Lexique cybersécurité pour dirigeants de PME
Ce lexique est conçu pour les dirigeants, managers et collaborateurs sans formation technique. Chaque terme est expliqué en français clair, avec un exemple concret pour les PME.
Voir l'index des termesParcourir par thème
Les menaces
Comprendre les types d'attaques permet de mieux les anticiper et de ne pas se faire piéger par des emails ou appels frauduleux.
Ransomware
Un ransomware est un logiciel malveillant qui chiffre les fichiers de votre ordinateur ou de votre réseau, les rendant inaccessibles. Les cybercriminels réclament ensuite une rançon pour vous remettre la clé de déchiffrement. Pour une PME, une attaque par ransomware peut paralyser toute activité pendant plusieurs jours - et la rançon ne garantit pas la récupération des données.
Que faire après un ransomware ? →Phishing (hameçonnage)
Le phishing est une technique d'arnaque par email ou SMS qui imite un expéditeur de confiance (banque, administration, collègue) pour pousser la victime à cliquer sur un lien malveillant ou saisir ses identifiants. C'est la cause numéro 1 des compromissions en PME. Un seul clic peut suffire à ouvrir la porte à un ransomware ou à un vol de données.
Formation anti-phishing →Spear phishing (hameçonnage ciblé)
Le spear phishing est une variante du phishing personnalisée : les cybercriminels se renseignent sur leur cible (nom du dirigeant, fournisseurs, projets en cours) pour rédiger un email très crédible. En PME, les comptables et assistantes de direction sont les cibles privilégiées - un vrai email du PDG qui demande un virement urgent, cela ressemble exactement à un spear phishing.
BEC (Business Email Compromise)
Le BEC est une arnaque sophistiquée où un cybercriminel usurpe ou compromet la boîte email d'un dirigeant, fournisseur ou partenaire pour demander un virement frauduleux. La PME reçoit un email apparemment légitime - depuis le vrai compte - et effectue un paiement qui part directement chez l'attaquant. Les pertes moyennes se chiffrent en dizaines de milliers d'euros.
Malware (logiciel malveillant)
Le terme malware désigne tout logiciel conçu pour nuire : virus, ransomware, spyware, cheval de Troie... Un malware peut s'installer via une pièce jointe, un téléchargement ou un site web piégé. Une fois en place, il peut voler des données, espionner vos activités, chiffrer vos fichiers ou servir de relais pour attaquer d'autres entreprises.
Zero-day (faille zero-jour)
Une faille zero-day est une vulnérabilité logicielle inconnue de l'éditeur, donc sans correctif disponible. Les attaquants l'exploitent avant que quiconque puisse réagir. Pour les PME, la leçon est simple : mettre à jour rapidement tous les logiciels dès que des correctifs sont publiés, car les failles connues deviennent rapidement les cibles favorites des cybercriminels.
DDoS (Attaque par déni de service)
Une attaque DDoS (Distributed Denial of Service) consiste à submerger un serveur ou un site web de requêtes pour le rendre inaccessible. Pour une PME avec un site e-commerce ou un portail client, une heure de panne peut coûter cher en chiffre d'affaires perdu et en image de marque dégradée.
Vishing (hameçonnage vocal)
Le vishing est un phishing réalisé par téléphone : un faux technicien informatique, un faux conseiller bancaire ou un faux agent de l'ANSSI appelle un collaborateur pour lui soutirer des identifiants ou lui faire installer un logiciel de prise en main à distance. La règle absolue : aucun vrai prestataire informatique légitime ne demande un mot de passe par téléphone.
Deepfake (hypertrucage IA)
Le deepfake utilise l'intelligence artificielle pour générer de faux enregistrements audio ou vidéo très réalistes. Des cybercriminels ont déjà utilisé des deepfakes vocaux imitant un PDG pour faire valider des virements frauduleux par téléphone. Cette menace émergente concerne déjà les PME, notamment dans les secteurs financiers et RH.
Phishing IA et deepfakes en entreprise →Les protections
Les outils et méthodes de défense - ce que votre prestataire IT doit mettre en place, et ce que chacun doit connaître pour rester vigilant.
Antivirus
Un antivirus est un logiciel qui détecte et supprime les logiciels malveillants connus sur un poste de travail. Aujourd'hui, il est considéré comme le minimum syndical - nécessaire mais insuffisant seul. La plupart des menaces modernes contournent les antivirus classiques, d'où l'importance des solutions EDR.
EDR (Endpoint Detection and Response)
L'EDR va bien au-delà de l'antivirus. Installé sur les postes de travail, il analyse en permanence les comportements (pas seulement les fichiers connus) et peut isoler automatiquement un poste compromis en quelques secondes. Pour une PME, un EDR peut stopper une attaque en ransomware avant qu'elle ne se propage à tout le réseau.
Firewall (pare-feu)
Un firewall est un dispositif matériel ou logiciel qui filtre le trafic réseau entrant et sortant selon des règles définies. Il bloque les connexions non autorisées et peut détecter les comportements anormaux. En PME, un firewall correctement configuré empêche les attaquants d'accéder à vos systèmes depuis internet.
VPN (Réseau privé virtuel)
Un VPN crée un tunnel chiffré entre l'appareil d'un utilisateur et le réseau de l'entreprise. Il permet aux collaborateurs en télétravail de se connecter aux ressources internes de manière sécurisée, même depuis un Wi-Fi public (café, hôtel, gare). Sans VPN, les données transitent en clair sur des réseaux inconnus.
MFA / 2FA (Authentification multifacteur)
Le MFA exige au moins deux preuves d'identité pour accéder à un compte : un mot de passe et un second facteur (code SMS, application d'authentification, clé physique). Même si un mot de passe est volé, l'attaquant ne peut pas accéder au compte sans le second facteur. Le MFA bloque 99 % des attaques automatisées sur les comptes.
Zero Trust (confiance zéro)
Le Zero Trust est un modèle de sécurité qui considère qu'aucun utilisateur ou appareil n'est fiable par défaut, même à l'intérieur du réseau de l'entreprise. Chaque accès est vérifié, chaque connexion authentifiée, les droits sont limités au strict nécessaire. C'est le modèle recommandé pour les PME avec des équipes hybrides ou nomades.
Sandboxing (bac à sable)
Le sandboxing consiste à exécuter un fichier ou une application suspect dans un environnement isolé ("bac à sable") pour observer son comportement avant de l'autoriser sur le réseau. Les solutions d'antispam avancées utilisent cette technique pour analyser les pièces jointes douteuses sans risque pour les postes de travail.
Chiffrement / BitLocker
Le chiffrement transforme des données lisibles en données illisibles sans la clé correspondante. BitLocker est la solution de chiffrement intégrée à Windows qui protège les données stockées sur disque dur. En cas de vol d'un ordinateur portable, les fichiers restent illisibles - indispensable pour toute PME avec des collaborateurs nomades.
Chiffrement des données en PME →Antispam
Un antispam filtre les emails entrants pour bloquer les spams, tentatives de phishing et pièces jointes malveillantes avant qu'ils n'atteignent la boîte des utilisateurs. Les solutions modernes analysent les comportements d'envoi, les liens, les pièces jointes et les signatures pour détecter les menaces inconnues.
Antispam Microsoft 365 →Conformité & gouvernance
Les réglementations et cadres organisationnels que tout dirigeant de PME doit connaître pour rester dans la légalité et démontrer sa maturité en sécurité.
RGPD (Règlement Général sur la Protection des Données)
Le RGPD est le règlement européen qui encadre la collecte et le traitement des données personnelles (clients, prospects, employés). Toute PME qui collecte des données est concernée. Les obligations incluent le registre des traitements, la nomination éventuelle d'un DPO, la déclaration des violations de données et le respect des droits des personnes. Les amendes peuvent atteindre 4 % du chiffre d'affaires mondial.
NIS2 (Directive sécurité des réseaux)
NIS2 est la directive européenne sur la sécurité des réseaux et systèmes d'information, transposée en droit français depuis 2024. Elle élargit les obligations de cybersécurité à de nombreuses PME - notamment les sous-traitants de grandes entreprises ou fournisseurs de services essentiels. Audit, gestion des incidents, continuité d'activité : les exigences sont précises.
NIS2 et obligations pour les PME →ANSSI (Agence nationale de la sécurité des systèmes d'information)
L'ANSSI est l'autorité nationale française en matière de cybersécurité. Elle publie des guides pratiques, des référentiels (comme le guide d'hygiène informatique pour PME) et gère les incidents de grande ampleur. Consulter les ressources de l'ANSSI est un bon point de départ pour toute PME souhaitant évaluer sa maturité cyber.
CNIL (Commission nationale de l'informatique et des libertés)
La CNIL est l'autorité de contrôle française chargée de veiller au respect du RGPD. Elle traite les plaintes des particuliers, contrôle les entreprises et prononce des sanctions. Elle publie également des guides pratiques pour aider les PME à se mettre en conformité - à consulter avant toute refonte de vos formulaires de collecte de données.
DPO (Data Protection Officer)
Le DPO est le responsable de la protection des données personnelles au sein d'une organisation. Sa nomination est obligatoire pour certaines catégories d'entreprises (organismes publics, traitements à grande échelle de données sensibles). Pour les PME non concernées par l'obligation, désigner un référent RGPD interne reste très recommandé.
PCA / PRA (Plan de Continuité / Reprise d'Activité)
Le PCA définit comment l'entreprise maintient ses activités critiques pendant une crise (cyberattaque, incendie, panne majeure). Le PRA définit comment elle reprend son activité après un arrêt complet. Pour une PME, un PRA basique inclut la sauvegarde externalisée des données, les procédures de restauration testées et les contacts d'urgence préidentifiés.
ISO 27001
ISO 27001 est la norme internationale de référence pour les systèmes de management de la sécurité de l'information (SMSI). Elle fournit un cadre complet pour identifier, évaluer et traiter les risques informatiques. La certification ISO 27001 est un gage de sérieux recherché par les grandes entreprises auprès de leurs sous-traitants PME.
Infrastructure
Les composants techniques qui structurent votre environnement informatique - à connaître pour mieux dialoguer avec votre prestataire IT.
Active Directory
Active Directory (AD) est le service Microsoft qui centralise la gestion des utilisateurs, des ordinateurs et des droits d'accès dans un réseau Windows. C'est le cœur de la sécurité pour la plupart des PME : si l'Active Directory est compromis, l'attaquant contrôle toute l'infrastructure. Sa sécurisation est une priorité absolue.
SSO (Single Sign-On)
Le SSO permet à un utilisateur de se connecter une seule fois avec un identifiant unique pour accéder à l'ensemble de ses applications professionnelles (messagerie, CRM, ERP, outils cloud). En PME, le SSO simplifie la gestion des accès et facilite la révocation immédiate lors d'un départ collaborateur.
DMARC / DKIM / SPF
Ces trois protocoles protègent votre domaine email contre l'usurpation. SPF liste les serveurs autorisés à envoyer depuis votre domaine. DKIM signe cryptographiquement vos emails. DMARC indique aux serveurs destinataires comment traiter les emails qui échouent ces vérifications. Sans ces trois protocoles, n'importe qui peut envoyer un email en se faisant passer pour vous.
Patch Management (gestion des mises à jour)
Le patch management désigne le processus d'identification, de test et de déploiement des mises à jour de sécurité sur tous les postes, serveurs et équipements réseau. La majorité des cyberattaques exploitent des vulnérabilités connues et corrigées - mais pas encore appliquées. Un cycle de mise à jour mensuel est un minimum pour toute PME.
MDM (Mobile Device Management)
Le MDM est une solution qui permet de gérer, sécuriser et contrôler à distance les smartphones, tablettes et ordinateurs portables des collaborateurs. En cas de perte ou de vol, l'administrateur peut effacer les données à distance en quelques secondes. Le MDM permet aussi d'imposer un code PIN, le chiffrement et les mises à jour sur tous les appareils professionnels.
Gestion des mobiles et tablettes en PME →Vous avez un doute sur votre niveau de sécurité ?
Un audit gratuit de 30 minutes avec un expert Evoir permet d\'identifier vos points de vulnérabilité prioritaires et de repartir avec un plan d\'action concret - sans jargon, sans engagement.