Vous gérez une boulangerie à Apt, un cabinet comptable à Manosque, une boutique d'huile d'olive à Maussane. Vous pensez que les hackers s'attaquent aux grandes entreprises et aux multinationales.
Détrompez-vous. Les PME sont les principales victimes des cyber-attaques en France, avec 330 000 attaques recensées — bien plus que les grandes organisations. 60 % des entreprises victimes ferment dans les 18 mois suivant une attaque. La bonne nouvelle : se protéger n'exige pas un service informatique de 20 personnes. Quelques réflexes bien appliqués suffisent à réduire drastiquement les risques.
Des mots de passe solides : la première ligne de défense
C'est le point de départ de toute sécurité numérique. Et c'est souvent là que tout se joue. 49 % des employés réutilisent les mêmes identifiants dans plusieurs applications professionnelles, et 36 % utilisent les mêmes identifiants pour leurs comptes personnels et professionnels.
Concrètement, ça signifie que si votre mot de passe fuite une seule fois — sur un site quelconque — l'attaquant peut accéder à votre messagerie professionnelle, votre espace de facturation, votre outil de gestion de stock.
Un bon mot de passe doit être long (minimum 16 à 20 caractères selon l'ANSSI et la CNIL), unique pour chaque service, et complexe. Le problème évident : personne ne peut retenir vingt mots de passe différents de 16 caractères. C'est là qu'intervient un generateur mot de passe intégré à un gestionnaire de mots de passe.
Des outils comme Protonweb génèrent et stockent des mots de passe forts à votre place. Vous n'avez à retenir qu'un seul mot de passe maître. C'est accessible, peu coûteux, et souvent gratuit pour les petites structures.
En 2024, le nombre de cyber-attaques visant les mots de passe a explosé, passant de 4 000 à 7 000 tentatives par seconde en moyenne. Face à cette réalité, un mot de passe robuste n'est plus une option. C'est une nécessité absolue.
Ajoutez à cela la double authentification (aussi appelée MFA). L'authentification multifactorielle diminue nettement les compromissions dues aux mots de passe volés. Même si un attaquant obtient votre mot de passe, il ne peut pas se connecter sans le second facteur — un code envoyé sur votre téléphone, par exemple.
Activez le MFA sur tous vos comptes critiques : messagerie, cloud, outils de comptabilité, réseaux sociaux professionnels. C'est gratuit sur la quasi-totalité des services.
Le phishing : l'attaque que vous recevez déjà sans le savoir
Passons maintenant à la menace la plus répandue. Le phishing représente 43 % des attaques déclarées par les PME. Concrètement, c'est un email qui ressemble à un vrai — votre banque, La Poste, un fournisseur — mais qui cherche à vous faire cliquer sur un lien malveillant ou à saisir vos identifiants sur un faux site.
Les techniques ont évolué. En 2026, l'hameçonnage gagne en précision grâce à l'intelligence artificielle générative. Les emails frauduleux sont désormais rédigés en parfait français, sans fautes d'orthographe, avec le logo de votre banque et le nom de votre interlocuteur habituel.
La règle d'or : ne cliquez jamais sur un lien dans un email sans vérifier l'adresse de l'expéditeur. Passez la souris sur le lien avant de cliquer pour voir l'URL réelle. En cas de doute, allez directement sur le site en tapant l'adresse dans votre navigateur.
Sensibilisez aussi vos employés. Un seul clic de votre salarié peut suffire à contaminer tout le réseau de l'entreprise. 82 % des brèches sont d'origine humaine, que ce soit par phishing, vol d'identifiants ou erreurs manuelles.
Organisez une courte session de sensibilisation, même informelle. Montrez des exemples concrets d'emails frauduleux. Expliquez les bons réflexes. Selon l'ANSSI, la sensibilisation ciblée réduit les clics sur liens malveillants et les fuites accidentelles de données sensibles.
Il existe aussi des outils de simulation de phishing qui permettent d'envoyer de faux emails frauduleux à vos équipes pour tester leur vigilance. Certains prestataires les proposent à coût modéré pour les PME.
Les mises à jour : arrêtez de cliquer sur "plus tard"
On connaît tous cette fenêtre pop-up qui demande de redémarrer l'ordinateur pour installer les mises à jour. Et on clique tous sur "reporter". C'est une erreur coûteuse.
Le rapport 2025 de l'ANSSI montre que 29 % des vulnérabilités sont exploitées le jour même de leur publication. Les hackers cherchent activement des systèmes non mis à jour pour s'y engouffrer.
Activez les mises à jour automatiques sur tous vos équipements : ordinateurs, téléphones, tablettes, routeur professionnel. C'est une manipulation de trente secondes dans les paramètres. Elle peut vous éviter des semaines de galère.
Cela concerne aussi vos logiciels métier — votre logiciel de caisse, votre outil de facturation, votre site web si vous en avez un. 96 % des TPE utilisent un antivirus et 81 % une sauvegarde externe, mais ces solutions peinent face aux attaques modernes si le système d'exploitation ou les logiciels ne sont pas à jour.
Un antivirus seul ne suffit plus. Il doit être combiné à des mises à jour régulières et à un pare-feu actif. Le pare-feu filtre les communications réseau et constitue une barrière essentielle contre les intrusions.
Vérifiez que le pare-feu de votre routeur est bien configuré. Si vous avez un doute, un prestataire informatique local peut faire ce point en une heure — souvent pour un coût très raisonnable.
Les sauvegardes : votre filet de sécurité en cas d'attaque
Imaginez que vous arrivez un matin au bureau et que tous vos fichiers sont chiffrés. Un message s'affiche : "Payez 5 000 euros en cryptomonnaie pour récupérer vos données." C'est un ransomware. Et c'est bien réel.
Les ransomwares restent parmi les attaques aux conséquences les plus lourdes, avec 23 % des entreprises victimes d'attaques qui en subissent un. Sans sauvegarde, vous êtes face à un choix impossible : payer sans garantie de récupérer vos données, ou tout perdre.
La solution s'appelle la règle 3-2-1. Elle consiste à conserver 3 copies de vos données, sur 2 supports différents, avec 1 copie hors ligne. Par exemple : vos fichiers sur votre ordinateur, une copie sur un disque dur externe, et une copie dans le cloud.
La copie hors ligne est essentielle. Si votre réseau est infecté, une sauvegarde connectée en permanence peut être chiffrée elle aussi par le ransomware. Un disque dur externe débranché après chaque sauvegarde résiste à cette attaque.
Testez vos sauvegardes régulièrement. Une sauvegarde non testée est une sauvegarde dont vous ne savez pas si elle fonctionne. Restaurez de temps en temps un fichier depuis votre sauvegarde pour vérifier que tout fonctionne correctement.
Le chiffrement de données par ransomware a reculé grâce à la généralisation des sauvegardes sécurisées. Vous pouvez aussi contribuer à cette tendance. Et si vous subissez malgré tout une attaque : ne payez jamais la rançon, comme le recommande l'ANSSI.
Former vos équipes : le meilleur investissement
Les outils techniques ne servent à rien si les comportements humains restent risqués. C'est le maillon faible que les hackers exploitent en priorité. 65 % des employés des PME contournent les politiques de cybersécurité pour faciliter leur travail.
Ce n'est pas une question de mauvaise volonté. C'est souvent une question de sensibilisation insuffisante. Les employés ne savent pas toujours pourquoi certaines règles existent, et les contournent par commodité.
Expliquez concrètement les risques. Donnez des exemples de vraies attaques — il y en a des dizaines dans la presse régionale ces dernières années. Montrez ce que ça coûte à une entreprise similaire à la vôtre. Le message passe mieux avec des cas concrets qu'avec des règles abstraites.
Créez aussi des procédures simples et écrites. Que fait-on si on reçoit un email suspect ? À qui le signale-t-on ? Comment réagit-on si un ordinateur se bloque bizarrement ? Ces questions méritent des réponses claires avant que la situation ne se présente.
La pratique régulière du plan de sécurité diminue les temps d'arrêt et limite l'impact financier des incidents. Une réunion de 30 minutes par an sur ce sujet peut faire une différence considérable.
En cas d'attaque : les bons réflexes à avoir
Malgré toutes les précautions, une attaque peut survenir. L'essentiel est de ne pas paniquer et d'agir vite et dans le bon ordre.
Isolez d'abord la ou les machines infectées. Débranchez-les du réseau sans les éteindre — les traces numériques utiles pour l'enquête peuvent être effacées si vous éteignez brutalement le système. Coupez le Wi-Fi de l'appareil concerné.
Signalez ensuite l'incident sur cybermalveillance.gouv.fr. C'est la plateforme officielle pour les victimes de cyber-attaques, et elle permet d'être mis en contact avec des prestataires certifiés pour vous aider. Déposez aussi une plainte auprès des autorités — c'est une démarche nécessaire pour toute procédure d'assurance.
Changez immédiatement tous les mots de passe d'administration depuis un appareil non compromis. Prévenez vos clients et fournisseurs si leurs données ont pu être exposées — vous en avez l'obligation légale dans le cadre du RGPD.
En moyenne, une cyber-attaque coûte entre 50 000 et 300 000 euros à une PME. C'est souvent plus que le coût de plusieurs années de mesures préventives. La question n'est pas de savoir si vous pouvez vous permettre d'investir dans la cybersécurité. C'est si vous pouvez vous permettre de ne pas le faire.
Par où commencer concrètement
Si vous ne savez pas par où démarrer, commencez par l'essentiel. Mettez en place un gestionnaire de mots de passe, activez la double authentification sur votre messagerie et votre espace cloud, vérifiez que vos sauvegardes existent et fonctionnent.
Ces trois actions seules réduisent considérablement votre exposition aux attaques les plus courantes. Elles peuvent être mises en place en une demi-journée, sans prestataire externe.
Pour une TPE de moins de 10 salariés, le budget annuel de cybersécurité se situe typiquement entre 2 000 et 5 000 euros, couvrant les licences antivirus, le gestionnaire de mots de passe, la solution de sauvegarde cloud et un accompagnement ponctuel. C'est le prix d'une bonne assurance.
Enfin, le site cybermalveillance.gouv.fr propose des guides gratuits, des diagnostics en ligne et une liste de prestataires de confiance. C'est la ressource officielle de référence pour les petites entreprises en France. Consultez-la, même si vous pensez que tout va bien.
