Cybersécurité TPE : protéger sa petite entreprise avec un budget limité

Les très petites entreprises (TPE) pensent souvent être trop petites pour intéresser les cybercriminels. C'est une erreur : les attaques automatisées ne font pas de distinction de taille. Un ransomware envoyé à 100 000 adresses e-mail ne sait pas si le destinataire emploie 3 ou 3 000 personnes. Selon Cybermalveillance.gouv.fr, les TPE représentent la majorité des demandes d'assistance. La bonne nouvelle : les mesures les plus efficaces sont gratuites ou très peu coûteuses. Ce guide vous donne un plan d'action adapté à la réalité d'une TPE.

Les risques spécifiques des TPE

Les TPE cumulent plusieurs facteurs de vulnérabilité. Pas de responsable informatique : le dirigeant gère lui-même l'informatique ou fait appel ponctuellement à un prestataire. Budget limité : chaque euro compte, et la cybersécurité passe après les investissements productifs. Mélange vie professionnelle et personnelle : un même ordinateur, un même smartphone, un même mot de passe pour tout. Peu de procédures formalisées : pas de politique de mots de passe, pas de procédure de sauvegarde documentée, pas de plan de réponse à incident. Dépendance forte au numérique : si la messagerie ou le logiciel de facturation est inaccessible, l'activité s'arrête.

Les 10 actions gratuites à mettre en place immédiatement

1. Activer le MFA sur tous vos comptes importants

Messagerie, banque en ligne, comptabilité en ligne, réseaux sociaux professionnels : activez l'authentification à deux facteurs partout où c'est possible. Installez Google Authenticator ou Microsoft Authenticator sur votre smartphone. C'est gratuit et ça bloque la quasi-totalité des piratages de comptes. Temps de mise en place : 15 minutes par compte.

2. Utiliser un gestionnaire de mots de passe

Bitwarden propose une offre gratuite parfaitement fonctionnelle pour un indépendant ou une TPE de 2 à 3 personnes. KeePass est entièrement gratuit et open source, mais moins ergonomique. Fini les mots de passe identiques sur tous les sites, les post-it sur l'écran ou le fichier Excel « mots de passe.xlsx ». Un bon gestionnaire génère et stocke des mots de passe uniques de 16 caractères ou plus.

3. Activer les mises à jour automatiques

Activez les mises à jour automatiques sur Windows, macOS, votre navigateur web et vos applications. Sur Windows : Paramètres > Windows Update > Activez les mises à jour automatiques. Sur macOS : Préférences Système > Mise à jour de logiciels > Cochez la case. Les navigateurs Chrome, Firefox et Edge se mettent à jour automatiquement par défaut. Vérifiez que c'est bien le cas.

4. Sauvegarder sur un disque dur externe ou le cloud

Pour une TPE, la sauvegarde peut être simple : un disque dur externe de 1 To (40 à 60 €) que vous débranchez après chaque sauvegarde (important : un disque connecté sera chiffré par un ransomware). Sauvegardez au minimum une fois par semaine vos fichiers critiques : comptabilité, devis, factures, fichier clients. En complément, utilisez un stockage cloud (Google Drive, OneDrive, Dropbox) pour une copie déportée. Coût : 0 € si vous restez dans les limites gratuites (15 Go pour Google Drive, 5 Go pour OneDrive), ou 2 à 10 €/mois pour plus d'espace.

5. Activer Windows Defender ou la protection macOS intégrée

Vous n'avez pas besoin d'un antivirus payant si vous êtes sous Windows 10/11 ou macOS. Windows Defender est activé par défaut et offre une protection correcte contre les menaces courantes. Vérifiez qu'il est bien actif : Paramètres > Sécurité Windows > Protection contre les virus et menaces. Sur macOS, gardez Gatekeeper et XProtect activés (ils le sont par défaut). Ne désactivez jamais ces protections pour installer un logiciel douteux.

6. Chiffrer le disque dur de votre ordinateur portable

Si votre ordinateur portable est volé ou perdu, le chiffrement empêche quiconque d'accéder à vos données. Sur Windows : activez BitLocker (inclus dans Windows Pro) ou VeraCrypt (gratuit, pour Windows Home). Sur macOS : activez FileVault dans les préférences système. C'est transparent à l'usage : vous ne verrez aucune différence de performance au quotidien.

7. Séparer les usages personnels et professionnels

Idéalement, utilisez un ordinateur et un smartphone distincts pour le travail et la vie personnelle. Si ce n'est pas possible, créez au minimum une session utilisateur séparée sur votre ordinateur. N'installez pas de logiciels personnels (jeux, applications piratées) sur votre machine de travail. Ne consultez pas vos e-mails professionnels sur un appareil non protégé.

8. Configurer SPF et DMARC sur votre nom de domaine

Si vous avez un nom de domaine et une adresse e-mail professionnelle, configurez les enregistrements DNS SPF et DMARC. Cela empêche les cybercriminels d'envoyer des e-mails en se faisant passer pour votre entreprise. Demandez à votre hébergeur ou consultez sa documentation. La configuration prend 10 minutes et ne coûte rien.

9. Verrouiller automatiquement votre session

Configurez le verrouillage automatique de votre écran après 5 minutes d'inactivité. Sur Windows : Paramètres > Personnalisation > Écran de verrouillage. Sur macOS : Préférences Système > Sécurité. Prenez l'habitude d'utiliser le raccourci clavier Windows+L ou Ctrl+Commande+Q pour verrouiller manuellement quand vous quittez votre poste, même pour 2 minutes.

10. Méfiance systématique sur les e-mails inattendus

Avant de cliquer sur un lien ou d'ouvrir une pièce jointe, posez-vous trois questions. Est-ce que j'attends cet e-mail ? L'adresse de l'expéditeur est-elle exacte (pas une lettre modifiée) ? Le message crée-t-il un sentiment d'urgence ou de peur ? En cas de doute, ne cliquez pas. Contactez l'expéditeur supposé par un autre canal (téléphone, SMS) pour vérifier. Cette simple habitude bloque la majorité des tentatives de phishing.

Budget cybersécurité pour une TPE : de 0 à 50 €/mois

Avec 0 € par mois, vous pouvez mettre en place le MFA, les mises à jour automatiques, un gestionnaire de mots de passe gratuit (Bitwarden), Windows Defender, le chiffrement du disque, la configuration SPF/DMARC et le verrouillage automatique. Avec 10 à 20 €/mois, ajoutez un stockage cloud pour les sauvegardes et un gestionnaire de mots de passe premium (partage entre collaborateurs). Avec 30 à 50 €/mois, ajoutez un outil de sauvegarde cloud professionnel et un antivirus EDR. Pour un investissement ponctuel de 40 à 60 €, achetez un disque dur externe pour les sauvegardes locales. La cybersécurité d'une TPE ne coûte pas cher si les fondamentaux sont en place.

Quand faire appel à un professionnel

Faites appel à un prestataire informatique pour une intervention ponctuelle si vous ne savez pas configurer SPF/DMARC, si vous avez un doute sur la sécurité de votre installation réseau, si vous constatez un comportement anormal sur votre ordinateur, ou si vous manipulez des données sensibles (santé, juridique, financier). Une demi-journée d'intervention d'un prestataire local coûte entre 300 et 600 € et peut sécuriser significativement votre environnement. Cybermalveillance.gouv.fr référence des prestataires labellisés ExpertCyber dans toute la France.