Les PME françaises constituent la principale cible des cyberattaques. Ce n'est pas un hasard : elles cumulent plusieurs vulnérabilités structurelles. Elles traitent des données sensibles (données clients, données financières, savoir-faire technologique) qui ont de la valeur pour les attaquants. Elles ont moins de ressources que les grandes entreprises pour investir dans la cybersécurité. Et elles manquent souvent de compétences internes pour détecter et répondre aux attaques. Les chiffres de l'ANSSI sont alarmants : une PME sur deux qui subit une attaque ransomware significative dépose le bilan dans les 18 mois suivants. La cybersécurité n'est donc pas une question technique : c'est un enjeu de survie de l'entreprise.
Le phishing — l'envoi d'emails frauduleux qui incitent les destinataires à cliquer sur des liens malveillants ou à divulguer leurs identifiants — est le vecteur d'attaque le plus courant. Sa sophistication a considérablement augmenté avec l'aide des LLM : les emails de phishing sont aujourd'hui souvent parfaitement rédigés, contextualisés avec des informations publiques sur l'entreprise ou le destinataire, et indiscernables d'une communication légitime pour un collaborateur non formé. La formation des équipes à la détection du phishing — tests de phishing simulés, sensibilisations régulières, procédures de vérification des demandes inhabituelles — est la première ligne de défense.
L'authentification multifacteur (MFA) est la mesure de sécurité la plus efficace par rapport à son coût de déploiement. En ajoutant une deuxième couche d'authentification — code envoyé par SMS, application d'authentification, clé physique FIDO2 — au-delà du simple mot de passe, le MFA rend inutilisable un identifiant volé. L'ANSSI recommande son déploiement en priorité sur les accès les plus critiques : messagerie professionnelle, outils de gestion, accès aux systèmes comptables et à distance (VPN). Le déploiement du MFA sur l'ensemble des accès professionnels d'une PME peut être réalisé en quelques semaines avec un budget très modeste.
Les sauvegardes régulières, testées et stockées hors du réseau principal, sont la protection contre les ransomwares. Un ransomware chiffre l'ensemble des données accessibles sur le réseau : si les sauvegardes sont connectées au réseau de l'entreprise, elles seront chiffrées également, rendant la restauration impossible. La règle "3-2-1" est la norme recommandée : trois copies des données, sur deux types de supports différents, dont une hors site (cloud sécurisé ou support physique externe). Et les sauvegardes doivent être testées régulièrement : une sauvegarde non testée est une sauvegarde dont on ne sait pas si elle fonctionne.
La gestion des mises à jour est une vulnérabilité souvent sous-estimée. Les ransomwares les plus dévastateurs exploitent des failles dans des logiciels non mis à jour. Des outils de gestion automatique des mises à jour — sur les systèmes d'exploitation, les applications, les équipements réseau — permettent de maintenir l'ensemble du parc informatique à jour sans surcharge administrative. Le délai entre la publication d'un patch de sécurité et son déploiement est une fenêtre de vulnérabilité : le réduire au maximum est une priorité.
La segmentation réseau — la division du réseau de l'entreprise en sous-réseaux isolés — limite la propagation d'une attaque si un poste ou un serveur est compromis. Idéalement, un réseau guest (pour les visiteurs et les appareils personnels), un réseau professionnel (postes de travail), et un réseau serveurs (accès limité aux administrateurs) devraient être séparés. Cette segmentation, que les grandes entreprises appliquent depuis longtemps, est désormais accessible aux PME grâce aux équipements réseau modernes et abordables.
Enfin, le Plan de Continuité d'Activité (PCA) — qui décrit comment l'entreprise va fonctionner en cas d'attaque réussie — est indispensable. Ce plan doit préciser les processus manuels de remplacement des outils numériques, les contacts des prestataires de réponse à incident, les obligations légales de notification (CNIL, clients, partenaires), et les responsabilités de chacun dans la gestion de crise. Une entreprise qui a testé son PCA — même partiellement — traverse une crise cyber bien mieux qu'une entreprise qui improvise dans la panique.