Cybersécurité pour les PME : les 10 mesures essentielles

Les PME face aux cybermenaces

Les PME sont des cibles privilégiées des cyberattaques. Selon l’ANSSI, 43% des incidents de cybersécurité signalés en France concernent des PME. Les attaquants ciblent les entreprises les moins protégées, pas les plus grandes. Un ransomware qui chiffre vos données peut paralyser votre activité pendant des jours ou des semaines. Ce guide couvre les 10 mesures essentielles que chaque PME devrait mettre en place.

1. Authentification à deux facteurs (2FA)

La 2FA est la mesure la plus efficace contre les compromissions de compte. Même si un mot de passe est volé, l’attaquant ne peut pas se connecter sans le second facteur. Activez la 2FA sur tous les comptes critiques : email, cloud, banque, réseaux sociaux. Google Workspace et Microsoft 365 permettent d’imposer la 2FA à tous les utilisateurs.

2. Mots de passe robustes et uniques

Chaque compte doit avoir un mot de passe unique d’au moins 12 caractères. Un gestionnaire de mots de passe (Bitwarden, 1Password) génère et stocke des mots de passe complexes pour chaque service. Interdisez la réutilisation de mots de passe entre les comptes professionnels et personnels.

3. Sauvegardes automatisées et testées

Sauvegardez vos données critiques automatiquement, quotidiennement, vers un emplacement séparé de votre infrastructure principale. La règle 3-2-1 recommande 3 copies de vos données, sur 2 supports différents, dont 1 hors site. Testez la restauration régulièrement : une sauvegarde non testée est une sauvegarde qui ne fonctionne peut-être pas.

4. Mises à jour systématiques

Les mises à jour de sécurité corrigent les vulnérabilités connues. Activez les mises à jour automatiques sur tous les systèmes d’exploitation, navigateurs et applications. Les vulnérabilités non corrigées sont la porte d’entrée la plus courante des attaquants.

5. Formation au phishing

Le phishing est le vecteur d’attaque le plus courant. Formez vos équipes à reconnaître les emails suspects : expéditeur inhabituel, urgence artificielle, liens douteux, pièces jointes inattendues. Organisez des simulations de phishing pour tester et renforcer la vigilance.

6. Chiffrement des données

Chiffrez les données sensibles au repos et en transit. Les suites cloud (Google Workspace, Microsoft 365) chiffrent les données par défaut. Pour les postes de travail, activez BitLocker (Windows) ou FileVault (macOS). Pour les communications, utilisez HTTPS et des VPN pour les accès distants.

7. Gestion des accès et des privilèges

Appliquez le principe du moindre privilège : chaque utilisateur ne dispose que des accès nécessaires à son travail. Révoquez immédiatement les accès des collaborateurs qui quittent l’entreprise. Auditez régulièrement les permissions pour détecter les accès excessifs.

8. Segmentation réseau

Séparez votre réseau en zones : réseau interne, réseau invités, réseau IoT. Un appareil compromis sur le réseau invités ne doit pas pouvoir accéder aux serveurs internes. Les pare-feux et les VLAN implémentent cette segmentation.

9. Plan de réponse aux incidents

Documentez la procédure à suivre en cas d’incident : qui contacter, comment isoler le système compromis, comment communiquer en interne et en externe. Un plan testé réduit le temps de réaction et limite les dégâts.

10. Surveillance et détection

Surveillez les connexions suspectes, les tentatives d’accès échouées et les comportements anormaux. Les outils cloud (Google Workspace Security Center, AWS GuardDuty) détectent automatiquement les menaces. Configurez des alertes pour être notifié en temps réel.

LCMH accompagne les PME dans la sécurisation de leur infrastructure cloud et la mise en place de bonnes pratiques de cybersécurité.

Pour la sécurité spécifique à Google Workspace, consultez notre article sur la protection des données dans Google Workspace.

Sources

1. ANSSI, Guide des bonnes pratiques de l’informatique. ssi.gouv.fr
2. ANSSI, Panorama de la cybermenace 2024. cert.ssi.gouv.fr
3. cybermalveillance.gouv.fr, Les bonnes pratiques. cybermalveillance.gouv.fr