Cybersécurité en PME : comment faire le tri entre l’indispensable, le souhaitable et le superflu ?

Les PME croulent sous les recommandations en cybersécurité, car l’enjeu est majeur : la moitié de ces structures déposent le bilan 18 mois après une cyberattaque réussie.

D’un côté, les fondamentaux sont mal appliqués : absence de MFA, sauvegardes mal configurées, droits d’accès trop larges, postes rarement mis à jour... De l’autre, des outils lourds, mal compris, déployés par mimétisme ou sous la pression d’un prestataire.

En réalité, la politique de cybersécurité d’une PME doit s’appuyer sur quelques fondements indispensables, une poignée de mesures souhaitables… et délaisser les outils surdimensionnés et les gadgets qui n’ont aucune utilité dans son contexte. On fait le point !

Les indispensables pour sécuriser la PME contre les cyberattaques

Aucune PME n’échappe au phishing, aux rançongiciels et aux vols de données. Ce sont les protections mises en place qui conditionnent l’issue de l’attaque. En France, le coût moyen d’une cyberattaque réussie est de 130 000 €, et 50 % des PME touchées finissent par déposer le bilan dans les 18 mois. Négliger un seul de ces piliers, et c’est la catastrophe assurée à court ou moyen terme.

#1 L’authentification forte (MFA partout où c’est possible)

L’authentification multifacteur (MFA) ajoute une seconde vérification à l’identification classique par mot de passe sur les accès mail, Cloud, CRM, etc.

Concrètement, l’utilisateur doit prouver son identité via un code temporaire (notification Push, SMS, clé physique) en plus de son mot de passe habituel. Ce double verrou bloque la plupart des attaques par phishing. En clair, même si le mot de passe circule, il devient inutilisable sans ce second facteur.

La majorité des intrusions en PME démarrent par un accès mail ou Cloud compromis. Les attaquants exploitent des listes de mots de passe dérobés ou devinent les identifiants simples (attaque de type Brute Force. En imposant cette vérification supplémentaire, vous coupez court à 80 % des scénarios d’intrusion ordinaires.

L’installation de la MFA sur tous les services critiques ne prend que quelques heures et évite des semaines de dégâts. Aucun pare-feu, aucun antivirus et aucune sauvegarde ne compensera l’absence de ce rempart. Ignorer la MFA, c’est tout simplement laisser la clé sous le paillasson !

💡 Le chiffre à connaître

Selon Microsoft, l’authentification à double facteur peut bloquer 99.9 % des cyberattaques. Cette bonne pratique est d’ailleurs fortement recommandée par l’ANSSI, qui lui a dédié un guide pratique (à télécharger ici).

#2 Sauvegardes automatisées, isolées et testées

La sauvegarde automatique crée une copie des données de l’entreprise à intervalles réguliers. Cette copie doit toujours être stockée en dehors du réseau principal, par exemple dans un Cloud sécurisé ou sur un support physique déconnecté. Objectif : pouvoir restaurer l’activité en cas d’attaque, de suppression accidentelle ou de panne matérielle.

C’est également la seule solution qui vous permettra de vous remettre d’une attaque par ransomware quasi-immédiatement. Pour rappel, le rançongiciel bloque l’accès à tous les fichiers qui se trouvent sur le réseau en quelques minutes. Sans sauvegarde isolée, vous allez vous retrouver à l’arrêt, avec des semaines de travail perdues, sauf à payer la rançon (sans aucune garantie de déblocage). Même problème après une erreur humaine : un fichier effacé ou une mauvaise manipulation peut effacer plusieurs années de données en un clic.

La fiabilité de la sauvegarde se joue sur trois points :

1. L’automatisation (pas d’oubli possible) ;
2. L’isolement (le pirate ne doit pas pouvoir accéder à la copie sauvegardée) ;
3. Le test régulier (restaurer un fichier, vérifier l’intégrité de la copie…).

💡 À savoir

L’ANSSI et la CPME recommandent d’appliquer la règle des 3 – 2 – 1 : trois copies, sur deux supports différents, dont une hors site.

#3 Autres fondements de cybersécurité à ne pas négliger

La MFA et les sauvegardes créent une première ligne de défense, mais les PME qui s’en tiennent à ces deux protections restent exposées à plusieurs risques :

• L’exploitation d’une faille dans un logiciel qui n’a pas été mis à jour (navigateur, suite bureautique, CRM…) ;
• L’infection d’un poste utilisateur par malware (suite à une pièce-jointe piégée, par exemple) ;
• La prise de contrôle étendue via des droits mal attribués ;
• La diffusion d’un cheval de Troie sur l’ensemble du réseau via un seul poste vulnérable…

Voici comment compléter le duo MFA + sauvegardes automatiques :

Protection	Intérêt opérationnel
Mises à jour automatiques	Bloquer l’exploitation de failles connues (exemple : zero-day sur navigateur ou serveur)
Antivirus/EDR centralisé	Détecter et neutraliser les malwares avant qu’ils ne s’installent ou ne se propagent sur le réseau
Restriction des droits d’accès	Limiter les dégâts si un poste utilisateur est compromis : pas d’accès aux dossiers sensibles ni à l’administration
Sensibilisation régulière des équipes	Réduire le risque de clic sur un mail piégé, empêcher l’installation de logiciels inconnus, sensibiliser au phishing et autres arnaques (au président, au faux fournisseur…).

Les protections souhaitables pour renforcer la cybersécurité d’une PME

Les mesures « souhaitables » en cybersécurité ne relèvent pas de l’urgence vitale, mais elles permettent de passer d’une politique de cybersécurité de base à une politique robuste.

Leur pertinence dépend évidemment de votre exposition au risque :  une pharmacie avec un seul poste de travail n'aura pas les mêmes besoins qu'un cabinet comptable de 25 personnes qui gèrent 300 dossiers clients.

#1 Supervision de sécurité centralisée

La supervision centralisée permet de garder le contrôle sur l’ensemble du système d’information. Chaque événement, par exemple une connexion suspecte, une tentative d’accès bloquée ou le comportement anormal d’un poste, remonte automatiquement vers une console. Ce monitoring repose sur la collecte des journaux d’événements (logs), l’analyse automatisée et la génération d’alertes en temps réel.

Ce type de supervision peut passer par un outil de type SIEM, une plateforme Cloud ou un service externalisé, selon les ressources de l’entreprise. L’objectif ici n’est pas forcément d’empêcher l’attaque, mais plutôt de :

• La détecter en temps réel ou, à minima, très rapidement ;
• Avoir des éléments de contexte sur l’attaque ;
• Historique pour comprendre la vulnérabilité et ajuster la politique de cybersécurité en conséquence.

#2 Gestion structurée des accès et des identités

La gestion des accès et des identités consiste à attribuer, limiter et suivre les droits de chaque utilisateur sur l’ensemble des outils métiers (messagerie, CRM, serveurs, Cloud…). Chaque accès doit correspondre à un vrai besoin métier et être révoqué dès qu’il n’est plus justifié.

On vise ici à réduire la surface d’attaque. Car moins il y a d’accès ouverts, moins il y a de risques d’intrusions. Avec cette politique, les droits d’accès s’ajustent selon les mouvements du personnel : recrutement, départ, changement de poste, intérim…

#3 Autres mesures souhaitables

L’activité de l’entreprise, son organisation de travail (mobilité, télétravail, multi-sites), le niveau d’exigence des clients et la sensibilité des données peuvent justifier d’ajouter d’autres protections. Ce sont des renforcements à ajuster au cas par cas, selon le contexte de la PME.

Protection	Usage et intérêt
Segmentation réseau	Isoler les postes sensibles, limiter la propagation en cas d’infection (exemple : création de VLAN, séparation bureautique / production)
Chiffrement des postes nomades	Protéger les données en cas de vol ou de perte d’ordinateur portable ou de smartphone
Gestion des terminaux mobiles	Contrôler l’accès aux données via une flotte de smartphones/tablettes (MDM, effacement à distance)
Tests d’intrusion ponctuels	Repérer les failles techniques ou humaines non identifiées par l’équipe interne

Le superflu : ces outils inutiles dans le contexte de la PME

Évidemment, il y a d’autres mesures de cybersécurité qui peuvent être pertinentes pour certains secteurs d’activité, mais l’essentiel a été dit dans les deux premières parties. À présent, nous souhaitons attirer votre attention sur les gadgets inutiles et les outils qui peuvent être intéressants dans l’absolu, mais qui n’ont aucun intérêt pour une PME :

• Solutions de cybersécurité industrielle (OT/ICS) : prévues pour les usines connectées, les lignes de production automatisées et les infrastructures critiques. Une PME commerciale ou du tertiaire n’en a pas besoin ;
• SIEM à déploiement interne : ce type d’outil collecte les logs de tous les serveurs et les analyse pour détecter des comportements anormaux. Mais sans équipe en interne pour lire les alertes et ajuster les scénarios de détection, la console ne sert à rien ;
• Chiffrement automatique de tous les emails sortants : dans les faits, les messages sont rarement confidentiels à ce point, et les destinataires ne savent pas toujours les ouvrir. Le chiffrement du disque dur et la sécurisation de l'accès suffisent dans la majorité des cas ;
• VPN multi-sites avec règles dynamiques : utile dans un groupe réparti sur plusieurs entités ou sites avec une DSI pour le maintenir. Pour une PME avec un seul local et des accès Cloud bien verrouillés, un VPN simple suffira à sécuriser les accès à distance ;
• Solutions ZTNA avec micro-segmentation dynamique : très utiles dans un environnement multi-utilisateurs à droits très fluctuants (grande structure, mobilité forte, sous-traitants), mais sans gain tangible dans une PME avec des équipes fixes et des rôles stables ;
• Outils de gestion des terminaux mobiles (MDM) quand on n’a que trois téléphones professionnels : les fonctions d’effacement à distance de Google ou Apple suffisent. Un MDM ne vaut le coût que si on a une flotte entière à gérer (à partir d’une dizaine de terminaux) avec des droits différents selon les postes (au moins deux profils) ;
• Les pare-feux « militaires » : installer un Palo Alto Networks PA-3400 (15 000 € + 20 % de maintenance annuelle) pour 10 utilisateurs, c’est évidemment surdimensionné. Un antivirus à 500 – 1 000 € avec les bonnes règles bloquerait 98% des menaces ;
• Des formations en cybersécurité sans mise en pratique : on parle ici des sessions qui se basent uniquement sur un PDF théorique sans exercices pour reconnaître un mail de phishing, une arnaque au président, etc.

Laissez-nous sécuriser votre SI, concentrez-vous sur votre cœur de métier

Une cyberattaque qui aboutit, c’est une menace directe sur la compétitivité, voire la pérennité de votre activité.

Les PME sont visées au quotidien, notamment dans les attaques par rebond qui ciblent les grands comptes à travers leurs prestataires. Ce qui est exploité, ce n’est pas votre taille. C’est votre position dans la chaîne de confiance.

DFM accompagne les PME et ETI françaises depuis plus de 20 ans dans la conception, l’exécution et le renforcement de leur politique de cybersécurité. Notre force : une présence terrain de proximité, avec 300 collaborateurs répartis dans 12 agences partout dans l’Hexagone, au service de plus de 10 000 clients. Parlons de votre besoin 👇