Cybersecurity for SMBs: 10 essential measures

SMBs facing cyber threats

SMBs are prime targets for cyberattacks. According to ANSSI, 43% des incidents de cybersécurité signalés en France concernent des PME. Les attaquants ciblent les entreprises les moins protégées, pas les plus grandes. Un ransomware qui chiffre vos données peut paralyser votre activité pendant des jours ou des semaines. Ce guide couvre les 10 mesures essentielles que chaque PME devrait mettre en place.

1. Authentification à deux facteurs (2FA)

2FA is the most effective measure contre les compromissions de compte. Même si un mot de passe est volé, l’attaquant ne peut pas se connecter sans le second facteur. Enable la 2FA sur tous les comptes critiques : email, cloud, banque, réseaux sociaux. Google Workspace et Microsoft 365 permettent d’imposer la 2FA à tous les utilisateurs.

2. Mots de passe robustes et uniques

Each account must have a unique password d’au moins 12 caractères. Un gestionnaire de mots de passe (Bitwarden, 1Password) génère et stocke des mots de passe complexes pour chaque service. Interdisez la réutilisation de mots de passe entre les comptes professionnels et personnels.

3. Sauvegardes automatisées et testées

Back up your critical data automatically, quotidiennement, vers un emplacement séparé de votre infrastructure principale. La règle 3-2-1 recommande 3 copies de vos données, sur 2 supports différents, dont 1 hors site. Test la restauration régulièrement : une sauvegarde non testée est une sauvegarde qui ne fonctionne peut-être pas.

4. Mises à jour systématiques

Security updates fix known vulnerabilities. Enable les mises à jour automatiques sur tous les systèmes d’exploitation, navigateurs et applications. Les vulnérabilités non corrigées sont la porte d’entrée la plus courante des attaquants.

5. Formation au phishing

Phishing is the most common attack vector. Train vos équipes à reconnaître les emails suspects : expéditeur inhabituel, urgence artificielle, liens douteux, attachments inattendues. Organize des simulations de phishing pour tester et renforcer la vigilance.

6. Chiffrement des données

Chiffrez les sensitive data au repos et en transit. Les suites cloud (Google Workspace, Microsoft 365) chiffrent les données par défaut. Pour les postes de travail, activez BitLocker (Windows) ou FileVault (macOS). Pour les communications, utilisez HTTPS et des VPN pour les accès distants.

7. Gestion des accès et des privilèges

Appliquez le principe du least privilege : chaque utilisateur ne dispose que des accès nécessaires à son travail. Révoquez immédiatement les accès des collaborateurs qui quittent l’entreprise. Auditez régulièrement les permissions pour détecter les accès excessifs.

8. Segmentation réseau

Segment your network into zones : réseau interne, réseau invités, réseau IoT. Un appareil compromis sur le réseau invités ne doit pas pouvoir accéder aux serveurs internes. Les pare-feux et les VLAN implémentent cette segmentation.

9. Plan de réponse aux incidents

Document la procédure à suivre en cas d’incident : qui contacter, comment isoler le système compromis, comment communiquer en interne et en externe. Un plan testé réduit le temps de réaction et limite les dégâts.

10. Surveillance et détection

Monitor les connexions suspectes, les tentatives d’accès échouées et les comportements anormaux. Les outils cloud (Google Workspace Security Center, AWS GuardDuty) détectent automatiquement les menaces. Configure des alertes pour être notifié in real time.

LCMH accompagne les PME in securing their cloud infrastructure and implementing cybersecurity best practices.

For Google Workspace-specific security, read our article on la protection des données dans Google Workspace.

Sources

1. ANSSI, Guide des bonnes pratiques de l’informatique. ssi.gouv.fr
2. ANSSI, Panorama de la cybermenace 2024. cert.ssi.gouv.fr
3. cybermalveillance.gouv.fr, Les bonnes pratiques. cybermalveillance.gouv.fr