Cybersécurité pour les TPE/PME : les 10 mesures essentielles
Guide pratique de l'ANSSI adapté aux petites entreprises : protégez vos données et votre activité contre les cyberattaques.
43% des cyberattaques ciblent les PME. Pourtant, 60% d’entre elles n’ont aucune politique de sécurité informatique. Résultat : 60% des PME victimes d’une cyberattaque déposent le bilan dans les 18 mois. Voici les mesures essentielles recommandées par l’ANSSI.
L’état de la menace en 2026
Les attaques les plus fréquentes
| Type d’attaque | % des incidents | Impact moyen |
|---|---|---|
| Rançongiciel (ransomware) | 24% | 180 000 € |
| Hameçonnage (phishing) | 35% | Variable |
| Compromission de messagerie | 18% | 25 000 € |
| Fraude au président | 12% | 50 000 € |
| Vol de données | 11% | Sanctions RGPD + réputation |
Pourquoi les PME sont ciblées
- Moins protégées que les grandes entreprises
- Portes d’entrée vers leurs clients grands comptes
- Données sensibles (clients, RIB, contrats)
- Plus susceptibles de payer les rançons
Source : ANSSI - Panorama de la cybermenace 2025
Les 10 mesures essentielles
L’ANSSI a publié un guide adapté aux TPE/PME. Voici les 10 mesures prioritaires.
1. Mots de passe robustes et uniques
Le problème : 81% des violations de données impliquent des mots de passe faibles ou volés.
Les règles :
- 12 caractères minimum (16 pour les comptes sensibles)
- Mélange majuscules, minuscules, chiffres, caractères spéciaux
- Un mot de passe différent par service
- Changement immédiat si compromission suspectée
Solution pratique : Utilisez un gestionnaire de mots de passe (Bitwarden, KeePass, 1Password). Vous n’avez qu’un seul mot de passe maître à retenir.
Source : ANSSI - Recommandations relatives aux mots de passe
2. Authentification multifacteur (MFA)
Le principe : Exiger un deuxième facteur en plus du mot de passe.
Où l’activer en priorité :
- Messagerie professionnelle
- Banque en ligne
- Logiciel comptable
- Stockage cloud
- Accès administrateur
Types de second facteur :
| Méthode | Sécurité | Praticité |
|---|---|---|
| Application TOTP (Authenticator) | ★★★★★ | ★★★★☆ |
| Clé physique (YubiKey) | ★★★★★ | ★★★☆☆ |
| SMS | ★★☆☆☆ | ★★★★★ |
| ★★☆☆☆ | ★★★★★ |
Recommandation : Privilégiez les applications TOTP. Le SMS est vulnérable au SIM swapping.
Source : Cybermalveillance.gouv.fr - Authentification multifacteur
3. Mises à jour systématiques
Pourquoi c’est critique : 60% des attaques exploitent des vulnérabilités connues et corrigées. Les correctifs existent, mais ne sont pas appliqués.
Ce qu’il faut mettre à jour :
- Système d’exploitation (Windows, macOS, Linux)
- Navigateurs web
- Suite bureautique
- Logiciels métier
- Firmware des équipements réseau (routeur, NAS)
Bonne pratique :
- Activez les mises à jour automatiques partout où c’est possible
- Planifiez un créneau hebdomadaire pour les mises à jour manuelles
- Remplacez les logiciels obsolètes (plus supportés par l’éditeur)
Source : ANSSI - Règle 7 du guide d’hygiène
4. Sauvegardes régulières et testées
La règle 3-2-1 :
- 3 copies de vos données
- 2 supports différents (disque local + cloud ou bande)
- 1 copie hors site (géographiquement séparée)
Données à sauvegarder en priorité :
- Base de données comptable
- Documents commerciaux (devis, factures, contrats)
- Emails importants
- Fichiers de configuration
Fréquence recommandée :
| Type de données | Fréquence |
|---|---|
| Données critiques (compta, clients) | Quotidienne |
| Documents de travail | Quotidienne |
| Système complet | Hebdomadaire |
Point crucial : Testez vos sauvegardes régulièrement. Une sauvegarde non testée ne vaut rien.
Source : Cybermalveillance.gouv.fr - Sauvegardes
5. Protection contre le phishing
Les signaux d’alerte :
- Expéditeur inconnu ou adresse légèrement modifiée (ex:
support@amaz0n.com) - Ton urgent ou menaçant
- Demande de cliquer sur un lien ou ouvrir une pièce jointe
- Fautes d’orthographe inhabituelles
- Demande d’informations sensibles (mot de passe, RIB)
Les bons réflexes :
- Ne jamais cliquer sur un lien sans vérifier l’URL
- Survoler le lien pour voir la vraie destination
- En cas de doute, contacter directement l’expéditeur supposé (via un autre canal)
- Former tous les employés à reconnaître le phishing
Que faire si vous avez cliqué ?
- Déconnectez-vous immédiatement d’internet
- Changez vos mots de passe depuis un autre appareil
- Signalez l’incident à votre responsable informatique
- Surveillez vos comptes bancaires
Source : Cybermalveillance.gouv.fr - Phishing
6. Antivirus et pare-feu activés
Protection de base :
| Composant | Rôle |
|---|---|
| Antivirus | Détecte et bloque les malwares connus |
| Pare-feu | Filtre les connexions entrantes/sortantes |
| Anti-spam | Bloque les emails malveillants |
Recommandations :
- Utilisez un antivirus professionnel (pas uniquement Windows Defender pour les postes sensibles)
- Activez les analyses automatiques quotidiennes
- Maintenez les définitions de virus à jour
- Ne désactivez jamais le pare-feu, même temporairement
Solutions recommandées par l’ANSSI : Les solutions certifiées CSPN ou qualifiées offrent des garanties de sécurité.
7. Sécurisation du Wi-Fi
Votre réseau Wi-Fi professionnel :
- Protocole WPA3 (ou WPA2 minimum)
- Mot de passe de 20 caractères minimum
- SSID masqué (optionnel, sécurité limitée)
- Réseau invité séparé pour les visiteurs
Ce qu’il faut éviter :
- WEP (obsolète, cassable en minutes)
- Mot de passe par défaut du routeur
- Partage du mot de passe pro avec les visiteurs
Wi-Fi public (cafés, hôtels, gares) :
- Considérez-le comme hostile
- Utilisez un VPN pour chiffrer vos communications
- Évitez les opérations sensibles (banque, comptabilité)
Source : ANSSI - Recommandations de sécurité relatives aux réseaux Wi-Fi
8. Chiffrement des données sensibles
Données à chiffrer obligatoirement :
- Ordinateurs portables (vol = fuite de données)
- Clés USB et disques externes
- Emails contenant des données personnelles
- Sauvegardes externalisées
Solutions de chiffrement :
| Besoin | Solution |
|---|---|
| Disque complet (Windows) | BitLocker (intégré) |
| Disque complet (macOS) | FileVault (intégré) |
| Fichiers/dossiers | VeraCrypt, 7-Zip |
| Emails | S/MIME, PGP |
Niveau de chiffrement recommandé : AES-256 (standard militaire).
Source : CNIL - Chiffrement des données
9. Gestion des droits d’accès
Principe du moindre privilège : Chaque utilisateur ne doit avoir accès qu’aux données nécessaires à son travail.
Bonnes pratiques :
- Comptes nominatifs : pas de compte “admin” ou “compta” partagé
- Droits limités : un commercial n’a pas besoin d’accéder à la comptabilité
- Revue régulière : supprimez les accès des employés partis
- Comptes administrateur : réservés aux tâches d’administration
Pour les départs :
- Désactivation immédiate des comptes
- Récupération du matériel
- Révocation des accès cloud
- Changement des mots de passe partagés (le cas échéant)
10. Plan de réponse aux incidents
Préparez-vous avant l’attaque :
Contacts d’urgence à avoir sous la main :
- Responsable informatique ou prestataire
- Cybermalveillance.gouv.fr : 0 805 805 817 (numéro vert)
- Assureur (si cyber-assurance)
- Avocat spécialisé (pour les notifications CNIL)
Procédure en cas d’incident :
- Isoler les machines compromises (débrancher du réseau)
- Ne pas éteindre (préserve les preuves)
- Documenter tout (captures d’écran, logs, chronologie)
- Alerter les personnes compétentes
- Porter plainte (obligatoire pour l’assurance)
En cas de rançongiciel :
- Ne payez pas la rançon (pas de garantie, finance les criminels)
- Restaurez depuis vos sauvegardes
- Déposez plainte
- Déclarez à la CNIL si données personnelles concernées (sous 72h)
Source : Cybermalveillance.gouv.fr - Que faire en cas de cyberattaque
Obligations légales
RGPD et sécurité des données
Le RGPD impose de mettre en œuvre des mesures de sécurité appropriées pour protéger les données personnelles. En cas de manquement :
| Niveau de sanction | Montant maximum |
|---|---|
| Avertissement | - |
| Mise en demeure | - |
| Amende | 20 millions € ou 4% du CA mondial |
Notification des violations
En cas de fuite de données personnelles, vous devez :
- Notifier la CNIL dans les 72 heures
- Informer les personnes concernées si risque élevé
Source : CNIL - Notifier une violation de données
NIS2 : nouvelles obligations 2025
La directive européenne NIS2 étend les obligations de cybersécurité à de nombreux secteurs. Vérifiez si votre entreprise est concernée (santé, énergie, transports, services numériques…).
Ressources gratuites
Formations et sensibilisation
- SecNumacadémie : MOOC gratuit de l’ANSSI
- Cybermalveillance.gouv.fr : Fiches pratiques et kits de sensibilisation
Outils de diagnostic
- Mon Aide Cyber : Diagnostic gratuit en 1h30
- Diagnostic cybersécurité : France Num
Documentation
Comment Aquila protège vos données
Aquila intègre les bonnes pratiques de sécurité dès la conception :
Stockage local uniquement
- Vos données comptables restent sur votre machine
- Aucune exposition sur internet
- Pas de risque de fuite depuis un serveur cloud
Chiffrement de niveau militaire
- Base de données chiffrée AES-256
- Champs sensibles chiffrés individuellement (IBAN, contacts)
- Clé dérivée de votre installation (unique)
Authentification renforcée
- Mots de passe hashés avec Argon2
- Support de l’authentification 2FA (TOTP)
- Sessions sécurisées avec tokens JWT
Traçabilité complète
- Journal d’audit de toutes les actions
- Détection des comportements anormaux
- Export conforme pour les contrôles
Sources officielles
Articles connexes
Simplifiez votre gestion de factures
Aquila automatise la saisie, le classement et le rapprochement de vos factures fournisseurs.
Découvrir Aquila