Un plan de cybersécurité PME combine 20 mesures de base : MFA, sauvegardes 3-2-1, EDR, formation, correctifs, contrôle d'accès et réponse aux incidents.

Plan Cybersécurité PME : 20 Mesures Essentielles

Conseil independant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y Leon) pour toute l'Espagne.

Conseil indépendant en marketing, conformité réglementaire (ISO, ENS, RGPD), digitalisation et ventes B2B depuis Aranda de Duero (Castilla y León) pour toute l'Espagne.

Il n'est pas nécessaire d'être une grande entreprise pour devenir la cible d'une cyberattaque. De fait, 70 % des cyberattaques en Espagne visent des PME précisément parce que leurs défenses sont plus faibles. La bonne nouvelle est que 80 % des attaques réussies auraient pu être évitées grâce à des mesures élémentaires qui ne réclament pas de gros investissements. Voici les 20 mesures de cybersécurité que toute PME devrait avoir mises en œuvre, classées par priorité et impact, en s'inspirant des recommandations d'INCIBE et des bonnes pratiques européennes en vigueur.

Si vous souhaitez un diagnostic professionnel avant d'agir, consultez notre article sur l'audit de cybersécurité.

Niveau 1 : les mesures urgentes (à mettre en place cette semaine)

Mesure 1 : authentification multifacteur (MFA) sur tous les comptes critiques

Le MFA est la mesure de sécurité au plus fort impact immédiat. Activez la vérification en deux étapes sur tous les comptes de messagerie, d'accès au cloud (Microsoft 365, Google Workspace), CRM, ERP, banque en ligne, réseaux sociaux de l'entreprise et panneau d'administration du site web. Si un attaquant obtient le mot de passe d'un collaborateur (via phishing ou fuite de données), le MFA empêche tout accès au compte.

Le coût est pratiquement nul (la plupart des services cloud incluent le MFA sans coût supplémentaire) et la mise en place s'achève en une journée. Il n'y a aucune excuse pour ne pas l'activer.

Mesure 2 : sauvegardes selon la règle 3-2-1

La règle 3-2-1 stipule que vous devez conserver 3 copies de vos données, sur 2 supports différents, avec 1 copie hors site. Au-delà de la donnée originale, vous devez disposer d'une copie sur un disque ou NAS local et d'une autre copie dans le cloud ou dans un site physique distinct.

Les sauvegardes doivent être automatiques (et ne pas dépendre de la mémoire d'un collaborateur), vérifiées régulièrement (restaurez une copie au moins une fois par trimestre pour s'assurer qu'elle fonctionne), et protégées contre les rançongiciels (au moins une copie doit être immuable ou isolée du réseau, afin qu'un ransomware ne puisse pas la chiffrer).

Mesure 3 : mise à jour et patching de tous les systèmes

Les cybercriminels exploitent les vulnérabilités connues présentes dans les logiciels non à jour. Tenez à jour l'ensemble des systèmes d'exploitation (Windows, macOS, Linux, iOS, Android), toutes les applications (navigateurs, Office, Adobe, Java), le firmware des équipements réseau (routeurs, pare-feu, points d'accès WiFi) et les applications web (WordPress, CMS, extensions).

Activez les mises à jour automatiques partout où cela est possible. Pour les systèmes critiques où l'automatisation peut générer des incidents, instituez un processus de patching mensuel avec des fenêtres de maintenance programmées et un plan de rollback documenté.

Mesure 4 : formation à la sécurité pour l'ensemble du personnel

95 % des incidents de sécurité comportent une composante d'erreur humaine. Une session de formation de 2 heures couvrant la reconnaissance des courriels de phishing, l'importance des mots de passe uniques et robustes, l'usage sûr du courrier électronique et de la navigation web, la conduite à tenir en cas de suspicion et la procédure de notification des incidents réduit drastiquement le risque d'attaque réussie.

Niveau 2 : mesures fondamentales (à mettre en place ce mois-ci)

Mesure 5 : protection des postes (EDR)

Remplacez l'antivirus traditionnel par une solution EDR (Endpoint Detection and Response) qui ne se contente pas de bloquer les malwares connus mais détecte les comportements suspects et offre des capacités d'investigation et de réponse. Les solutions EDR modernes pour PME coûtent entre 3 et 8 € par poste et par mois et intègrent une gestion centralisée dans le cloud.

Mesure 6 : pare-feu périmétrique correctement configuré

Un pare-feu ne vaut que par sa configuration. Vérifiez qu'il bloque tout le trafic entrant non autorisé, qu'il filtre le trafic sortant (afin de détecter les communications avec des serveurs de commande et contrôle de malwares), que les logs sont activés et conservés pour analyse, et que les règles sont revues au moins tous les six mois pour éliminer les règles obsolètes.

Mesure 7 : gestion des mots de passe

Mettez en place une politique de mots de passe qui exige un minimum de 12 caractères, interdit la réutilisation des mots de passe, et utilise un gestionnaire de mots de passe d'entreprise (Bitwarden, 1Password, Keeper) pour que vos collaborateurs n'aient pas à mémoriser des dizaines de mots de passe distincts. Le coût d'un gestionnaire de mots de passe d'entreprise se situe entre 3 et 6 € par utilisateur et par mois.

Mesure 8 : segmentation réseau de base

Séparez au minimum votre réseau WiFi invités du réseau de l'entreprise, et si vous disposez d'objets connectés (caméras, capteurs, imprimantes en réseau), placez-les sur un réseau distinct. Un attaquant qui compromettrait une caméra de sécurité ne devrait pas pouvoir accéder à votre serveur comptable.

Mesure 9 : chiffrement des appareils portables

Activez le chiffrement complet du disque sur tous les ordinateurs portables et appareils mobiles de l'entreprise (BitLocker sous Windows, FileVault sous macOS, chiffrement natif sous iOS et Android). En cas de perte ou de vol, le chiffrement empêche l'accès aux données. C'est gratuit et cela s'active en quelques minutes.

Mesure 10 : politique d'usage acceptable et BYOD

Définissez par écrit ce que vos collaborateurs peuvent et ne peuvent pas faire avec les appareils de l'entreprise et avec leurs appareils personnels lorsqu'ils accèdent à des ressources professionnelles. Cette politique doit couvrir l'usage de la messagerie, la navigation web, l'installation de logiciels, le stockage d'informations professionnelles sur des appareils personnels et les conditions de télétravail.

Niveau 3 : mesures avancées (à mettre en place ce trimestre)

Mesure 11 : configuration de SPF, DKIM et DMARC

Ces trois technologies protègent votre domaine de messagerie contre l'usurpation d'identité. SPF vérifie que les courriels prétendant venir de votre domaine sont bien émis depuis vos serveurs autorisés. DKIM signe cryptographiquement les courriels pour garantir leur intégrité. Et DMARC définit la politique à appliquer aux courriels qui ne passent pas les contrôles SPF et DKIM.

Mesure 12 : plan de réponse aux incidents

Documentez une procédure qui définit qui est responsable de la gestion d'un incident de sécurité, comment les incidents sont détectés et classés, les étapes de confinement pour limiter le dommage, à qui notifier (en interne, aux autorités comme l'AEPD ou INCIBE, aux clients), comment rétablir l'opération normale, et quels enseignements tirer de chaque incident. Entraînez-vous au plan au moins une fois par an avec un exercice sur table.

Mesure 13 : surveillance de sécurité

Mettez en œuvre des outils qui surveillent l'activité de vos systèmes à la recherche d'anomalies. Pour les PME, une solution SIEM allégée dans le cloud ou les capacités de surveillance intégrées dans la solution EDR suffisent généralement comme point de départ avant d'investir dans des dispositifs plus lourds.

Mesure 14 : gestion des vulnérabilités

Réalisez des scans de vulnérabilités au moins trimestriellement et corrigez les vulnérabilités critiques et élevées dans un délai maximal de 30 jours. Des outils comme OpenVAS (gratuit) ou Nessus Essentials (gratuit jusqu'à 16 IP) permettent à toute PME de scanner son infrastructure sans coût de licence.

Mesure 15 : protection WiFi d'entreprise

Utilisez WPA3 (ou WPA2 Enterprise au minimum), changez les mots de passe par défaut de tous les équipements réseau, désactivez WPS, masquez le SSID du réseau de l'entreprise si cela est pratique, et surveillez les appareils connectés pour détecter les accès non autorisés.

Niveau 4 : mesures pour une protection complète (à déployer ce semestre)

Mesures 16 à 20

Les cinq mesures restantes incluent la mise en œuvre du DLP (Data Loss Prevention) pour éviter les fuites d'informations, la souscription d'une assurance cyber-risque adaptée à votre taille et à votre secteur, la gestion des accès à privilèges (PAM) pour contrôler qui a accès à quoi et quand, l'automatisation de la réponse aux incidents de base, et la réalisation d'un test d'intrusion annuel pour vérifier l'efficacité de l'ensemble du dispositif et identifier les angles morts.

Financement via Kit Digital et aides publiques

Le Kit Digital, dans sa catégorie cybersécurité, finance la mise en œuvre de nombreuses de ces mesures (antimalware/EDR, surveillance, réponse aux incidents) jusqu'à 6 000 euros pour les segments I à III et jusqu'à 29 000 euros pour les segments IV et V. Les dispositions de l'Orden TDF/39/2026 maintiennent ouvert le cadre permettant d'éventuels nouveaux appels à projets. Relié : Conseil Cybersécurité Entreprises : Services et Coûts.

Consultez notre article sur Kit Digital cybersécurité pour connaître les options de financement.

Vous devez mettre en place un plan de cybersécurité complet pour votre PME ? Parlons-en. Nous évaluerons votre situation et vous proposerons les mesures les plus efficaces selon votre niveau de risque et votre budget.

Auteur : Ángel Ortega Castro, consultant indépendant en stratégie, qualité et digitalisation pour PME. Relié : Audit de Cybersécurité : Évaluation Complète.

El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro