Cybersécurité PME : 93 % des attaques sont évitables avec du bon sens

Vous n'avez pas de données secrètes, pas de gros compte en banque, pas de DSI. Vous vous dites que les pirates ont mieux à faire que s'attaquer à une PME de 20 personnes. C'est exactement ce que pensaient la plupart des dirigeants qui ont vu, un lundi matin, leurs fichiers chiffrés et un message réclamant une rançon. La cybersécurité d'une PME ne se joue pas dans un centre d'opérations à plusieurs millions d'euros. Elle se joue sur un mot de passe, un clic et un email de trop.

Bonne nouvelle : il n'y a là rien de sorcier. Selon l'ANSSI, 93 % des incidents qu'elle a analysés auraient pu être évités avec les seules mesures d'hygiène de base. Pas un pare-feu à 50 000 €, pas un consultant à demeure : des habitudes. Ce guide vous donne ces habitudes, dans l'ordre, avec ce qu'il faut faire et ne pas faire. À la fin, vous aurez un plan d'action que vous pourrez lancer cette semaine.

Pourquoi votre PME est une cible — justement parce qu'elle se croit trop petite

La plupart des cyberattaques ne vous visent pas personnellement : elles ramassent ce qui traîne. Des robots balaient internet 24 h/24 à la recherche d'un mot de passe réutilisé, d'un logiciel pas à jour, d'une boîte mail mal protégée. Vous n'avez pas besoin d'être "intéressant" pour être attaqué — il suffit d'être accessible. Et une PME l'est souvent davantage qu'un grand groupe : moins de moyens, pas d'expert dédié, des équipes qui font dix choses à la fois.

Les chiffres confirment le basculement. En 2025, Cybermalveillance.gouv.fr a accompagné plus de 504 000 demandes d'assistance, avec une hausse de 73 % du nombre d'entreprises aidées en un an. Près d'une victime de rançongiciel sur deux est désormais une PME, une TPE ou une ETI. Et pourtant, 80 % des dirigeants de TPE-PME reconnaissent ne pas se sentir suffisamment préparés. L'écart entre l'exposition réelle et la préparation, c'est exactement la faille que les attaquants exploitent.

Il y a aussi un angle que beaucoup de dirigeants oublient : vous n'êtes pas seulement une cible finale, vous êtes une porte d'entrée. Un sous-traitant mal protégé, c'est le moyen le plus simple d'atteindre son donneur d'ordres. C'est d'ailleurs toute la logique de la réglementation qui arrive — un sujet que je détaille dans le guide NIS2 pour les PME. Ce présent article, lui, ne parle pas de loi : il parle de ce que vous faites concrètement, lundi matin.

La règle des 80/20 de la cybersécurité PME

Quelques gestes simples couvrent l'immense majorité du risque. Vous n'avez pas à tout faire, ni à tout faire en même temps. La cybersécurité d'une PME, ce n'est pas une forteresse ; c'est une série de portes fermées à clé pendant que les voisins laissent la leur ouverte. Le pirate opportuniste passe son chemin et va chez le voisin.

Pour décider par où commencer, voici une matrice maison qui classe les sept gestes essentiels par rapport protection / effort. Elle n'a rien de scientifique : c'est l'ordre dans lequel je les recommande à une PME qui part de zéro, fondé sur ce qui bloque le plus d'attaques pour le moins d'efforts.

Les cinq premières lignes couvrent l'essentiel. Le reste de ce guide détaille chacune d'elles — d'abord la technique, puis le facteur humain, qui est en réalité votre première ligne de défense.

Les mots de passe : arrêter le pire avant de viser le parfait

Le vrai danger, ce n'est pas le mot de passe trop court : c'est le même mot de passe partout. Quand un site quelconque se fait pirater et que la liste des identifiants fuite, les attaquants essaient automatiquement ces couples email/mot de passe sur des centaines d'autres services — banque, messagerie professionnelle, Microsoft 365. Si votre comptable utilise le même mot de passe pour son compte LinkedIn personnel et pour la messagerie de l'entreprise, une fuite chez LinkedIn devient une fuite chez vous. Cette technique, le credential stuffing, est la porte d'entrée la plus banale qui soit.

La réponse tient en un outil : un gestionnaire de mots de passe (Bitwarden, 1Password, Dashlane, ou le coffre intégré à votre suite). Il génère un mot de passe unique et long pour chaque service, les retient à votre place, et l'équipe n'a plus qu'à mémoriser un seul mot de passe maître — solide, celui-là. Pour une PME de 15 personnes, le déploiement est simple :

• Choisir une formule entreprise (compter ~3 € par utilisateur et par mois) plutôt que des comptes gratuits individuels : vous gardez la main sur les accès quand quelqu'un part.
• Créer des coffres partagés par service (compta, réseaux sociaux, banque) plutôt que d'envoyer les mots de passe par email ou de les coller sur un post-it sous le clavier.
• Imposer un mot de passe maître long — une phrase de passe de quatre ou cinq mots est plus solide et plus facile à retenir qu'un "P@ssw0rd!" illisible.

Ce qu'il ne faut pas faire : forcer un changement de mot de passe tous les 90 jours. L'ANSSI elle-même a abandonné cette recommandation — ça pousse les gens à choisir Printemps2026! puis Ete2026!, c'est-à-dire l'inverse de la sécurité. On change un mot de passe quand on soupçonne une fuite, pas par superstition du calendrier.

La double authentification (MFA) : le geste le plus rentable de tous

Si vous ne deviez faire qu'une seule chose après avoir lu cet article, ce serait celle-ci. La double authentification — aussi appelée MFA, 2FA ou validation en deux étapes — ajoute un second facteur au mot de passe : un code temporaire, une notification sur votre téléphone, une clé physique. Même si un pirate a volé votre mot de passe, il est bloqué sans ce second facteur. Microsoft estime que la MFA bloque plus de 99 % des piratages de compte, et que 99,9 % des comptes compromis n'avaient pas de MFA activée. Peu de mesures affichent un tel rapport entre l'effort (une heure) et le résultat.

Où l'activer en priorité, dans l'ordre :

• La messagerie professionnelle (Microsoft 365, Google Workspace). C'est le trousseau de clés de l'entreprise : celui qui contrôle vos emails peut réinitialiser presque tous vos autres comptes.
• Les accès distants : VPN, bureau à distance, et tout ce qui permet d'entrer dans votre réseau depuis l'extérieur.
• La banque en ligne et les outils financiers.
• Les comptes administrateurs de vos logiciels métier, de votre site, de vos réseaux sociaux.

Le bon réflexe : préférez une application d'authentification (Microsoft Authenticator, Google Authenticator, Authy) au code par SMS. Le SMS reste infiniment mieux que rien, mais il est interceptable. La nuance : la MFA n'est pas magique. Une attaque appelée MFA fatigue consiste à bombarder un employé de notifications jusqu'à ce qu'il en valide une par lassitude. Le bon message à faire passer : on ne valide jamais une demande qu'on n'a pas déclenchée soi-même. Une notification qui arrive sans que vous vous connectiez, c'est une alerte, pas une formalité.

Le phishing : repérer le piège, et savoir réagir quand on a cliqué

L'hameçonnage reste l'attaque numéro un, et de loin. En 2025, il représentait 43 % des attaques déclarées par les TPE-PME à Cybermalveillance.gouv.fr — contre 24 % un an plus tôt. Le principe est toujours le même : un email (ou un SMS, ou un appel) qui imite une source de confiance — votre banque, un fournisseur, un livreur, le service informatique — et vous pousse à cliquer, à saisir vos identifiants ou à ouvrir une pièce jointe. L'IA générative a rendu ces messages bien plus crédibles : fini les fautes d'orthographe qui trahissaient l'arnaque.

Les signaux qui doivent vous mettre en alerte :

• L'urgence et la menace : "votre compte sera suspendu sous 24 h", "dernier rappel avant blocage". L'urgence est faite pour court-circuiter votre réflexion.
• Une adresse d'expéditeur bancale : passez la souris sur le nom affiché pour voir l'adresse réelle. service@micros0ft-securite.com n'est pas Microsoft.
• Un lien qui ne mène pas où il prétend : survolez-le (sans cliquer) pour voir l'URL réelle en bas de l'écran.
• Une demande inhabituelle : un fournisseur qui change de RIB par email, un "dirigeant" qui réclame un virement urgent et confidentiel. On y revient juste après.

Et si quelqu'un a déjà cliqué ? La pire réaction est de le cacher. Le temps de réaction fait toute la différence. Le protocole, à afficher quelque part de visible :

• 1. Déconnecter le poste du réseau (Wi-Fi et câble) pour stopper une éventuelle propagation.
• 2. Changer le mot de passe du compte concerné depuis un autre appareil sain, et révoquer les sessions ouvertes.
• 3. Vérifier les règles de la messagerie : les attaquants créent souvent une règle de transfert automatique pour continuer à lire vos emails en douce.
• 4. Prévenir et documenter : alerter le dirigeant, noter l'heure et ce qui s'est passé, et en cas de doute sérieux, s'appuyer sur Cybermalveillance.gouv.fr.

Le message culturel à faire passer dans l'entreprise est plus important que n'importe quel outil : celui qui signale son erreur est un héros, pas un coupable. La peur de se faire gronder est ce qui transforme un clic anodin en catastrophe à retardement.

La sécurité "vers l'extérieur" : fraude au président et arnaque au RIB

L'attaque la plus chère pour une PME n'est pas technique : c'est une manipulation humaine. La fraude au président (un faux dirigeant qui ordonne un virement urgent) et l'arnaque au changement de RIB (un faux fournisseur qui annonce de nouvelles coordonnées bancaires) ne franchissent aucun pare-feu : elles passent par votre comptable, par confiance et par routine. Et elles explosent. Selon l'assureur Stoïk, le préjudice moyen d'une fraude au virement pour une PME ou une ETI atteint 54 800 € (médiane à 15 700 €), et la fraude au virement a bondi de 93 % chez les professionnels entre 2024 et 2025. À l'échelle du pays, la fraude par manipulation a causé plus de 380 millions d'euros de préjudice en 2024.

La parade ne coûte rien et tient en une règle : aucun virement ni aucun changement de coordonnées bancaires ne se valide sur la seule foi d'un email. Voici le protocole de double validation "hors-bande" à mettre en place — et à rendre obligatoire, sans exception pour personne, dirigeant compris :

• Changement de RIB d'un fournisseur → on rappelle le fournisseur sur son numéro habituel (celui de vos fiches, jamais celui indiqué dans l'email ou sur la nouvelle facture) pour confirmer de vive voix.
• Demande de virement inhabituelle (montant élevé, urgence, confidentialité demandée, bénéficiaire nouveau) → validation par un second canal et une seconde personne : un appel au demandeur réel, pas une réponse à l'email.
• Seuil de double signature : au-delà d'un montant que vous fixez, deux personnes doivent valider. Cela protège aussi votre comptable, qui n'est plus seul à porter la décision.
• Méfiance par principe face aux trois ingrédients classiques de l'arnaque : urgence, secret, dérogation à la procédure. Un vrai dirigeant qui demande un virement comprendra parfaitement qu'on applique la règle.

Ce point est révélateur d'une vérité que les vendeurs de logiciels évitent : 89 % des entreprises se déclarent insuffisamment préparées face à l'ingénierie sociale. Aucune licence ne vous protège ici — seule une procédure que tout le monde respecte le fait.

Les sauvegardes : votre seule vraie assurance anti-rançongiciel

Une sauvegarde testée, c'est ce qui transforme un rançongiciel en mauvaise journée plutôt qu'en faillite. Face au chiffrement de vos données, payer la rançon n'offre aucune garantie de tout récupérer — et finance le crime. La seule réponse sereine, c'est de pouvoir restaurer vos données par vous-même. D'où la règle 3-2-1, simple à retenir :

• 3 copies de vos données importantes.
• 2 supports différents (par exemple un serveur local et un cloud).
• 1 copie hors-ligne ou hors-site, déconnectée du réseau — c'est elle que le rançongiciel ne pourra pas chiffrer.

Le piège classique : croire qu'on est protégé parce qu'une sauvegarde "tourne". Une sauvegarde jamais testée est une sauvegarde dont vous ignorez si elle fonctionne — et on découvre presque toujours le problème le jour où on en a besoin. Mon conseil de terrain : programmez une restauration d'essai tous les trimestres. Si remonter vos données prend trois jours, vous venez d'apprendre quelque chose de précieux pendant que ce n'est qu'un exercice.

Le facteur humain : vos équipes sont le vrai pare-feu

La technologie filtre une partie des attaques ; vos collaborateurs arrêtent le reste — ou le laissent passer. Puisque le phishing et la fraude au président reposent sur la manipulation, c'est l'humain qui fait la différence. Sensibiliser ne veut pas dire infliger une formation barbante une fois par an. Ce qui marche, dans une PME :

• Des règles courtes et écrites : une charte d'une page (mots de passe, virements, que faire en cas de doute) vaut mieux qu'un manuel de 40 pages que personne ne lit.
• Des exercices concrets : un faux email de phishing envoyé volontairement de temps en temps apprend mille fois plus qu'un diaporama. L'objectif n'est pas de piéger, mais d'entraîner.
• Un canal de signalement simple : à qui je transfère un email suspect, en dix secondes, sans avoir peur de déranger ?
• L'exemplarité du dirigeant : si le patron réclame une dérogation à la procédure de virement "parce que c'est lui", toute la discipline s'effondre.

Cas terrain : une PME des Yvelines à deux doigts de payer

Pour rendre tout cela concret, voici une situation représentative de ce que l'on rencontre sur le terrain (cas anonymisé). Une PME du bâtiment d'une trentaine de salariés, dans les Yvelines (78), reçoit un matin un email de son fournisseur de matériaux habituel : nouvelle facture, et surtout nouveau RIB, "suite à un changement de banque". L'email est impeccable, le logo est bon, le ton habituel. La comptable s'apprête à enregistrer les nouvelles coordonnées pour un règlement de 12 000 €.

Ce qui a sauvé l'entreprise n'est pas un logiciel : c'est une règle. Quelques semaines plus tôt, lors d'un diagnostic informatique, nous avions posé le principe de la double validation hors-bande des changements de RIB. La comptable décroche son téléphone, appelle le fournisseur sur le numéro de la fiche habituelle — pas celui de l'email. Réponse du fournisseur : "Nous n'avons jamais changé de banque." La boîte mail du fournisseur avait été piratée, et les attaquants surveillaient les échanges pour détourner les paiements. Coût de la parade : un appel téléphonique de deux minutes. Coût évité : 12 000 €, et probablement la relation client derrière.

Ce genre de situation n'a rien d'exceptionnel, et n'est pas réservé au 78/95 — nous accompagnons des PME partout en France en visio. C'est simplement l'illustration que la mesure la plus efficace de cette liste ne coûte rien : elle s'installe dans les habitudes, pas dans le budget.

Votre plan d'action cybersécurité en une semaine

Vous n'avez pas besoin d'un projet de six mois pour passer de "exposé" à "correctement protégé". Voici une feuille de route réaliste, étalée sur cinq jours, qu'un dirigeant de PME peut piloter lui-même :

• Jour 1 — MFA partout. Activez la double authentification sur la messagerie, la banque, les accès distants et les comptes administrateurs. C'est l'heure la mieux investie de la semaine.
• Jour 2 — Mots de passe. Choisissez un gestionnaire de mots de passe, créez les coffres partagés, et faites changer les mots de passe réutilisés sur les comptes sensibles.
• Jour 3 — Sauvegardes. Vérifiez que vous avez bien une copie déconnectée (règle 3-2-1) et lancez une restauration d'essai pour confirmer qu'elle fonctionne vraiment.
• Jour 4 — Procédure virements. Écrivez et diffusez la règle de double validation hors-bande des virements et des changements de RIB. Fixez un seuil de double signature.
• Jour 5 — Équipe. Réunissez vos collaborateurs 30 minutes : la charte d'une page, les signaux du phishing, le réflexe "en cas de doute, je signale sans crainte".

En cinq demi-journées, vous aurez couvert ce qui, statistiquement, arrête la grande majorité des attaques. Si vous reconnaissez par ailleurs certains des 5 signes qu'il est temps de moderniser votre informatique, c'est le bon moment pour traiter les deux sujets ensemble.

Les limites : ce que ce guide ne remplace pas

Soyons honnêtes sur le périmètre. Ces gestes couvrent le risque le plus fréquent, celui de l'attaque opportuniste — c'est 80 % du sujet pour 20 % de l'effort. Mais ils ne remplacent pas tout :

• Ce n'est pas une mise en conformité réglementaire. Si vos clients sont de grands donneurs d'ordres, la directive NIS2 va vous imposer des obligations formelles : voir le guide NIS2 pour les PME.
• Ce n'est pas un test d'intrusion. Si vous gérez des données sensibles ou un système d'information complexe, un audit technique approfondi par un spécialiste reste nécessaire.
• Si vous êtes déjà victime d'une attaque, ne bricolez pas seul : isolez, ne payez pas dans la précipitation, et faites-vous accompagner via Cybermalveillance.gouv.fr.

Une dernière mise en garde, pour la route. Vous avez sûrement déjà lu que "60 % des PME victimes d'une cyberattaque ferment dans les 18 mois". Ce chiffre, très répandu, n'a jamais été étayé par une source solide et est régulièrement contesté par les spécialistes. La réalité est plus nuancée : une cyberattaque coûte cher — les estimations convergent entre 59 000 € et plusieurs centaines de milliers d'euros selon la taille et la durée d'interruption — mais toutes les PME touchées ne ferment pas. Je préfère vous donner un chiffre fiable et nuancé qu'un chiffre choc et faux : c'est aussi ça, le bon sens en cybersécurité.

FAQ — Cybersécurité PME

Ma PME est-elle vraiment une cible pour les cyberattaques ?

Oui, et justement parce qu'elle se croit trop petite. La majorité des attaques ne sont pas ciblées : ce sont des campagnes automatisées qui balaient internet à la recherche d'un mot de passe faible ou d'un employé qui clique. En 2025, près d'une victime de rançongiciel sur deux était une PME, une TPE ou une ETI. Vous n'avez pas besoin d'être intéressant pour être attaqué — il suffit d'être vulnérable.

Quel est le geste de cybersécurité le plus rentable pour une PME ?

L'activation de la double authentification (MFA) sur la messagerie et les accès distants. Microsoft estime qu'elle bloque plus de 99 % des piratages de compte, même quand le pirate connaît déjà le mot de passe. C'est gratuit, ça prend une heure à déployer, et ça neutralise l'attaque la plus fréquente : le vol d'identifiants.

Comment se protéger de la fraude au président et de l'arnaque au RIB ?

Avec une règle simple et non négociable : aucun virement et aucun changement de coordonnées bancaires n'est validé sur la seule base d'un email. Toute demande inhabituelle ou tout changement de RIB d'un fournisseur doit être confirmé par un canal différent — un appel à un numéro déjà connu, jamais celui indiqué dans le message. Le préjudice moyen d'une fraude au virement pour une PME ou une ETI est de 54 800 € (Stoïk) : la double validation hors-bande, elle, coûte 0 €.

Faut-il un budget important pour sécuriser une PME ?

Non. Selon l'ANSSI, 93 % des incidents analysés auraient pu être évités avec les mesures d'hygiène de base : mots de passe gérés, MFA, sauvegardes testées, mises à jour, sensibilisation. L'essentiel relève de l'organisation et des habitudes, pas de l'achat d'outils coûteux.

Que faire immédiatement quand un employé a cliqué sur un lien de phishing ?

Agir vite et sans punir. Déconnectez le poste du réseau, changez le mot de passe du compte concerné depuis un appareil sain et révoquez les sessions actives, vérifiez les règles de transfert automatique de la messagerie, puis prévenez le dirigeant et, en cas de doute sérieux, contactez Cybermalveillance.gouv.fr. La rapidité limite la casse ; la peur de se faire gronder est ce qui retarde l'alerte.

Par où commencer concrètement

La cybersécurité d'une PME n'est pas une affaire de spécialistes ni de gros budgets : c'est une affaire de gestes de bon sens appliqués avec discipline. MFA, mots de passe gérés, sauvegardes testées, double validation des virements, équipe sensibilisée — vous tenez là l'essentiel. Si vous voulez un regard extérieur pour savoir où vous en êtes vraiment et par quoi commencer dansvotre contexte, c'est exactement l'objet d'un premier audit de 60 minutes, offert et sans engagement. On fait le tour de vos points faibles, et vous repartez avec un plan d'action priorisé — que vous le mettiez en œuvre avec nous ou seul.