sécurité informatique en entreprise. La majorité des violations de données commence par des credentials compromis ou des accès excessifs.
Chaque utilisateur ne doit disposer que des droits strictement nécessaires à l'accomplissement de ses missions. Ni plus, ni moins. Un commercial n'a pas besoin d'accéder aux serveurs de production. Un stagiaire ne doit pas avoir les droits administrateur.
Les règles fondamentales de gestion des accès
- Minimum 14 caractères en 2026
- Combinaison majuscules, minuscules, chiffres, caractères spéciaux
- Un mot de passe unique par service
- Utiliser un gestionnaire de mots de passe (Bitwarden, 1Password)
- Ne jamais écrire un mot de passe dans un fichier texte ou email
- Activer le MFA sur TOUS les comptes critiques
- Messagerie professionnelle en priorité
- VPN et accès distants
- Services cloud (Microsoft 365, Google Workspace, AWS)
- Préférer une app TOTP (Authy, Google Authenticator) au SMS
- Processus formalisé de création de compte à l'arrivée
- Révocation IMMÉDIATE à la sortie (même le dernier jour)
- Audit trimestriel des comptes actifs
- Comptes de service documentés et limités
- Jamais de comptes partagés entre plusieurs personnes
- Activer les logs sur les équipements critiques
- Alertes sur connexions inhabituelles
- Détection des tentatives de connexion multiples (brute force)
- Conservation des logs 1 an minimum
- Revue mensuelle des accès privilégiés
Verizon Data Breach Investigations Report 2026Selon les données Verizon DBIR 2026, plus de 80% des compromissions impliquent des identifiants volés ou réutilisés. La gestion des accès n'est pas une option, c'est la fondation de toute politique de sécurité informatique sérieuse.
Plan de sauvegarde et de reprise d'activité
Face aux ransomwares, la sauvegarde reste la protection ultime. Si vous n'avez pas de sauvegarde propre et testée, vous n'avez pas de sécurité informatique. C'est aussi brutal que ça.
Définir ses objectifs de reprise
Deux indicateurs sont fondamentaux dans tout plan de reprise d'activité :
Le temps maximum acceptable pour restaurer un service après un incident. Combien de temps votre PME peut-elle survivre sans accès à ses données ou ses logiciels ?
Exemple : 4 heures pour le serveur de fichiers, 24h pour les archivagesLa perte de données maximale acceptable mesurée en temps. Quelle est la valeur de vos données produites en une heure ? En une journée ?
Exemple : RPO de 1h pour la compta, 24h pour les documents RHLes solutions de sauvegarde adaptées aux PME
| Solution | Type | Pour qui | Prix indicatif | Point fort |
|---|---|---|---|---|
| Veeam Backup | On-premise + Cloud | PME avec serveurs | À partir de 300 €/an | Restauration granulaire, snapshots VM |
| Acronis Cyber Protect | Hybride | PME 5-50 postes | 8-15 €/poste/mois | Anti-ransomware intégré |
| Backblaze B2 | Cloud pur | Très petites structures | 0,006 $/Go/mois | Prix très compétitif |
| NAS Synology + Cloud | Hybride local | PME 10-100 postes | 500-2000 € (matériel) | Contrôle total, réplication cloud |
| Microsoft Azure Backup | Cloud | PME sous M365 | Inclus ou 0,02 €/Go/mois | Intégration native M365 |
Une sauvegarde non testée n'est pas une sauvegarde. Planifiez des tests de restauration trimestriels. Beaucoup de PME découvrent que leurs sauvegardes sont corrompues... uniquement le jour où elles en ont besoin.
Former et sensibiliser les équipes
Le facteur humain reste la vulnérabilité numéro un en sécurité informatique. 90% des cyberattaques commencent par une erreur humaine - un clic sur un lien de phishing, un mot de passe réutilisé, une pièce jointe ouverte sans réfléchir.
Emails frauduleux imitant des marques connues ou la direction de l'entreprise (spear phishing). Objectif : voler des identifiants ou déclencher un virement.
36% des violations de données en 2026Manipulation psychologique d'un employé pour obtenir des informations confidentielles ou un accès. Souvent par téléphone ou messagerie instantanée.
Sophistication en hausse de 45% en 2026Utilisation d'applications non approuvées par la DSI (Dropbox perso, WeTransfer, ChatGPT pour données sensibles). Données qui quittent le périmètre sans contrôle.
78% des PME concernéesProgramme de sensibilisation en 6 étapes
Intégrer un module cybersécurité dans chaque onboarding : phishing, mots de passe, signalement d'incidents, utilisation des outils.
Durée : 2-3 heuresEnvoyer de faux emails de phishing pour tester la vigilance des équipes. Les employés qui cliquent reçoivent une formation immédiate, sans sanction.
Fréquence : 1 campagne/trimestreCommunication régulière sur les menaces actuelles, les nouvelles arnaques repérées dans le secteur, les bonnes pratiques à rappeler.
Fréquence : mensuelleModules courts (5-10 min) sur des thèmes précis : sécurité du télétravail, sécurisation mobile, classification des emails. Plateformes : Proofpoint Security Awareness, Usecure.
Fréquence : mensuelleSimuler un incident de sécurité (ransomware, fuite de données) pour tester les procédures de réponse et l'efficacité de la chaîne de communication.
Fréquence : annuelleFormer un "champion sécurité" par département : un salarié sensibilisé plus en profondeur qui devient le relais de la politique sécurité au quotidien.
Fréquence : annuelleLes outils essentiels pour une PME
Il n'est pas nécessaire d'avoir un SOC (Security Operations Center) de 50 personnes pour sécuriser une PME de 30 salariés. Voici les briques fondamentales que je considère indispensables selon mes recherches.
- CrowdStrike Falcon Go EDR cloud, excellent taux de détection
- SentinelOne Singularity IA comportementale, réponse automatisée
- Microsoft Defender for Business Inclus M365 Business Premium, très bon rapport qualité/prix
- Fortinet FortiGate Référence PME, inspection SSL, filtrage web
- Sophos XGS Interface accessible, synchronized security
- pfSense Open source, très complet, nécessite expertise
- Bitwarden Teams Open source, hosting possible, 3 €/user/mois
- 1Password Business UX excellente, rapports de sécurité, 8 €/user/mois
- Dashlane Business Dark web monitoring inclus, 8 €/user/mois
- WireGuard Protocole moderne, très performant, open source
- Tailscale VPN mesh P2P, configuration en minutes
- OpenVPN Access Server Référence entreprise, 2 connexions gratuites
- Proofpoint Essentials Anti-phishing, anti-spam, URL rewriting
- Microsoft Defender for Office 365 Inclus M365 Business Premium, Safe Links
- Vade Secure Solution française, IA anti-phishing avancée
- Wazuh SIEM open source, HIDS, détection d'intrusion
- Graylog Centralisation des logs, alertes, gratuit jusqu'à 5 Go/j
- Microsoft Sentinel (lite) SIEM cloud, pay-per-use, intégration Azure
Comparatif des approches de sécurité selon la taille de PME
Voici un outil de comparaison que j'ai construit pour aider à identifier quelle approche est adaptée selon la taille et la maturité de la PME concernée.
- Antivirus/EDR sur tous les postes
- MFA sur messagerie et outils cloud
- Sauvegarde 3-2-1 automatisée
- Mises à jour automatiques activées
- Gestionnaire de mots de passe
50 - 150 €/mois
Essentiellement des abonnements SaaS. Pas de matériel dédié nécessaire à ce stade.
- Ransomware via email
- Compromission compte cloud
- Perte physique de laptop
- Tout le niveau TPE +
- Pare-feu UTM/NGFW dédié
- Segmentation réseau (Wi-Fi invités isolé)
- Charte informatique signée
- VPN pour télétravail
- Formation anti-phishing annuelle
- PSI documentée
300 - 800 €/mois
Inclut matériel réseau, licences EDR par poste, solutions de sauvegarde et éventuellement un prestataire MSP partiel.
- Attaques ciblées sectorielles
- Fuite données clients/RGPD
- Accès distants mal sécurisés
- Compromission prestataires
- Tout le niveau PME +
- RSSI dédié ou RSSI externe (vCISO)
- SIEM pour centralisation des logs
- Pentest annuel
- Programme de bug bounty interne
- ISO 27001 ou NIS2 selon secteur
- SOC externalisé (MDR)
2 000 - 8 000 €/mois
Intègre un poste RSSI (interne ou externe), des outils avancés, de l'assurance cyber et des audits réguliers.
- APT (menaces persistantes avancées)
- Compromission chaîne d'approvisionnement
- Conformité réglementaire (NIS2, DORA)
- Espionnage industriel
Estimer son budget sécurité informatique
Combien investir dans la sécurité informatique ? La règle généralement admise est d'allouer entre 5% et 15% du budget IT total à la sécurité. Voici un estimateur simplifié pour aider à la réflexion.
Estimation indicative basée sur les prix du marché 2026. Ne constitue pas un devis. Consultez plusieurs prestataires pour votre situation réelle.
Répartition typique du budget sécurité PME
| Poste budgétaire | Part du budget | Coût mensuel indicatif | Priorité |
|---|---|---|---|
| Protection postes (EDR/AV) | 25% | 80 - 150 € | Critique |
| Sauvegardes et reprise | 20% | 60 - 120 € | Critique |
| Pare-feu / Réseau | 15% | 50 - 100 € | Élevée |
| Protection messagerie | 15% | 40 - 80 € | Élevée |
| Formation et sensibilisation | 10% | 30 - 60 € | Moyenne |
| Gestion des mots de passe | 8% | 25 - 50 € | Moyenne |
| Audit et pentest (annualisé) | 7% | 20 - 80 € | Recommandée |
Conformité RGPD et obligations légales en 2026
La sécurité informatique en entreprise ne peut pas ignorer le cadre réglementaire. En France et en Europe, plusieurs textes imposent des obligations concrètes aux PME, avec des sanctions pouvant atteindre 4% du chiffre d'affaires mondial.
Applicable depuis 2018, il impose des mesures techniques et organisationnelles pour protéger les données personnelles. En 2026, la CNIL renforce ses contrôles sur les PME.
- Tenue d'un registre des traitements
- Notification CNIL sous 72h en cas de violation
- DPO si traitements à grande échelle
- Chiffrement des données personnelles sensibles
Transposée en droit français en 2026, elle élargit considérablement le champ des entités concernées. Des milliers de PME françaises sont désormais dans son périmètre.
- Évaluation des risques documentée
- Gestion des incidents formalisée
- Continuité d'activité planifiée
- Sécurité de la chaîne d'approvisionnement
Applicable depuis janvier 2026, DORA concerne le secteur financier (banques, assurances, PSP). Si vous êtes une PME du fintech ou travaillez pour des acteurs financiers, vous êtes concerné.
- Tests de résilience opérationnelle
- Gestion des risques ICT formalisée
- Gestion des prestataires ICT critiques
- Reporting incidents auprès de l'ACPR/AMF
Ces informations sont partagées à titre informatif et de recherche personnelle. Pour savoir précisément si votre PME est soumise à NIS2 ou DORA et quelles sont vos obligations exactes, consultez un avocat spécialisé ou un DPO certifié. Les réglementations évoluent rapidement et les sanctions sont réelles.
Checklist finale : mise en place de la politique de sécurité
Voici la checklist condensée que j'utilise comme référence pour évaluer la maturité sécurité d'une PME. Chaque point est une action concrète.
Questions fréquentes sur la sécurité informatique en PME
Le meilleur point de départ en 2026 est l'outil gratuit "MonAideCyber" de l'ANSSI. Il propose un diagnostic guidé en quelques heures, avec un accompagnement d'un "aidant cyber" certifié, gratuit pour les structures de moins de 250 salariés. Ensuite, les 3 actions immédiates à fort impact : activer le MFA, déployer un gestionnaire de mots de passe, et vérifier que les sauvegardes fonctionnent réellement.
Non, pas nécessairement en interne. Pour une PME de moins de 50 salariés, un RSSI à temps plein serait disproportionné. Les alternatives sont : un responsable informatique qui cumule ce rôle, un prestataire MSP (Managed Service Provider) qui propose des services de sécurité gérés, ou un vCISO (RSSI virtuel) - un consultant externe à temps partiel, souvent 1 à 2 jours par mois. L'essentiel est qu'une personne soit clairement identifiée comme responsable de la sécurité.
La réaction immédiate en cas de cyberattaque (ransomware notamment) : 1) Isoler immédiatement les machines infectées du réseau (débrancher le câble réseau, couper le Wi-Fi), 2) Ne pas éteindre les machines (des traces volatiles en mémoire sont précieuses pour l'investigation), 3) Contacter un prestataire cyber spécialisé - en France, cybermalveillance.gouv.fr référence des prestataires de confiance, 4) Déposer plainte auprès de la police ou gendarmerie, 5) Notifier la CNIL dans les 72h si des données personnelles sont compromises, 6) Notifier votre assureur cyber si vous en avez un. Ne pas payer la rançon est généralement recommandé, mais la décision dépend de chaque situation.
Dans la plupart des cas, oui - pour une PME qui n'a pas d'équipe IT dédiée. Les grands fournisseurs cloud (Microsoft Azure, AWS, Google Cloud) investissent massivement en sécurité, maintiennent leurs infrastructures à jour et proposent des outils de sécurité avancés. Le vrai risque avec le cloud, ce n'est pas la sécurité du provider, c'est la mauvaise configuration par les utilisateurs (buckets S3 publics, pas de MFA, droits trop larges). Conclusion : le cloud est souvent plus sûr, à condition de le configurer correctement.
C'est une question que je me pose souvent dans mes recherches. La réponse est : oui, de plus en plus, surtout depuis que les ransomwares ciblent les PME. Une assurance cyber peut couvrir : les frais de remédiation (prestataire pour nettoyer les systèmes), la perte d'exploitation pendant l'indisponibilité, les frais de notification RGPD, la rançon éventuelle, les frais juridiques. Compter 1 000 à 5 000 €/an pour une PME de 20 à 50 personnes. Attention : les assureurs imposent désormais des exigences minimales de sécurité pour vous assurer (MFA, sauvegardes, etc.).
En résumé
Mettre en place une politique de sécurité informatique dans une PME n'est pas une question de budget pharaonique. C'est avant tout une question de méthode, de rigueur et de culture d'entreprise. Les fondations - MFA, sauvegardes, mises à jour, formation des équipes - sont accessibles à toutes les structures.
Dans mes recherches, ce qui ressort clairement : les PME qui résistent le mieux aux cyberattaques ne sont pas celles qui ont les outils les plus chers, mais celles qui ont les processus les mieux appliqués. Une charte signée et respectée vaut mieux qu'un SIEM sophistiqué jamais consulté.
N'oubliez pas : la cybersécurité est un processus continu, pas un projet avec une date de fin. Commencez par les fondations, avancez progressivement, et réévaluez régulièrement votre niveau de maturité.