Cybersécurité 5 min de lecture

Sécurité informatique en PME : les 5 fondamentaux à mettre en place

La cybersécurité d'une PME tient à 5 fondamentaux : réseaux, données, utilisateurs, vulnérabilités, plan de réponse. Voici comment les déployer concrètement.

Par Équipe WebIdentity

Les cyberattaques visant les PME ne cessent de se sophistiquer. Hier réservées aux grandes structures, elles ciblent aujourd’hui en priorité les entreprises de 10 à 200 collaborateurs, considérées comme moins protégées et donc plus rentables à attaquer. La question n’est plus “serons-nous concernés ?” mais “serons-nous prêts ?”.

Bonne nouvelle : la sécurité d’une PME ne dépend ni d’un budget illimité ni d’une équipe interne dédiée. Elle repose sur cinq fondamentaux solides, applicables à toutes les tailles d’entreprise. Voici comment les comprendre et les déployer.

1. Protection des réseaux

C’est la première barrière, celle qui empêche les intrusions de votre réseau d’entreprise. Elle s’appuie sur trois éléments :

  • Un pare-feu d’entreprise (NGFW) correctement configuré, qui filtre le trafic entrant et sortant selon des règles métier explicites. Les marques de référence en PME romande sont Fortinet, WatchGuard et Sophos. Comptez 1 500 à 4 000 CHF d’investissement initial + un abonnement annuel pour les mises à jour de signatures.
  • Une détection d’intrusion (IDS/IPS) qui surveille en continu les comportements anormaux et bloque les flux suspects. Cette fonction est généralement incluse dans les NGFW récents.
  • Une segmentation réseau qui sépare logiquement les machines critiques (serveurs, automates industriels) des postes utilisateurs et du réseau invité. Sans segmentation, une compromission s’étend à tout votre parc en quelques minutes.

Pour une PME de 10 à 50 personnes, ces trois éléments représentent un investissement de 3 000 à 8 000 CHF la première année, puis 1 500 à 3 000 CHF/an. C’est l’une des dépenses les plus rentables de votre budget IT.

2. Sécurité des données

Vos données sont le cœur de votre activité. Leur protection s’articule autour de deux gestes essentiels :

  • Le chiffrement, à plusieurs niveaux : disques des ordinateurs (BitLocker sous Windows, FileVault sous macOS), connexions réseau (HTTPS partout, VPN pour les accès distants), sauvegardes externalisées (chiffrement au repos sur les cibles cloud).
  • Les sauvegardes 3-2-1, c’est-à-dire trois copies de vos données, sur deux supports différents, dont une hors site. Notre article détaillé sur les sauvegardes 3-2-1 pour PME explique comment mettre cette règle en pratique et surtout comment la tester chaque mois.

L’erreur la plus fréquente que nous voyons en audit : des sauvegardes qui semblent fonctionner mais qui n’ont jamais été restaurées en conditions réelles. Une sauvegarde non testée n’est pas une sauvegarde, c’est une fiction. Un test mensuel de restauration prend deux heures et vous évite la catastrophe.

3. Sécurité des utilisateurs

Plus de 80 % des incidents partent d’une erreur humaine : clic sur un lien de phishing, mot de passe partagé, pièce jointe douteuse ouverte. Aucune barrière technique ne couvre complètement ce vecteur. La formation reste la seule défense réelle.

Trois actions concrètes à mettre en place :

  • L’authentification à double facteur (MFA) généralisée, sur tous les comptes professionnels, sans exception. Microsoft 365 l’inclut gratuitement. Activez-le partout en 2 semaines.
  • Un gestionnaire de mots de passe d’entreprise (Bitwarden, 1Password, Dashlane) qui élimine les mots de passe partagés en Excel ou collés sur des post-it.
  • Une formation phishing initiale + des simulations trimestrielles auprès de vos collaborateurs. C’est l’investissement à meilleur ratio coût/efficacité que nous connaissons : taux de clic sur phishing en chute de 30 % à moins de 5 % en six mois.

Notre article sur les 4 réflexes anti-ransomware détaille ces points avec des chiffres et des exemples concrets.

4. Gestion des vulnérabilités

Les attaquants exploitent rarement des failles inconnues. Dans la grande majorité des incidents que nous traitons, la vulnérabilité utilisée avait un correctif disponible depuis plus de trois mois. Le ransomware n’est pas un coup de génie, c’est l’exploitation industrielle de portes laissées ouvertes.

Trois pratiques à instaurer :

  • Une supervision qui détecte les machines en retard de mises à jour, et qui alerte avant qu’elles ne deviennent un risque.
  • Un calendrier de mises à jour clair : moins de 30 jours entre la publication d’un correctif critique et son application sur votre parc. Idéalement, déploiement automatique hors heures de bureau.
  • Une attention spéciale aux équipements oubliés : firewalls, NAS, imprimantes connectées, caméras IP. Ces équipements en frontal Internet sont les premières cibles, et personne ne les met à jour.

Une revue trimestrielle de tous vos équipements réseau, doublée d’une supervision automatique des correctifs, suffit à fermer cette porte.

5. Plan de réponse aux incidents

Quoi qu’on fasse, le risque zéro n’existe pas. La question devient alors : que se passe-t-il quand un incident frappe ? Sans plan de réponse écrit, c’est la panique, les décisions improvisées, l’aggravation du dommage.

Un plan de réponse minimal tient en quatre éléments :

  • La procédure d’alerte : qui prévenir, dans quel ordre, avec quels canaux de secours (mail compromis, téléphone uniquement, application tierce).
  • Le périmètre des actions à isoler : machines compromises, comptes à désactiver, accès à couper.
  • Le contact externe préparé : votre prestataire IT, votre assurance cyber, éventuellement Cybercom (police suisse) selon la nature de l’incident.
  • L’exercice annuel : au moins une simulation de crise par an, courte mais réaliste, pour que l’équipe ait répété les gestes au moins une fois.

C’est l’un des éléments que la nLPD demande explicitement (notification dans les meilleurs délais), et que la plupart des PME n’ont pas. Notre article sur la conformité nLPD pour PME romandes couvre ce point en détail.

Conclusion

Ces cinq fondamentaux ne demandent ni budget de banque ni équipe IT dédiée. Pour une PME de 20 à 30 personnes, l’investissement initial pour les mettre en place s’établit entre 8 000 et 15 000 CHF, et le coût récurrent autour de 3 000 à 6 000 CHF/an. À comparer au coût moyen d’un incident ransomware en Suisse romande : 50 000 à 200 000 CHF tout compris. Le calcul est rapide.

Si vous voulez évaluer où vous en êtes, notre audit cybersécurité PME couvre exactement ces cinq fondamentaux. Deux jours sur place ou à distance, un rapport priorisé sous 10 jours, sans engagement et sans alarmisme.

Tags

  • #cybersécurité
  • #fondamentaux
  • #pare-feu
  • #sauvegardes
  • #MFA
  • #plan de réponse

Cet article a soulevé une question ?

Notre équipe est joignable directement, par téléphone, WhatsApp ou mail. Pas de robot, pas de hotline labyrinthique.

Nous écrire +41 27 320 76 00
Appeler WhatsApp