★★★★★ 4,9/5 — 22 avis
23 ans d’expérience
Paris & Île-de-France
Audit gratuit

← Actualités

Cybersécurité PME en 2026 : les 5 mesures de base que la majorité des entreprises n'ont toujours pas mises en place

Cybersécurité  · Janvier 2026  ·  Par l'équipe Evoir

Selon le baromètre Cybermalveillance 2025, 16 % des PME françaises ont subi au moins un incident de sécurité dans l'année — et c'est probablement sous-estimé, car beaucoup ne savent pas qu'elles ont été compromises. Les cyberattaques ne ciblent plus seulement les grandes entreprises : les PME de 10 à 100 salariés sont devenues des cibles privilégiées précisément parce qu'elles sont moins protégées et que l'effort des attaquants pour les compromettre est minimal.

Voici les 5 mesures de base que nous mettons systématiquement en place ou vérifions lors d'un audit de cybersécurité, et que beaucoup de PME n'ont pas encore appliquées — avec pour chacune la mise en œuvre concrète et les erreurs à éviter.

1. L'authentification multi-facteurs (MFA) sur tous les accès critiques

C'est la mesure qui a le meilleur rapport effort/protection. Un compte Microsoft 365 sans MFA peut être compromis en quelques secondes si le mot de passe fuite — ce qui arrive régulièrement via des brèches de données sur des sites tiers. Avec le MFA activé, le mot de passe seul ne suffit plus.

Pourquoi c'est souvent absent : par défaut, Microsoft n'impose pas le MFA sur les anciennes configurations. Les prestataires qui ne l'activent pas systématiquement créent un risque que les clients ne voient pas.

Comment le déployer : dans Microsoft 365, le MFA s'active via les paramètres de sécurité par défaut (Security Defaults) ou via l'accès conditionnel (Conditional Access) pour plus de granularité. La méthode la plus simple est l'application Microsoft Authenticator. Le déploiement sur une PME de 20 personnes prend environ une demi-journée, formation utilisateurs incluse.

Les accès à traiter en priorité : Microsoft 365, VPN, accès RDP, console d'administration du pare-feu, hébergement web, domaines. Ce sont les portes d'entrée les plus exploitées.

2. La vérification des sauvegardes — pas juste leur existence

Beaucoup de PME ont une solution de sauvegarde des données. Beaucoup moins ont testé une restauration. Or une sauvegarde qui n'a jamais été restaurée est une sauvegarde dont on ne sait pas si elle fonctionne. En cas d'incident réel, découvrir que les sauvegardes sont corrompues ou incomplètes est une catastrophe.

Ce qu'on trouve à l'audit : des sauvegardes qui tournent en erreur depuis des semaines sans que personne n'ait été alerté, des sauvegardes qui ne couvrent pas les bonnes données (le serveur est sauvegardé mais pas les partages réseau), des sauvegardes stockées sur le même support que les données (inutiles en cas de ransomware).

Les bonnes pratiques : règle du 3-2-1 (3 copies, 2 supports différents, 1 hors site), test de restauration planifié au moins une fois par trimestre sur un fichier réel, alertes en cas d'échec de sauvegarde envoyées à une adresse surveillée. Pour Microsoft 365, une sauvegarde externe indépendante est indispensable — Microsoft ne sauvegarde pas vos données à votre place. Et en cas d'incident ransomware, c'est précisément cette sauvegarde qui détermine si vous pouvez récupérer vos données sans payer la rançon.

3. La gestion des départs de collaborateurs

Quand un salarié quitte l'entreprise, ses accès doivent être coupés le jour même. Messagerie, accès VPN, outils SaaS, comptes partagés, applications métier — tout. Dans la réalité, on trouve souvent des comptes actifs d'anciens salariés partis depuis des mois ou des années.

Pourquoi c'est dangereux : un ancien collaborateur mécontent peut accéder à vos données depuis chez lui. Un compte non désactivé peut être compromis à son insu et utilisé comme point d'entrée dans votre système. La plupart des fuites de données internes impliquent des accès non révoqués.

La procédure à mettre en place : une checklist de départ IT formalisée, transmise aux RH et appliquée systématiquement le dernier jour. Elle doit couvrir : désactivation du compte Microsoft 365, révocation des tokens de session, suppression des accès VPN, retrait des groupes d'accès spécifiques, archivage de la boîte mail, récupération du matériel. Avec un outil MDM (Intune, par exemple), l'effacement à distance du poste ou du mobile professionnel peut être déclenché en quelques clics.

4. La mise à jour des équipements réseau

Routeurs, pare-feux, switches — ces équipements ont des firmwares qui contiennent des failles de sécurité découvertes régulièrement. Les mises à jour ne se font pas automatiquement sur la plupart des équipements professionnels. Il faut les planifier manuellement, les tester sur une fenêtre de maintenance et les déployer.

Ce qu'on trouve à l'audit : des routeurs et pare-feux avec des firmwares vieux de 2, 3 voire 5 ans. Des équipements en fin de support dont l'éditeur ne publie plus de mises à jour. Des mots de passe d'administration par défaut jamais changés.

Les équipements prioritaires : le pare-feu (point d'entrée du réseau), le routeur / la box opérateur professionnelle, les points d'accès Wi-Fi (surtout si vous avez un réseau invités non segmenté). La fréquence recommandée : vérification mensuelle des mises à jour disponibles, déploiement trimestriel ou dès publication d'un correctif critique.

En fin de vie : un équipement réseau dont le fabricant ne publie plus de mises à jour doit être remplacé, même s'il "fonctionne encore". Aucun patch ne corrigera les failles découvertes demain sur cet équipement.

5. La sensibilisation au phishing — pas juste un email de rappel

La porte d'entrée principale des cyberattaques reste l'email. Un collaborateur qui clique sur un lien malveillant peut compromettre tout l'environnement en quelques minutes. La sensibilisation à la cybersécurité n'est pas un luxe réservé aux grandes entreprises.

Ce qui ne marche pas : envoyer un email interne "faites attention aux emails suspects" une fois par an. Cette approche n'a aucun impact mesurable sur les comportements.

Ce qui marche : des sessions courtes et régulières (30 à 45 minutes, 2 fois par an) sur des exemples concrets de phishing. Des simulations de phishing (envoi d'emails factices pour voir qui clique) avec un retour immédiat pour les utilisateurs ciblés — sans sanction, mais avec une explication. L'objectif n'est pas de piéger mais d'entraîner le réflexe de vérification.

Les signaux d'alerte à enseigner : expéditeur inhabituel avec domaine légèrement différent (micros0ft.com au lieu de microsoft.com), urgence artificielle ("votre compte sera suspendu dans 24h"), lien qui ne correspond pas au texte affiché, demande de mot de passe ou de virement non habituelle. Ces patterns couvrent la grande majorité des tentatives.

Au-delà des 5 mesures : ce que l'audit révèle en plus

Ces 5 mesures sont les plus fréquemment absentes. Mais lors des audits, nous en identifions d'autres qui méritent d'être traitées :

  • Absence de segmentation réseau : postes utilisateurs, serveurs, caméras et imprimantes sur le même réseau — une infection sur une imprimante peut atteindre le serveur
  • Antivirus traditionnel sans EDR : les antivirus à base de signatures ne détectent pas les attaques sans fichier ni les ransomwares récents — un EDR (Endpoint Detection and Response) analyse les comportements
  • Mots de passe réutilisés ou simples : sans politique de mots de passe et sans gestionnaire, les mots de passe sont souvent les mêmes partout depuis des années
  • Emails sans SPF/DKIM/DMARC : sans ces enregistrements DNS, n'importe qui peut envoyer des emails en se faisant passer pour votre domaine
Ce que l'audit révèle presque toujours : des comptes sans MFA, des sauvegardes jamais testées, et des anciens comptes d'employés toujours actifs. Ces trois points représentent à eux seuls les principales portes d'entrée d'une cyberattaque dans une PME — et les trois peuvent être traités en moins d'une journée de travail.
Demander un audit sécurité Cybersécurité PME Infogérance et supervision

Ce que disent nos clients

4,9/5 sur 22 avis - lire tous les témoignages

★★★★★

"Notre cabinet a subi une tentative de ransomware. Evoir est intervenu en moins d'une heure, a isolé les postes concernés et restauré les données. Pas de rançon payée, reprise le lendemain matin."

C
C.M.
Associée, cabinet d'avocats - Paris 6e
★★★★★

"Nous avons changé de prestataire après des années de galères. La transition s'est faite sans aucune interruption - ils ont repris tous nos accès, documenté notre parc et géré la résiliation. Très professionnel."

M
M.B.
Associé gérant, cabinet d'avocats - Paris 8e
★★★★★

"J'apprécie qu'Evoir ne vende pas ce dont on n'a pas besoin. Ils ont évalué notre SI, recommandé ce qui était utile et mis de côté ce qui était disproportionné. Une approche honnête."

T
T.R.
Président, association - Paris 4e


Pages utiles pour aller plus loin

Continuez avec les ressources les plus proches du sujet traité dans cet article.

Articles liés

Actualités et conseils informatiques

Parcourir les guides, conseils et contenus de fond publiés par Evoir.
Avis clients Evoir

Consulter des retours de PME et cabinets sur la réactivité, la clarté et la reprise.
Études de cas

Voir des exemples concrets de reprise, de migration et d’infogérance.

Services Evoir

Audit informatique gratuit

Faire un point clair sur les risques, les priorités et les gains possibles avant de décider.
Contacter Evoir

Échanger sur votre contexte, vos contraintes et le bon périmètre d’accompagnement.
Infogérance informatique PME

Piloter le parc, le support, les accès et les priorités IT au quotidien.
Démarrer par un audit gratuit  →