Selon le baromètre Cybermalveillance 2025, 16 % des PME françaises ont subi au moins un incident de sécurité dans l'année — et c'est probablement sous-estimé, car beaucoup ne savent pas qu'elles ont été compromises. Les cyberattaques ne ciblent plus seulement les grandes entreprises : les PME de 10 à 100 salariés sont devenues des cibles privilégiées précisément parce qu'elles sont moins protégées.
Voici les 5 mesures de base que nous mettons systématiquement en place ou vérifions lors d'un audit de cybersécurité, et que beaucoup de PME n'ont pas encore appliquées.
1. L'authentification multi-facteurs (MFA) sur les comptes Microsoft 365 et les accès critiques
C'est la mesure qui a le meilleur rapport effort/protection. Un compte Microsoft 365 sans MFA peut être compromis en quelques secondes si le mot de passe fuite — ce qui arrive régulièrement via des sites tiers. Avec le MFA activé, le mot de passe seul ne suffit plus. C'est simple à déployer, ça ne coûte rien sur les licences existantes, et ça bloque l'immense majorité des tentatives d'intrusion par credential stuffing.
2. La vérification des sauvegardes (pas juste leur existence)
Beaucoup de PME ont une solution de sauvegarde des données. Beaucoup moins ont testé une restauration. Or une sauvegarde qui n'a jamais été restaurée est une sauvegarde dont on ne sait pas si elle fonctionne. Le test de restauration doit être planifié au moins une fois par an, sur un fichier ou un environnement de test. C'est systématique dans notre suivi.
3. La gestion des départs de collaborateurs
Quand un salarié quitte l'entreprise, ses accès doivent être coupés le jour même. Messagerie, accès VPN, outils SaaS, comptes partagés, applications métier — tout. Dans la réalité, on trouve souvent des comptes actifs d'anciens salariés partis depuis des mois ou des années. C'est une porte ouverte pour n'importe qui qui connaît ou devine le mot de passe.
4. La mise à jour des équipements réseau
Routeurs, pare-feux, switches — ces équipements ont des firmwares qui contiennent des failles de sécurité découvertes régulièrement. Les mises à jour ne se font pas automatiquement sur la plupart des équipements professionnels. Un routeur avec un firmware de 2019 sur un réseau d'entreprise en 2026, c'est un risque réel.
5. La sensibilisation au phishing
La porte d'entrée principale des cyberattaques reste l'email. Un collaborateur qui clique sur un lien malveillant peut compromettre tout l'environnement en quelques minutes. La sensibilisation à la cybersécurité n'est pas un luxe réservé aux grandes entreprises : une session de 30 minutes avec votre équipe sur les signaux d'alerte réduit significativement le risque.