Checklist cybersécurité PME : 20 actions simples à mettre en place

Cette checklist regroupe 20 actions concrètes pour renforcer la cybersécurité de votre PME. Chaque point est classé par priorité (critique, importante, recommandée) et par difficulté de mise en œuvre. Vous pouvez utiliser cette liste comme audit rapide : cochez ce qui est déjà en place et planifiez le reste. L'objectif n'est pas d'atteindre la perfection, mais de couvrir les fondamentaux qui bloquent 90 % des attaques courantes.

Authentification et mots de passe (priorité critique)

1. Activer l'authentification multifacteur (MFA) sur tous les comptes critiques

Messagerie, banque en ligne, comptabilité, CRM, accès VPN : tous ces services doivent être protégés par un second facteur d'authentification. Privilégiez une application (Microsoft Authenticator, Google Authenticator) plutôt que le SMS. Le MFA bloque plus de 99 % des tentatives de piratage de comptes. C'est l'action la plus impactante et la plus simple à déployer.

2. Déployer un gestionnaire de mots de passe pour toute l'équipe

Bitwarden, 1Password Business ou Dashlane permettent de générer et stocker des mots de passe uniques et complexes pour chaque service. Plus besoin de retenir des dizaines de mots de passe ni de les noter sur un post-it. Le partage sécurisé entre collaborateurs est inclus. Budget : 3 à 8 € par utilisateur et par mois.

3. Imposer des mots de passe d'au moins 12 caractères

La longueur est plus efficace que la complexité. Un mot de passe de 12 caractères avec des lettres, chiffres et symboles est quasiment impossible à casser par force brute avec les technologies actuelles. Avec un gestionnaire de mots de passe, vos collaborateurs n'ont pas besoin de les mémoriser. Configurez la politique de mots de passe dans votre annuaire (Active Directory, Google Workspace, Microsoft 365).

4. Supprimer les comptes des anciens collaborateurs sous 24 heures

Un ancien salarié qui conserve ses accès représente un risque majeur, que ce soit par malveillance ou par négligence. Intégrez la désactivation des accès dans votre procédure de départ : messagerie, VPN, logiciels métier, badges d'accès. Vérifiez aussi les accès partagés (comptes génériques, réseaux Wi-Fi).

Sauvegardes et récupération (priorité critique)

5. Mettre en place la règle de sauvegarde 3-2-1

3 copies de vos données, sur 2 supports différents, dont 1 hors site. En cas de ransomware, c'est votre filet de sécurité. Utilisez une sauvegarde cloud (Acronis, Veeam, Backblaze) combinée à un disque dur externe ou un NAS local. Assurez-vous que la sauvegarde hors site ne soit pas accessible depuis le réseau principal (sauvegarde déconnectée ou immuable).

6. Tester la restauration des sauvegardes chaque trimestre

Une sauvegarde qui n'a jamais été testée n'est pas fiable. Chaque trimestre, restaurez un échantillon de fichiers pour vérifier que le processus fonctionne et que les données sont intègres. Documentez la procédure pour que n'importe quel collaborateur puisse effectuer la restauration en cas d'urgence.

7. Sauvegarder les données cloud (Microsoft 365, Google Workspace)

Contrairement à une idée reçue, Microsoft et Google ne sauvegardent pas vos données pour vous. Si un fichier est supprimé ou chiffré par un ransomware, la corbeille a une durée limitée (30 à 93 jours selon les services). Utilisez un outil tiers de backup cloud-to-cloud : Veeam Backup for Microsoft 365, AvePoint, ou Backupify. Coût : 2 à 5 € par utilisateur et par mois.

Mises à jour et protection des postes (priorité critique)

8. Activer les mises à jour automatiques sur tous les postes

Windows, macOS, navigateurs web, logiciels bureautiques : activez les mises à jour automatiques partout. 80 % des attaques exploitent des failles déjà corrigées. Si vous avez un parc de plus de 10 postes, utilisez un outil de gestion centralisée (WSUS, Intune, Automox) pour forcer et suivre les mises à jour.

9. Installer un antivirus professionnel ou un EDR

Windows Defender est correct pour une protection de base, mais un EDR (Endpoint Detection and Response) offre une détection plus avancée des menaces. Pour les PME, des solutions comme CrowdStrike Falcon Go, SentinelOne ou Bitdefender GravityZone proposent des offres à partir de 5 € par poste et par mois. L'EDR détecte les comportements suspects, pas seulement les signatures de virus connus.

10. Chiffrer les disques durs de tous les ordinateurs portables

Un ordinateur portable volé ou perdu sans chiffrement expose toutes les données qu'il contient. Activez BitLocker (Windows) ou FileVault (macOS) sur chaque poste. C'est gratuit et transparent pour l'utilisateur. Conservez les clés de récupération dans un endroit sécurisé (gestionnaire de mots de passe, Intune, Active Directory).

Protection de la messagerie (priorité importante)

11. Configurer SPF, DKIM et DMARC sur votre domaine

Ces trois protocoles empêchent les cybercriminels d'envoyer des e-mails en usurpant votre nom de domaine. SPF indique quels serveurs sont autorisés à envoyer des e-mails pour votre domaine. DKIM ajoute une signature cryptographique à chaque e-mail. DMARC définit la politique à appliquer en cas d'échec de vérification. La configuration se fait via les DNS de votre domaine. Utilisez un outil comme MXToolbox ou dmarcian pour vérifier votre configuration.

12. Bloquer les pièces jointes dangereuses

Configurez votre messagerie pour bloquer les fichiers exécutables (.exe, .bat, .js, .vbs, .ps1) et les macros Office en pièce jointe. Dans Microsoft 365, activez les stratégies Safe Attachments et Safe Links de Microsoft Defender for Office 365. Dans Google Workspace, les paramètres de sécurité avancée de Gmail offrent des fonctions similaires.

Réseau et accès distants (priorité importante)

13. Sécuriser le Wi-Fi de l'entreprise

Utilisez le protocole WPA3 (ou WPA2-Enterprise au minimum). Changez le mot de passe Wi-Fi régulièrement et ne le communiquez qu'aux collaborateurs. Créez un réseau Wi-Fi invité séparé pour les visiteurs, les appareils personnels et les objets connectés. Désactivez le WPS (Wi-Fi Protected Setup) qui présente des failles connues.

14. Désactiver le protocole RDP si non utilisé

Le Remote Desktop Protocol (RDP) est l'un des vecteurs d'attaque les plus exploités par les ransomwares. Si vous n'avez pas besoin d'accès bureau à distance, désactivez-le. Si vous en avez besoin, protégez-le par un VPN et le MFA, et limitez les adresses IP autorisées. Ne laissez jamais le port 3389 ouvert sur Internet.

15. Utiliser un VPN pour tous les accès distants

Pour le télétravail ou les déplacements, imposez l'utilisation d'un VPN professionnel (WireGuard, OpenVPN, ou le VPN intégré à votre pare-feu). Le VPN chiffre le trafic entre le poste de l'utilisateur et le réseau de l'entreprise. Les solutions Zero Trust (Cloudflare Access, Twingate, Tailscale) sont une alternative moderne qui vérifie l'identité et l'état du poste à chaque connexion.

Sensibilisation et procédures (priorité importante)

16. Réaliser des simulations de phishing régulières

Envoyez des faux e-mails de phishing à vos collaborateurs pour mesurer leur niveau de vigilance et les former. Commencez par un test initial sans prévenir, puis formez ceux qui ont cliqué. Répétez tous les 2 à 3 mois. Des outils comme Riot, Gophish (gratuit), ou KnowBe4 automatisent l'ensemble du processus. L'objectif n'est pas de piéger, mais d'éduquer.

17. Mettre en place une procédure de double validation des virements

Pour tout virement supérieur à un seuil défini (par exemple 1 000 €) ou tout changement de RIB fournisseur, imposez une validation par deux personnes différentes et une confirmation par un canal distinct (téléphone, en personne). Cette procédure simple bloque la plupart des fraudes au président et des usurpations de RIB.

18. Documenter une procédure de réponse à incident

Définissez à l'avance qui fait quoi en cas d'attaque : qui appeler (prestataire IT, ANSSI via le 3218, police/gendarmerie), quoi isoler (débrancher le réseau, pas éteindre les machines), comment communiquer (en interne et en externe). Imprimez cette fiche et affichez-la dans un lieu visible. En cas de crise, personne ne cherchera un document sur un ordinateur potentiellement compromis.

Conformité et gouvernance (priorité recommandée)

19. Tenir un registre des traitements de données personnelles

Le RGPD impose à toute entreprise de plus de 250 salariés (et à toute entreprise traitant des données sensibles) de tenir un registre des traitements. En pratique, c'est recommandé pour toutes les PME. Le registre recense quelles données personnelles vous collectez, pourquoi, combien de temps vous les conservez et qui y a accès. La CNIL fournit un modèle gratuit sur son site.

20. Réaliser un audit de sécurité annuel

Un audit de sécurité, même léger, permet d'identifier les failles que vous n'avez pas vues. Faites-le réaliser par un prestataire externe pour un regard objectif. Un audit de base pour une PME de 10 à 50 postes coûte entre 1 500 et 5 000 €. Il couvre la revue des configurations, les tests de vulnérabilité et les recommandations prioritaires. Planifiez-le une fois par an ou après tout changement majeur d'infrastructure.

Comment utiliser cette checklist

Commencez par les actions critiques (points 1 à 10) : elles bloquent la majorité des attaques et la plupart sont gratuites ou peu coûteuses. Passez ensuite aux actions importantes (points 11 à 18) puis aux actions recommandées (points 19 et 20). Ne cherchez pas la perfection : chaque point coché réduit significativement votre exposition au risque. Révisez cette checklist tous les 6 mois pour suivre votre progression et intégrer les nouvelles menaces.