En France, une PME sur deux ayant subi une cyberattaque majeure dépose le bilan dans les 18 mois. Ce chiffre devrait suffire à convaincre n'importe quel dirigeant de prendre le sujet au sérieux. Pourtant, sur le terrain, je constate les mêmes erreurs encore et encore — des erreurs qui ne coûtent rien à corriger, mais qui peuvent tout coûter à ignorer.
Voici les 5 plus fréquentes.
1 Les mots de passe partagés et jamais changés
C'est la faille la plus banale et la plus dangereuse. Dans beaucoup de PME, tout le monde connaît le mot de passe du compte admin, du logiciel de comptabilité, ou du NAS. Pire : ce mot de passe n'a pas changé depuis 3 ans et ressemble à "NomEntreprise2021!".
Quand un collaborateur quitte l'entreprise — en bons ou en mauvais termes — il conserve souvent ces accès. Et quand un pirate obtient un seul mot de passe via phishing, il peut accéder à tout.
✅ La correction : déployez un gestionnaire de mots de passe d'entreprise (Bitwarden, 1Password Teams), imposez des mots de passe uniques par service, et activez la double authentification (MFA) partout où c'est possible.
2 Aucune sauvegarde testée et hors-site
Presque toutes les PME font des sauvegardes. Mais beaucoup font des sauvegardes sur le même serveur que les données originales, ou sur un NAS dans le même bureau. En cas de ransomware ou d'incendie, la sauvegarde disparaît avec le reste.
L'autre problème : personne ne teste jamais la restauration. La sauvegarde tourne, le voyant est vert — mais au moment de restaurer, les fichiers sont corrompus depuis 6 mois.
✅ La correction : appliquez la règle 3-2-1 — 3 copies, sur 2 supports différents, dont 1 hors-site (cloud ou site distant). Et testez une restauration complète au moins une fois par trimestre.
3 Des prestataires IT sans contrat ni supervision
Votre infogéreur a accès à distance à tous vos serveurs. Votre développeur web a les clés de votre site et de votre base de données clients. Mais avez-vous un contrat qui encadre leurs obligations en matière de sécurité ? Savez-vous exactement à quoi ils ont accès ?
Les attaques via la chaîne de sous-traitance — ce qu'on appelle les supply chain attacks — sont en forte hausse. Un prestataire mal sécurisé devient une porte d'entrée vers votre système.
✅ La correction : formalisez les accès de vos prestataires (principe du moindre privilège), exigez contractuellement le respect de bonnes pratiques de sécurité, et auditez leurs accès au moins une fois par an.
4 Aucune sensibilisation des équipes au phishing
90% des cyberattaques commencent par un email. Un collaborateur clique sur un lien, entre ses identifiants sur une fausse page de connexion, et c'est terminé. Ce n'est pas une question d'intelligence — les campagnes de phishing actuelles sont sophistiquées, personnalisées, et difficiles à détecter même pour un œil averti.
Pourtant, la plupart des PME n'ont jamais organisé une seule session de sensibilisation sur le sujet.
✅ La correction : organisez au minimum une session de sensibilisation par an, complétée par des simulations de phishing (des outils gratuits existent). L'ANSSI propose des ressources pédagogiques accessibles sur cybermalveillance.gouv.fr.
5 Pas de plan de continuité en cas d'incident
Imaginez : demain matin, tous vos postes sont chiffrés par un ransomware. Qui appelle-t-on en premier ? Quel est le numéro du prestataire IT ? Où sont les sauvegardes ? Qui a l'autorité pour décider de payer ou non la rançon ? Combien de temps peut-on tenir sans accès au SI ?
Si vous n'avez pas de réponse immédiate à ces questions, vous n'avez pas de plan de continuité. Et sans plan, la panique prend le dessus — et les mauvaises décisions s'enchaînent.
⚠️ À savoir : payer la rançon ne garantit pas la récupération des données. Et cela finance les attaquants pour cibler d'autres victimes. La prévention reste toujours moins chère que la crise.
Par où commencer ?
Si vous avez reconnu votre entreprise dans une ou plusieurs de ces situations, ne cherchez pas à tout corriger en même temps. Priorisez selon votre niveau d'exposition et vos ressources.
Un audit de sécurité de base — ce que j'appelle un Diagnostic 360° — permet d'identifier en quelques jours vos vulnérabilités prioritaires et de construire un plan d'action réaliste, adapté à votre taille et votre budget.
Votre PME est-elle bien protégée ?
Un appel de 20 minutes pour évaluer votre niveau d'exposition et identifier les priorités. Sans jargon, sans engagement.
Prendre rendez-vous →