Les images sont désormais familières : une entreprise paralysée du jour au lendemain, ses fichiers chiffrés par un logiciel malveillant, une rançon exigée en échange de la clé de déchiffrement.
Ces scénarios, longtemps perçus comme réservés aux grandes multinationales, frappent aujourd'hui massivement les entreprises françaises de toutes tailles. En 2024, 67 % des entreprises françaises ont été victimes d'au moins une cyberattaque et 60 % des victimes ferment dans les 18 mois qui suivent. Face à ce risque croissant, l’inaction n’est plus une option.
Pourtant, le sentiment de ne pas être une cible reste très répandu chez les dirigeants de petites et moyennes entreprises, 80 % d’entre eux reconnaissent ne pas être préparés aux attaques. C'est précisément cette fausse perception qui en fait des proies idéales pour les cybercriminels, générant des gains rapides au regard des efforts déployés. Face à cette réalité, comment mettre en place une protection concrète et proportionnée aux moyens de ces entreprises ?
Cet article a pour vocation de vous donner les clés pour comprendre les risques, connaître vos obligations et agir concrètement pour protéger votre entreprise.
Le cadre légal : ce que dit la réglementation
Depuis plusieurs années, le législateur a considérablement renforcé les obligations des entreprises en matière de protection des données et des systèmes d'information.
En premier lieu, le Règlement Général sur la Protection des Données RGPD, entré en application en mai 2018, impose à toute organisation traitant des données personnelles de garantir leur sécurité. L'article 32 du RGPD prévoit explicitement que le responsable du traitement doit mettre en œuvre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». En cas de violation de données, l'entreprise a l'obligation de le notifier à la CNIL dans un délai de 72 heures et d'en informer ses clients.
Par ailleurs, la directive européenne NIS 2 Network and Information Security, transposée en droit français en 2024, élargit considérablement le périmètre des entités soumises à des obligations renforcées de cybersécurité. Elle ne concerne pas toutes les entreprises : sont principalement visées les entités opérant dans des secteurs critiques énergie, santé, transport, infrastructures numériques ainsi que leurs sous-traitants et prestataires directs. Ces entités sont classées en deux catégories, « essentielles » ou « importantes », avec des niveaux d'exigence distincts. Parmi les mesures imposées figurent notamment la gestion des risques, la continuité d'activité, la sécurité de la chaîne d'approvisionnement, la formation des dirigeants et du personnel, ainsi que le déploiement de solutions d'authentification multifacteurs.
Enfin, l'employeur demeure soumis à son obligation générale de sécurité envers ses salariés, prévue à l'article L.4121-1 du Code du travail.
Une cyberattaque paralysant les outils de travail ou exposant des données personnelles de collaborateurs peut engager sa responsabilité à ce titre. Car les données que l'entreprise détient sur ses salariés telles que les coordonnées bancaires, le numéro de sécurité sociale, ou encore les données de santé sont des données particulièrement sensibles, soumises aux mêmes exigences de sécurité que les données clients. Seules les personnes habilitées doivent y avoir accès, et les actions effectuées sur ces données doivent être tracées. À ce titre, la CNIL recommande aux employeurs de sensibiliser l'ensemble de leurs collaborateurs aux règles internes de gestion des données personnelles et de diffuser une charte informatique claire au sein de l'entreprise.
Les principales menaces qui pèsent sur les PME
Pour bâtir une défense efficace, encore faut-il identifier avec précision les menaces auxquelles les PME font face au quotidien. Aujourd’hui, 90 % des cyberattaques trouvent leur origine dans une erreur humaine. Si 79 % des TPE/PME disposent d'une solution antivirus, elles ne sont que 34 % à avoir mené des actions de sensibilisation ou de formation à la cybersécurité. Ce sont rarement des failles techniques qui ouvrent la porte aux attaquants mais les comportements humains.
Les cyberattaques peuvent prendre des formes variées :
- Le phishing ou hameçonnage : Il s'agit d’un email soigneusement imité, usurpant l'identité d'un fournisseur, d'une banque ou d'un service public, incitant un collaborateur à cliquer sur un lien malveillant ou à communiquer ses identifiants. Les cybercriminels recourent désormais à des outils d'IA générative pour concevoir des messages de plus en plus crédibles, sans fautes d'orthographe et personnalisés grâce aux données volées disponibles sur le web clandestin. Un seul caractère différent dans une adresse email suffit à tromper un collaborateur non averti. C'est d'ailleurs la menace la plus fréquemment identifiée par les PME victimes puisque 43 % des attaques déclarées en 2025 sont liées à l'hameçonnage.
- Les rançongiciels ransomwares : Ces logiciels malveillants chiffrent l'intégralité des données de l'entreprise et exigent le paiement d'une rançon pour en restituer l'accès. Le préjudice moyen pour une PME est estimé à 97 000 euros, sans compter les pertes d'exploitation et les dommages à la réputation, souvent bien plus coûteux et difficilement réparables. En cas d'attaque, il ne faut jamais payer la rançon : des solutions de déchiffrement existent et les forces de l'ordre peuvent vous assister.
- Les attaques par interception et intrusion :
- L'attaque de type man in the middle consiste à s'interposer discrètement entre deux interlocuteurs pour intercepter ou modifier leurs échanges.
- Les attaques par force brute ou par injection SQL visent quant à elles à forcer l'accès aux systèmes en testant automatiquement des milliers de combinaisons de mots de passe ou en exploitant des failles dans les bases de données.
- Les attaques par déni de service DDoS cherchent à saturer les serveurs de l'entreprise pour paralyser son activité.
Ces attaques trouvent souvent leur point d'entrée dans des pratiques quotidiennes anodines au sein même de l'entreprise.
En effet, les erreurs du quotidien constituent le point d'entrée privilégié de toutes ces attaques.
Il s'agit par exemple de l’utilisation de mots de passe trop simples ou réutilisés sur plusieurs services, des logiciels non mis à jour, une clé USB inconnue branchée sans précaution, confusion entre usages professionnels et personnels, les permissions trop larges accordées à certains utilisateurs, ou encore l’accès d'anciens collaborateurs jamais révoqués : autant de gestes apparemment anodins qui exposent l'ensemble du système d'information.
Le télétravail représente aussi un vecteur de risque croissant et souvent sous-estimé. Travailler depuis un réseau wifi public, recharger son téléphone professionnel sur une prise USB en libre-service, ou accéder aux outils de l'entreprise sans connexion VPN sécurisée sont autant de situations qui exposent les données de l'entreprise à des risques d'espionnage, de vol ou de piégeage des équipements.
Les 4 piliers d'une stratégie de cybersécurité efficace
La véritable protection réside dans la structuration d'une politique de cybersécurité cohérente et adaptée à la taille de l'entreprise.
Voici les 4 piliers indispensables à mettre en place.
Maintenir ses équipements à jour et protégés
C'est la mesure la plus simple et pourtant la plus négligée. La majorité des attaquants exploitent des vulnérabilités connues et documentées, pour lesquelles des correctifs existent mais n'ont pas été appliqués. L'activation des mises à jour automatiques sur tous les postes, serveurs et équipements réseau doit être une règle non négociable y compris pour les logiciels et matériels fournis par des sous-traitants, dont il convient d'exiger contractuellement la mise à jour régulière. Tout matériel ou logiciel qui ne peut plus être mis à jour doit être désinstallé et remplacé.
De plus, chaque appareil doit être protégé par un antivirus à jour, les filtres anti-hameçonnage et anti-spam activés en permanence, et les accès aux postes systématiquement verrouillés par un code ou un mot de passe. Si 84 % des TPE-PME disposent aujourd’hui d’un antivirus et 78 % effectuent des sauvegardes, ces bons réflexes ne suffisent pas : seules 26 % ont déployé une solution d’authentification à double facteur, et 24 % disposent d’une procédure formalisée de réaction aux cyberattaques.
Gérer strictement les accès et les identités numériques
Chaque collaborateur ne doit avoir accès qu'aux données strictement nécessaires à ses missions, en utilisant un compte utilisateur standard plutôt qu'un compte administrateur pour les tâches quotidiennes.
L'ANSSI recommande de mettre en place une politique de mots de passe robustes : 15 caractères minimum pour les services critiques, en privilégiant une suite de mots aléatoires difficile à décrypter mais plus simple à mémoriser qu'un mot de passe complexe. Cette politique doit s'accompagner du déploiement de l'authentification à double facteur sur l'ensemble des applications critiques.
Par ailleurs, les accès des anciens collaborateurs ou prestataires doivent être systématiquement révoqués dès leur départ. L'identité numérique de l'entreprise doit également être sécurisée : messagerie professionnelle fiable dotée d'un anti-spam et d'une solution anti-phishing, site internet en « https » avec des paramètres de sécurité régulièrement révisés, et redirection des messages professionnels vers une messagerie personnelle strictement proscrite.
Sauvegarder régulièrement et protéger les données sensibles
Une sauvegarde qui n'a jamais été testée est une sauvegarde dont vous ignorez si elle fonctionne.
Les données critiques doivent être sauvegardées selon la règle 3-2-1 recommandée par l'ANSSI : 3 copies des données, sur 2 supports différents, dont 1 copie stockée hors site ou déconnectée du réseau.
La fréquence des sauvegardes doit être adaptée au volume de données produit : quotidienne ou hebdomadaire pour les données métier, mensuelle pour les données techniques. Le chiffrement des données avant sauvegarde est également recommandé, en particulier pour les données personnelles soumises au RGPD.
Les documents sensibles doivent par ailleurs être protégés par des accès restreints et un marquage selon leur niveau de confidentialité, afin d'identifier clairement les données qui méritent une protection renforcée.
Enfin, il est fortement conseillé de faire évaluer la couverture de votre police d'assurance cyber : usurpation d'identité, perte d'exploitation, accompagnement juridique et technique en cas d'incident sont autant de garanties à vérifier auprès de votre assureur.
Désigner un référent et organiser la réponse aux incidents
Dans la mesure des ressources disponibles, il est fortement recommandé de désigner un responsable de la sécurité des systèmes d'information RSSI, même à temps partiel, et de lui adjoindre une équipe dédiée si la taille et la sensibilité des données de l'entreprise le justifient. Ce référent centralise les alertes, supervise les mises à jour et coordonne la réponse en cas d'incident.
Mais la cybersécurité implique une culture de la sécurité partagée par l'ensemble des collaborateurs. Cela commence par l'engagement du dirigeant lui-même, qui doit montrer l'exemple en adoptant des pratiques rigoureuses. Une charte informatique, remise à chaque nouvel arrivant, doit détailler les usages numériques à respecter et la procédure de déclaration d'un incident. Cette culture doit être régulièrement entretenue : diffusions de messages en interne, points lors des réunions d'équipe, ou newsletter reprenant les incidents récents. La déclaration d'incidents doit être encouragée sans coercition : il s'agit de responsabiliser les collaborateurs face à des menaces évolutives, non de les sanctionner, afin d'éviter toute sous-déclaration.
Selon l'ANSSI, 87 % des entreprises ayant mis en place des programmes de sensibilisation à la cybersécurité ont observé une amélioration notable de leur niveau de protection. Pour structurer cette démarche, plusieurs ressources publiques gratuites sont disponibles : la plateforme SensCyber cybermalveillance.gouv.fr propose une e-sensibilisation accessible à tous vos collaborateurs, MesServicesCyber recense un catalogue complet de ressources et services pour renforcer votre cybersécurité, et le CERT-FR cert.ssi.gouv.fr assure une veille technique sur les campagnes d'attaques en cours pour les PME dotées d'un service informatique.
Car savoir comment agir dans les premières minutes suivant une attaque est aussi important que la prévention : déconnecter le poste compromis du réseau sans l'éteindre, ne pas modifier les équipements affectés afin de préserver les traces pour les enquêteurs, alerter le référent informatique, porter plainte, notifier la CNIL en cas de violation de données personnelles, et se rendre sur la plateforme 17Cyber 17cyber.gouv.fr pour obtenir un diagnostic en ligne et des conseils adaptés.
En cas de rançongiciel, ne jamais payer la rançon.
Cybersécurité et RSE : un engagement qui dépasse la conformité
Loin d'être une simple contrainte réglementaire, la cybersécurité est devenue un marqueur fort de la maturité et de la responsabilité d'une entreprise. Intégrer la protection des données dans votre stratégie RSE, c'est envoyer un signal fort à vos clients, partenaires et collaborateurs. En se protégeant et en protégeant leurs partenaires, les entreprises assurent leur pérennité et renforcent la confiance qui les lie à leurs parties prenantes.
Un levier essentiel pour votre marque employeur.
Une entreprise qui protège les données de ses collaborateurs, qui encadre rigoureusement les accès et qui investit dans leur formation démontre une attention réelle portée à son capital humain. Dans un contexte de tension sur le marché du travail, cela renforce la confiance et l'engagement des équipes sur le long terme. La transparence est ici un atout : informer ses collaborateurs des dispositifs mis en place, c'est aussi respecter leurs droits en matière de protection des données personnelles.
Le lien direct entre sécurité numérique et continuité d'activité.
Une cyberattaque mal anticipée peut paralyser l'ensemble des opérations pendant plusieurs jours, voire plusieurs semaines, pour un préjudice moyen de 97 000 euros. Investir dans la cybersécurité n'est pas un coût, c'est une stratégie de résilience qui protège la pérennité de l'entreprise et maintient la confiance de vos clients et fournisseurs. Une culture de la sécurité ne protège pas seulement l'entreprise, elle renforce aussi sa réputation et contribue directement à sa compétitivité.
Anticipation et responsabilité vis-à-vis de vos partenaires.
Dans le cadre de la directive NIS 2, vos donneurs d'ordre sont de plus en plus attentifs au niveau de sécurité de leurs sous-traitants. La sécurité de la chaîne d'approvisionnement est désormais une exigence explicite de la réglementation : une PME incapable d'attester d'une politique de cybersécurité structurée peut se voir exclue de certains marchés ou engager la responsabilité de ses partenaires en cas d'incident. À l'inverse, une PME bien protégée se démarque durablement et évite d'être le maillon faible dans la chaîne de valeur de ses clients.
Finalement, la cybersécurité n'est plus une option réservée aux grandes entreprises.
Face à des menaces en constante évolution, chaque PME est exposée et chaque dirigeant est responsable. Mettre à jour ses équipements, former ses collaborateurs, structurer sa réponse aux incidents : ces mesures concrètes et accessibles peuvent faire la différence entre la continuité d'activité et la fermeture définitive. En l'absence de préparation, lorsque l'incident survient, il est déjà trop tard.
