Les TPE/PME sont des cibles privilégiées des cyberattaques : moins protégées que les grands groupes, mais avec des données précieuses. Ce guide vous donne les clés pour vous protéger efficacement.

Pourquoi les TPE/PME sont ciblées

Des cibles faciles

Moins de moyens dédiés à la sécurité
Moins de sensibilisation des équipes
Systèmes parfois obsolètes
Pas d’équipe informatique dédiée

Des données précieuses

Données clients
Informations bancaires
Secrets commerciaux
Accès à des partenaires (supply chain)

Les chiffres

43% des cyberattaques visent les PME
60% des PME victimes déposent le bilan dans les 6 mois
Coût moyen d’une attaque : 50 000€ pour une PME

Les menaces principales

1. Phishing (hameçonnage)

Principe : Email frauduleux imitant un expéditeur légitime pour voler des informations.

Exemples :

Faux email de la banque demandant vos identifiants
Fausse facture d’un fournisseur avec un lien malveillant
Message “urgent” du dirigeant demandant un virement

Comment se protéger :

Vérifier l’adresse de l’expéditeur (pas le nom affiché)
Ne jamais cliquer sur un lien douteux
En cas de doute, contacter l’expéditeur par un autre canal

2. Ransomware (rançongiciel)

Principe : Logiciel qui chiffre vos fichiers et demande une rançon.

Conséquences :

Blocage total de l’activité
Perte de données si pas de sauvegarde
Paiement de rançon (sans garantie de récupération)

Comment se protéger :

Sauvegardes régulières ET déconnectées
Ne pas ouvrir les pièces jointes suspectes
Maintenir les systèmes à jour

3. Fraude au président

Principe : Se faire passer pour le dirigeant pour demander un virement urgent.

Scénario type :

Email ou appel “du président” (en déplacement, urgence)
Demande de virement confidentiel et urgent
Coordonnées bancaires inhabituelles

Comment se protéger :

Procédure de double validation pour les virements
Vérification systématique par un autre canal
Former les équipes comptables

4. Fraude au faux RIB

Principe : Intercepter une facture et modifier le RIB.

Scénario type :

Piratage de la boîte mail du fournisseur (ou de la vôtre)
Interception d’une facture
Renvoi de la facture avec RIB modifié

Comment se protéger :

Vérifier tout nouveau RIB par téléphone
Se méfier des changements de coordonnées bancaires
Contrôler les RIB avant paiement

5. Fuite de données

Causes :

Piratage
Erreur humaine (email envoyé au mauvais destinataire)
Perte de matériel (ordinateur, clé USB)

Conséquences :

Atteinte à la réputation
Sanctions RGPD
Exploitation des données volées

Les 10 règles essentielles

Règle 1 : Mots de passe robustes

Minimum :

12 caractères
Majuscules, minuscules, chiffres, caractères spéciaux
Unique pour chaque compte

Recommandé :

Gestionnaire de mots de passe (Bitwarden, KeePass)
Phrases de passe : MonChien@Mange3Croquettes!

Interdit :

Même mot de passe partout
Informations personnelles (date de naissance, prénom)
Mots de passe évidents (123456, password, azerty)

Règle 2 : Mises à jour systématiques

Pourquoi : Les mises à jour corrigent des failles de sécurité.

Quoi mettre à jour :

Système d’exploitation (Windows, macOS)
Navigateurs web
Logiciels métier
Antivirus
Box internet / routeur

Comment :

Activer les mises à jour automatiques
Planifier un créneau hebdomadaire de vérification

Règle 3 : Sauvegardes régulières

Règle 3-2-1 :

3 copies des données
2 supports différents
1 copie hors site (et hors ligne pour le ransomware)

Fréquence : Quotidienne pour les données critiques.

Test : Vérifier régulièrement que les sauvegardes sont restaurables.

Règle 4 : Antivirus et pare-feu

Antivirus :

Installé sur tous les postes
À jour (base de signatures)
Analyse régulière

Pare-feu :

Activé sur chaque poste
Box internet correctement configurée

Règle 5 : Sécuriser le Wi-Fi

Minimum :

Chiffrement WPA3 (ou WPA2 minimum)
Mot de passe robuste
Changer le mot de passe par défaut de la box

Recommandé :

Réseau séparé pour les invités
Désactiver le WPS

Règle 6 : Séparer usages pro et perso

Risques du mélange :

Logiciels personnels non sécurisés
Sites à risque consultés
Données pro sur appareils perso non protégés

Bonnes pratiques :

Ordinateur professionnel dédié
Comptes séparés
Pas de données pro sur clé USB personnelle

Règle 7 : Vigilance sur les emails

Vérifier avant de cliquer :

L’adresse de l’expéditeur (pas le nom affiché)
La cohérence du message
La qualité du français
L’URL des liens (survol sans cliquer)

En cas de doute :

Ne pas cliquer
Ne pas ouvrir la pièce jointe
Contacter l’expéditeur supposé par un autre moyen

Règle 8 : Chiffrer les données sensibles

Quelles données :

Données clients
Informations bancaires
Documents confidentiels

Comment :

Chiffrement du disque dur (BitLocker, FileVault)
Mot de passe sur les fichiers sensibles
Logiciels avec chiffrement intégré (comme Aquila)

Règle 9 : Contrôler les accès

Principe du moindre privilège : Chacun n’accède qu’à ce dont il a besoin.

Actions :

Comptes utilisateurs individuels (pas de compte partagé)
Droits adaptés au rôle
Suppression des accès des anciens collaborateurs

Règle 10 : Se préparer à l’incident

Anticiper :

Contacts d’urgence (prestataire IT, assurance)
Procédure de crise documentée
Sauvegardes testées

En cas d’attaque :

Déconnecter les machines touchées (pas éteindre)
Alerter le responsable
Conserver les preuves
Déposer plainte
Déclarer à la CNIL si données personnelles

Plan d’action : se sécuriser en 4 semaines

Semaine 1 : Les bases

Inventorier les équipements et logiciels
Installer/mettre à jour les antivirus
Activer les mises à jour automatiques
Changer les mots de passe faibles

Semaine 2 : Les sauvegardes

Mettre en place la sauvegarde 3-2-1
Tester une restauration
Documenter la procédure

Semaine 3 : Les accès

Créer des comptes individuels
Revoir les droits d’accès
Supprimer les comptes inutilisés
Sécuriser le Wi-Fi

Semaine 4 : La sensibilisation

Former les collaborateurs au phishing
Établir les procédures de vérification (virements, RIB)
Documenter la procédure de crise

Outils recommandés

Gratuits

Besoin	Outil
Gestionnaire de mots de passe	Bitwarden, KeePass
Antivirus	Windows Defender (intégré), Avast
Sauvegarde locale	Logiciel intégré au système
Chiffrement	BitLocker (Windows Pro), FileVault (Mac)

Payants (investissement raisonnable)

Besoin	Outil	Budget
Antivirus professionnel	Bitdefender, ESET	~50€/an/poste
Sauvegarde cloud sécurisée	Backblaze, pCloud	~100€/an
VPN professionnel	NordVPN Teams	~60€/an/utilisateur

Aquila et la sécurité

Conception sécurisée

Stockage local :

Vos factures restent sur votre ordinateur
Pas de transmission vers des serveurs externes
Pas de risque de fuite depuis un cloud

Chiffrement :

Base de données chiffrée
Illisible sans votre mot de passe
Protection même en cas de vol de l’ordinateur

Mot de passe :

Accès protégé
Verrouillage automatique après inactivité

Bonnes pratiques avec Aquila

Choisir un mot de passe Aquila robuste
Sauvegarder régulièrement (fonction intégrée)
Garder une copie hors site
Mettre à jour Aquila quand proposé

En cas d’incident

Contacts utiles

Cybermalveillance.gouv.fr : Plateforme d’assistance
ANSSI : Agence nationale de la sécurité des systèmes d’information
Police/Gendarmerie : Dépôt de plainte
CNIL : Notification de violation de données

Numéros

Cybermalveillance : 0 805 805 817 (gratuit)
Votre prestataire IT : [à renseigner]
Votre assurance : [à renseigner]

Ressources officielles

ANSSI

ssi.gouv.fr : Guides et recommandations
Guide d’hygiène informatique : 42 mesures essentielles

Cybermalveillance.gouv.fr

Diagnostic en ligne : Identifier l’attaque
Conseils : Prévention et réaction
Prestataires référencés : Assistance locale

CNIL

Notification de violation : Procédure en ligne
Guides RGPD : Sécurité des données

Sécurisez vos données avec Aquila

Découvrir la sécurité Aquila →

Demander une démonstration →