- 43 % des cyberattaques en France ont ciblé des PME
- Coût moyen d'une cyberattaque pour une PME : 75 000 € (direct + indirect)
- 60 % des PME victimes d'une cyberattaque majeure cessent leur activité dans les 18 mois
- 80 % des incidents commencent par un e-mail frauduleux (phishing)
La cybersécurité n'est plus réservée aux grands groupes. En 2026, une PME de 20 salariés est une cible aussi probable qu'une entreprise du CAC 40 — souvent plus, car les défenses sont moins solides. La bonne nouvelle : les 10 pratiques ci-dessous peuvent être mises en place sans budget IT exceptionnel.
Les 10 bonnes pratiques cybersécurité pour PME en 2026
1. Activer l'authentification multi-facteurs (MFA) partout
Coût : 0 €. Impact : élimine 90 % des attaques par compromission de mot de passe.
Le MFA (code SMS, application d'authentification comme Microsoft Authenticator ou Google Authenticator) doit être activé sur tous les comptes critiques : e-mail professionnel, VPN, accès cloud (Microsoft 365, Google Workspace), ERP, banque en ligne. Une seule exception suffit à créer une faille.
2. Appliquer les mises à jour sans délai
71 % des attaques par ransomware exploitent des vulnérabilités connues pour lesquelles un correctif existait (Verizon DBIR 2025). La règle : mise à jour automatique activée sur tous les postes, serveurs, routeurs et NAS. Les systèmes non supportés (Windows 10 après octobre 2025) doivent être remplacés ou isolés du réseau.
3. Sauvegardes 3-2-1 automatisées
3 copies des données, sur 2 supports différents, dont 1 hors site (cloud ou support physique déconnecté). La sauvegarde sur le même réseau que les données ne protège pas contre un ransomware qui chiffre tout le réseau. Tester la restauration au moins une fois par trimestre — une sauvegarde non testée n'existe pas.
Solutions adaptées PME : Veeam Backup Essentials (abonnement annuel ~500 €/an pour 5 VMs), Backblaze B2 pour le cloud (6 $/TB/mois).
4. Former les équipes au phishing
La formation technique ne suffit pas si les collaborateurs cliquent sur chaque lien. Prévoir une formation anti-phishing annuelle de 1h30 minimum, complétée par des simulations de phishing (envoi de faux e-mails frauduleux pour tester les réflexes). Des plateformes comme KnowBe4 ou Proofpoint proposent des modules adaptés PME à partir de 20 €/utilisateur/an.
5. Utiliser des mots de passe forts et un gestionnaire
Un mot de passe fort : au moins 16 caractères, aléatoire, unique par service. Aucun humain ne peut mémoriser 50 mots de passe de 16 caractères — d'où l'utilité d'un gestionnaire de mots de passe. Bitwarden Business (~4 €/user/mois) ou 1Password Teams (~8 €/user/mois) permettent de gérer et partager les accès de manière sécurisée au sein de l'équipe.
6. Segmenter le réseau
Séparer le réseau Wi-Fi invités du réseau interne. Séparer les postes de travail des serveurs et des équipements de production (IoT, imprimantes, caméras). Un ransomware qui s'installe sur un poste ne doit pas pouvoir se propager librement à tout le réseau. La segmentation se configure sur la plupart des routeurs professionnels (Ubiquiti, Cisco Meraki) en quelques heures.
7. Chiffrer les appareils mobiles et les laptops
Le vol d'un laptop ou d'une clé USB contenant des données clients ou des identifiants peut coûter très cher — amende RGPD, perte de clients, réputation. BitLocker (Windows) et FileVault (Mac) chiffrent le disque dur en quelques clics, sans surcoût. Toujours activer le chiffrement sur les smartphones professionnels.
8. Définir une politique d'accès minimaux (principe du moindre privilège)
Chaque collaborateur n'accède qu'aux ressources dont il a besoin pour son travail. Un employé commercial n'a pas besoin d'accéder aux dossiers RH ou aux données de production. Revoir les droits d'accès lors de chaque départ ou changement de poste. Les comptes d'anciens employés doivent être désactivés le jour du départ.
9. Sécuriser les accès distants (VPN)
Le VPN d'entreprise chiffre les communications entre les collaborateurs en télétravail et le réseau d'entreprise. Privilégier des solutions VPN modernes : WireGuard (performant, léger), Tailscale (facile à déployer), ou des solutions VPN intégrées dans les pare-feux (Sophos, Fortinet). Éviter les solutions VPN non maintenues ou basées sur des protocoles obsolètes (PPTP).
10. Disposer d'un plan de réponse aux incidents
Que faire si vous êtes attaqués demain matin à 8h ? Si la réponse est « on verra », c'est un risque majeur. Un plan simple de 2 pages suffit : qui appeler (ANSSI, assurance cyber, prestataire IT), quels systèmes isoler en premier, comment communiquer avec les clients et partenaires, où se trouvent les sauvegardes. L'ANSSI propose des guides gratuits de gestion de crise cyber sur son site.
Récapitulatif — priorité et coût estimé
| Pratique | Priorité | Coût estimé (PME 20 pers.) |
|---|---|---|
| MFA partout | P0 | 0 € |
| Mises à jour auto | P0 | 0 € |
| Sauvegardes 3-2-1 | P0 | 500–1 000 €/an |
| Formation anti-phishing | P1 | 400–800 €/an |
| Gestionnaire mots de passe | P1 | ~960 €/an (20 users) |
| Segmentation réseau | P1 | 0–500 € (conf. existante) |
| Chiffrement appareils | P1 | 0 € (natif OS) |
| Moindre privilège | P2 | 0 € (process) |
| VPN sécurisé | P2 | 0–200 €/an (Tailscale) |
| Plan de réponse incidents | P2 | 0 € (interne) |
Questions fréquentes
Par quoi commencer pour sécuriser une PME contre les cyberattaques ?
Commencer par les trois mesures à coût zéro : activer le MFA sur tous les comptes critiques, activer les mises à jour automatiques sur tous les appareils, et vérifier que les sauvegardes sont automatisées et stockées hors site. Ces trois actions couvrent la majorité des vecteurs d'attaque les plus courants.
Quel est le coût d'une cyberattaque pour une PME en France ?
Selon l'ANSSI et le CESIN, le coût moyen d'une cyberattaque significative pour une PME française est estimé à 75 000 € en coûts directs et indirects (restauration système, pertes d'exploitation, notification clients, frais légaux). 60 % des PME victimes cessent leur activité dans les 18 mois.
Existe-t-il des aides pour financer la cybersécurité d'une PME ?
Oui. Le dispositif Cyber PME de l'ANSSI propose des diagnostics et accompagnements cofinancés. Bpifrance a lancé des prêts cybersécurité spécifiques. Certains OPCO prennent en charge la formation cybersécurité des salariés. Les régions proposent également des chèques numériques incluant la cybersécurité.
