Écrans noirs. Fichiers chiffrés. Un message en anglais réclame 15 000 € en Bitcoin. La comptabilité, les devis, la base clients — tout est inaccessible. Votre prestataire informatique ne répond pas avant 48h. Vous ne savez pas quoi faire, ni qui appeler. Ce scénario touche 330 000 TPE/PME par an en France. Voici comment l'éviter — et comment réagir si ça arrive.
Vous pensez que les hackers s'attaquent aux grandes entreprises ? C'est l'inverse. 43% des cyberattaques visent les TPE/PME (rapport ANSSI 2024). Pourquoi ? Parce qu'elles n'ont ni pare-feu digne de ce nom, ni politique de mots de passe, ni sauvegardes testées. Elles sont les cibles les plus faciles — et les plus rentables.
Les trois menaces principales : le ransomware (vos fichiers sont chiffrés, on vous demande une rançon), le phishing (un email piégé qui donne accès à vos systèmes), et le vol de données (fichier clients, coordonnées bancaires, données personnelles). Le coût moyen d'une attaque pour une PME : 25 000 à 50 000 € — sans compter l'arrêt d'activité.
Cet article n'est pas un cours de cybersécurité. C'est un guide de survie opérationnel : les gestes qui protègent, les réflexes quand ça arrive, et les numéros à appeler.
Chaque signal est une porte ouverte. Les pirates ne forcent pas les serrures — ils cherchent les portes qu'on a oublié de fermer.
« Entreprise2024! » pour la boîte mail, le logiciel comptable, le Wi-Fi et le compte fournisseur. Un seul de ces services est compromis → tout tombe. Et non, ajouter un « ! » à la fin ne rend pas un mot de passe sûr. 80% des intrusions exploitent des mots de passe faibles ou réutilisés.
Vous avez peut-être un disque dur externe branché au serveur. Mais l'avez-vous testé ? Si le ransomware chiffre aussi le disque de sauvegarde (c'est le cas dans 60% des attaques), votre « sauvegarde » ne vaut rien. Une sauvegarde non testée est une illusion de sécurité.
Un email de « votre banque » demande de vérifier vos coordonnées. Un « fournisseur » envoie une facture avec un nouveau RIB. Votre comptable clique, saisit les identifiants — et c'est fini. Le phishing représente 90% des vecteurs d'attaque. La faille n'est pas technique, elle est humaine.
« Mettre à jour plus tard » depuis 6 mois. Chaque mise à jour non installée est une faille de sécurité connue et documentée — que les pirates exploitent automatiquement avec des scripts. Pas besoin d'être un génie : les outils d'attaque scannent internet à la recherche de versions obsolètes.
Tous les postes ont les droits admin. N'importe qui peut installer un logiciel, accéder aux données de tout le monde, ou exécuter un programme malveillant. Un seul poste compromis = tout le réseau compromis. La séparation des droits est la base — et elle est gratuite.
Si demain matin vos systèmes sont bloqués, qui appelez-vous ? Quel est le numéro de votre prestataire informatique ? Où sont les copies de sauvegarde ? Qui prévient les clients ? Si la réponse est « je ne sais pas », vous perdrez des jours — et des dizaines de milliers d'euros — à improviser.
Les pirates ne forcent pas les serrures. Ils essaient toutes les poignées. Et dans une PME, il y a presque toujours une porte ouverte — un mot de passe réutilisé, une mise à jour oubliée, un email de phishing non détecté. Il suffit d'une seule.
Paul Coindeau · Business Partner
Vous n'avez pas besoin d'un RSSI à 70K€. Ces quatre mesures bloquent la grande majorité des attaques sur les TPE/PME.
Un gestionnaire de mots de passe (Bitwarden, 1Password — gratuit ou 3€/mois) + l'authentification à deux facteurs (2FA) sur tous les comptes critiques : email, banque, comptabilité, cloud. Résultat : même si un mot de passe fuite, le pirate ne peut pas entrer. C'est le geste n°1 — et il prend 1 heure à mettre en place pour toute l'entreprise.
Bloque 80% des intrusions par mot de passeLa règle 3-2-1 : 3 copies de vos données, sur 2 supports différents, dont 1 hors site (cloud ou disque déconnecté). Le piège : un disque dur branché en permanence au serveur sera chiffré par le ransomware. La sauvegarde hors ligne ou cloud déconnecté est la seule qui résiste. Et testez-la chaque mois : restaurez un fichier au hasard pour vérifier qu'elle fonctionne.
Capacité de redémarrage en 24-48hUne session de 30 minutes suffit : montrer des exemples d'emails piégés, apprendre à vérifier l'adresse de l'expéditeur (pas le nom affiché — l'adresse réelle), ne jamais cliquer sur un lien urgent, ne jamais changer de RIB fournisseur sans vérification téléphonique. Faites-le une fois par an. Le retour sur investissement est colossal : vous transformez la faille principale en première ligne de défense.
Réduit le phishing de 70%Activer les mises à jour automatiques sur tous les postes et serveurs. Retirer les droits admin aux postes utilisateurs — ils n'en ont pas besoin. Ces deux gestes ferment les portes que les scripts d'attaque exploitent en priorité. Coût : zéro. Temps : une demi-journée de configuration. Impact : majeur.
Ferme les failles exploitées automatiquementPas de panique. Chaque heure compte, mais les bons réflexes changent tout.
Imprimez cette liste. Le jour J, votre accès internet sera peut-être coupé.
Le premier réflexe. Plateforme gouvernementale de diagnostic et d'assistance. Vous décrivez l'attaque, elle vous oriente vers un prestataire référencé proche de chez vous. Accessible 24/7. Gratuit. Pensez à sauvegarder le lien hors ligne.
cybermalveillance.gouv.frL'agence nationale de cybersécurité. Pour les incidents graves (ransomware, vol massif de données). Publie aussi les alertes sur les failles critiques. Si vous êtes un opérateur d'importance vitale (OIV), la notification est obligatoire.
cert-fr.ssi.gouv.frPorter plainte est indispensable — pour l'assurance, pour la CNIL, et pour l'enquête. La brigade numérique de la gendarmerie (ma-brigade-numerique.gendarmerie.interieur.gouv.fr) permet de pré-déposer en ligne. Vous pouvez aussi appeler le 17 ou vous rendre au commissariat avec les captures d'écran.
Plainte = déclencheur assurance + CNILSi des données personnelles sont compromises (fichier clients, emails, coordonnées), la notification à la CNIL est obligatoire sous 72h (article 33 du RGPD). Le formulaire est sur notifications.cnil.fr. Ne pas notifier expose à une amende pouvant aller jusqu'à 10M€ ou 2% du CA mondial.
notifications.cnil.fr — obligatoire RGPDLe meilleur moment pour préparer votre réponse à une cyberattaque, c'était il y a un an. Le deuxième meilleur moment, c'est maintenant. Imprimez les contacts. Testez vos sauvegardes. Formez votre équipe. Le jour où ça arrive — et statistiquement, ça arrivera — vous serez prêt.
Paul Coindeau · Business Partner
Un audit rapide de votre posture cyber identifie les portes ouvertes et les premières actions à mettre en place — souvent en une demi-journée, souvent gratuites.
Sécuriser mon entreprise