Sécurité informatique entreprise : plan 30/60/90 jours et mesures d’hygiène SI pour TPE/PME
La sécurité informatique entreprise n’est plus un sujet “IT” réservé aux grandes structures : phishing ciblé, fraude au président, ransomware et fuites de données touchent quotidiennement des TPE/PME/ETI. L’enjeu est concret : éviter l’arrêt d’activité, protéger les données (clients, RH, finance) et conserver la confiance. Cet article propose une feuille de route exécutable en 30/60/90 jours, inspirée des ressources institutionnelles (dont l’ANSSI et Cybermalveillance.gouv.fr) et traduite en livrables, contrôles et indicateurs simples.
Cartographier votre risque cyber (actifs, données, utilisateurs, dépendances) pour décider quoi protéger en premier
La priorisation commence par une vue claire de ce qui a de la valeur et de ce qui peut casser l’activité. Sans cartographie minimale, les efforts partent souvent sur des sujets visibles mais peu risqués.
En pratique, l’objectif n’est pas un audit interminable : une cartographie légère en 1 à 2 ateliers suffit pour décider. Elle s’appuie sur quatre listes courtes : actifs (postes, serveurs, SaaS), données (RH, compta, CRM), utilisateurs (internes, prestataires) et dépendances (infogérant, éditeur, hébergeur, opérateur).
Livrables “minimum viable” (à produire dès la semaine 1)
- Inventaire des actifs : 20–50 lignes suffisent (poste type, OS, propriétaire, criticité, lieu).
- Carte des applications et SaaS : qui y accède, depuis où, avec quel compte (SSO ou non).
- Registre des données sensibles : données personnelles (RGPD), secrets d’affaires, données bancaires.
- Scénarios d’impact : “si la messagerie tombe 48h”, “si le serveur fichiers est chiffré”, “si le compte compta est compromis”.
Matrice de priorisation impact × vraisemblance × effort
Pour arbitrer, une matrice simple évite les débats sans fin. Le score permet de choisir des actions qui réduisent vite le risque, même avec peu de budget.
| Mesure | Impact si absent (1–5) | Vraisemblance (1–5) | Effort (1–5) | Priorité (Impact×Vraisemblance ÷ Effort) | Comment vérifier |
|---|---|---|---|---|---|
| MFA sur messagerie et outils critiques | 5 | 5 | 2 | 12,5 | Rapport tenant : % comptes protégés, exceptions listées |
| Sauvegarde 3-2-1 + test de restauration | 5 | 4 | 3 | 6,7 | PV de test : restauration d’un fichier + d’une VM |
| Gestion des correctifs (OS/logiciels) | 4 | 4 | 3 | 5,3 | Taux de postes à jour, délai moyen de patch |
| Séparation comptes admin / comptes usuels | 4 | 3 | 2 | 6,0 | Liste comptes à privilèges, usage justifié |
| EDR/MDM sur postes nomades | 3 | 3 | 4 | 2,3 | Console : couverture, alertes, chiffrement disque |
Cette matrice peut être alignée sur le Guide d’hygiène informatique (42 mesures) de l’ANSSI (via MesServicesCyber) pour garder un référentiel reconnu et éviter d’oublier des basiques.
Construire un plan de cybersécurité réaliste : objectifs, périmètre, rôles (dirigeant/DSI/RSSI) et budget minimal
Un plan efficace tient sur une page : objectifs métiers, périmètre et responsabilités. Sans gouvernance minimale, la sécurité reste un projet “à côté” qui s’éteint dès la première urgence opérationnelle.
Le point de départ : fixer 3 objectifs mesurables, par exemple réduire le risque de compromission de comptes, assurer la restauration après ransomware, et réduire la surface d’attaque (postes, messagerie, accès distants). Le périmètre doit être explicite : sites, cloud/SaaS, postes nomades, filiales, prestataires.
Rôles : décider qui fait quoi (RACI minimal)
Le trio dirigeant–DSI–RSSI (interne ou externe) fonctionne même dans une PME, à condition de formaliser les décisions et les exceptions.
- Dirigeant : arbitre le risque, valide le budget, impose les règles (MFA, mises à jour, sanctions en cas d’écarts).
- DSI : pilote l’exécution (outillage, prestataires, intégration au run).
- RSSI (ou prestataire) : définit les politiques, contrôle, anime la sensibilisation, prépare la gestion d’incident.
Feuille de route 30/60/90 jours (jalons et preuves)
La logique : quick wins d’abord, puis chantiers structurants. Chaque étape produit une preuve simple (document, capture, rapport) utile en interne, pour l’assurance, et en cas d’incident.
Jours 0–30 (réduction immédiate du risque) : activer MFA sur messagerie et accès distants, supprimer comptes partagés, lancer inventaire, verrouiller la redirection de mails, durcir l’onboarding/offboarding, démarrer sauvegarde 3-2-1, imposer mises à jour automatiques quand possible.
Jours 31–60 (structuration) : registre des accès (IAM), séparation admin/usuel, politique de gestion des correctifs, durcissement messagerie (SPF/DKIM/DMARC selon contexte), segmentation basique réseau/Wi‑Fi, procédure incident + exercice table-top.
Jours 61–90 (maturité et pilotage) : déploiement MDM/EDR si nécessaire, supervision/centralisation journaux selon taille, revues trimestrielles des droits, tests de restauration planifiés, contractualisation des exigences sécurité avec prestataires, tableau de bord KPI.
Boîte à outils : modèles de livrables à tenir à jour
Des documents courts, utilisés et révisés, valent mieux que des politiques parfaites ignorées.
À produire : charte d’usage (poste/messagerie), politique MFA et mots de passe, registre des accès, procédure onboarding/offboarding, playbook phishing et playbook ransomware, plan de sauvegarde (RPO/RTO + tests).
Sécuriser les accès et identités : droits, MFA, comptes à privilèges, tiers et accès distants
La majorité des intrusions exploitent des identifiants volés ou trop puissants. Le levier le plus rentable reste l’IAM (gestion des identités et des accès), appliqué avec le principe du moindre privilège.
Trois règles structurantes : (1) chaque personne a un compte nominatif, (2) l’authentification forte est la norme, (3) les privilèges admin sont rares, séparés et tracés. Cela couvre à la fois le cloud (Microsoft 365/Google Workspace, CRM) et le SI interne.
Contrôles concrets à mettre en place
MFA (authentification multifacteur) : obligatoire pour messagerie, VPN, outils finance/RH, consoles d’administration. Les exceptions (compatibilité, comptes de service) doivent être listées, justifiées et compensées (restriction IP, coffre-fort, rotation).
Comptes à privilèges : séparation stricte entre compte usuel et compte admin, interdiction de naviguer et lire les mails en admin, usage ponctuel avec justification. Les accès élevés des prestataires doivent être temporaires et révocables.
Offboarding : désactivation le jour du départ, récupération des appareils, rotation des secrets partagés, transfert de boîtes mails/accès SaaS. Les “anciens comptes” sont un point d’entrée classique.
Accès distants : privilégier des solutions maintenues, MFA obligatoire, limitation par appareils gérés, et segmentation (pas d’accès réseau plat). Les outils d’assistance à distance doivent être inventoriés et verrouillés.
Erreurs fréquentes (et comment vérifier que c’est corrigé)
Les erreurs les plus coûteuses sont souvent triviales : comptes partagés, absence de MFA sur la messagerie, droits “admin local” partout, prestataires en accès permanent, et pas de revue périodique des droits.
Vérifications : exporter la liste des comptes et des méthodes MFA, lister les groupes admin, auditer les redirections/boîtes partagées, contrôler les comptes inactifs, et tenir un registre des accès signé (qui a accès à quoi, pourquoi, jusqu’à quand).
Mettre en place l’hygiène du SI : postes, messagerie, réseau/Wi‑Fi, sauvegardes et mises à jour (quick wins + niveau avancé)
L’hygiène informatique réduit la surface d’attaque et limite la propagation en cas de compromission. C’est le socle recommandé par l’ANSSI via son Guide d’hygiène informatique (42 mesures), à adapter aux contraintes de l’entreprise.
Pour éviter l’effet “catalogue d’outils”, la priorité se raisonne par capacités : durcir les postes, sécuriser la messagerie, isoler le réseau, assurer la restauration, et maintenir à jour. L’outillage (MDM, EDR, passerelle mail) vient ensuite, selon taille et exposition.
Postes de travail : socle rapide
Les postes sont la première porte d’entrée (phishing, pièces jointes, mots de passe réutilisés). Un socle réaliste : chiffrement disque, verrouillage écran, suppression des droits admin locaux, inventaire logiciels, blocage macros risquées, et mises à jour automatiques.
Quand les postes sont nomades ou très dispersés, un MDM ou une gestion centralisée devient rapidement nécessaire pour prouver la conformité (chiffrement, versions, politiques) et appliquer des actions à distance (effacement, blocage).
Messagerie : limiter le phishing et le BEC
La messagerie reste la voie numéro 1 pour entrer. Les quick wins : MFA, filtrage antispam/antiphishing renforcé, blocage des redirections externes non autorisées, bannière “message externe”, et protection des comptes à haut risque (direction/finance/RH).
La fraude au virement (BEC) se réduit avec des règles métier : double validation, canal de confirmation hors mail, et procédures écrites pour changement d’IBAN.
Réseau et Wi‑Fi : segmentation pragmatique
La segmentation la plus utile en PME est souvent la plus simple : séparer Wi‑Fi invités et réseau interne, isoler les équipements sensibles (serveurs, sauvegardes, imprimantes critiques), et limiter l’administration aux seuls postes autorisés.
Sauvegardes anti-ransomware : standard d’acceptation
Une sauvegarde est “bonne” uniquement si la restauration est testée et si un ransomware ne peut pas la chiffrer. Le standard le plus diffus est la sauvegarde 3-2-1 : 3 copies, sur 2 supports, dont 1 hors site.
Critères d’acceptation (à cocher) : sauvegardes isolées (droits séparés), au moins une copie hors-ligne ou immuable selon les moyens, tests de restauration planifiés, et objectifs RPO/RTO définis (perte de données acceptable / délai de reprise).
Pour les données clés (compta, ERP, fichiers), définir un RPO (ex : 4h ou 24h) et un RTO (ex : 8h, 24h, 72h) permet de dimensionner le stockage, la fréquence, et le plan de reprise sans surinvestir.
Mises à jour et vulnérabilités : cadence réaliste
Une politique simple suffit : correctifs critiques déployés rapidement, le reste sur une fenêtre mensuelle, avec exceptions documentées. L’objectif est de réduire la fenêtre d’exposition, pas de viser le “zéro retard” impossible.
Préparer et gérer l’incident : détection, procédures, communication, obligations et reprise d’activité
Le jour où un incident survient, la différence se fait sur la préparation : qui décide, qui isole, qui communique, et comment restaurer. Une procédure courte, répétée, évite les réflexes qui aggravent tout (éteindre au hasard, effacer des preuves, payer sous pression).
Les ressources publiques de Cybermalveillance.gouv.fr aident à qualifier l’attaque, trouver de l’assistance et suivre les démarches. Selon le contexte, l’ANSSI et les autorités compétentes peuvent être concernées, notamment pour certaines entités sensibles ou en cas de crise majeure.
Procédure des 24 premières heures (triage → isolement → preuves → reprise)
Dans les premières heures, l’objectif est de limiter la propagation, préserver les éléments utiles et rétablir des services essentiels de façon contrôlée.
1) Triage : identifier ce qui est touché (messagerie, postes, serveurs, SaaS), l’étendue, et les comptes compromis possibles. Noter l’heure et les premiers symptômes.
2) Isolement : couper les accès suspects (comptes, sessions), isoler les machines touchées du réseau, suspendre temporairement certains flux (partages, VPN) si nécessaire. Éviter les actions destructrices non tracées.
3) Préservation des preuves : conserver journaux, e-mails, fichiers de rançon, captures d’écran, et éléments techniques utiles. En parallèle, informer l’infogérant ou le prestataire de réponse à incident.
4) Communication : message interne court (consignes, canaux alternatifs), et communication externe maîtrisée (clients/fournisseurs) si service impacté. Interdire les initiatives individuelles (ex : “répondre au pirate”).
5) Reprise : restaurer depuis une source de confiance, avec priorité aux services vitaux, et en changeant les secrets (mots de passe, clés) avant remise en production.
Obligations et points RGPD (sans promesse juridique)
En cas de fuite de données personnelles, le RGPD impose une analyse et, selon la gravité, une notification à l’autorité compétente et/ou aux personnes concernées. Un réflexe utile : tenir un modèle de fiche d’incident (données touchées, volume, mesures, risques) pour accélérer la qualification.
Pour certaines organisations, des exigences supplémentaires peuvent s’appliquer (secteurs régulés, chaîne d’approvisionnement, ou contexte NIS2). L’intérêt opérationnel reste le même : savoir qui alerter, sous quels délais, et avec quelles informations factuelles.
Prouver et faire vivre la sécurité : sensibilisation, audits, indicateurs, conformité (RGPD/NIS2 selon contexte) et amélioration continue
La sécurité se pilote comme un processus : preuves, revues et amélioration. Sans indicateurs, impossible de savoir si les mesures tiennent dans le temps, surtout avec le turnover, les prestataires et les nouveaux SaaS.
Sensibilisation efficace (sans casser la productivité)
La sensibilisation doit être courte, régulière et liée aux risques réels de l’entreprise (phishing, mots de passe, pièces jointes, partage de données). Une règle simple : préférer 10 minutes par mois à une formation annuelle oubliée.
« La cybersécurité n’est pas un projet ponctuel : c’est une discipline de gestion des risques, où la constance vaut plus que l’héroïsme. »
Pour être actionnable : une mini-charte, des exemples d’e-mails frauduleux reçus, un canal de signalement, et des exercices de simulation adaptés. Les guides de Cybermalveillance.gouv.fr destinés aux dirigeants et équipes facilitent la mise en place.
Audits légers et contrôles récurrents
Plutôt qu’un audit annuel lourd, une cadence réaliste consiste à vérifier chaque mois 2–3 contrôles critiques : taux MFA, comptes admin, sauvegardes, et patching. Une revue trimestrielle des droits limite l’accumulation d’accès non justifiés.
KPI simples (preuves attendues)
Un tableau de bord minimal peut suivre : % de comptes avec MFA, nombre de comptes admin, taux de postes à jour, succès des tests de restauration, temps moyen de révocation des accès, et volume d’incidents signalés (la hausse initiale est souvent un bon signe).
Prestataires et SaaS : chaîne d’approvisionnement
Une entreprise dépend de plus en plus de tiers (infogérance, compta, CRM, outils RH). Les exigences minimales à contractualiser : MFA, gestion des accès nominative, journalisation, délais de correction, notification d’incident, et conditions de réversibilité (récupération des données).
Passer du “guide” au pilotage : la checklist priorisée à afficher et la prochaine décision à prendre
La meilleure stratégie consiste à exécuter peu de mesures, mais à les rendre vérifiables et durables. L’objectif des 90 jours est d’obtenir un socle d’hygiène, une gestion des accès robuste, une sauvegarde restaurable et une procédure d’incident testée.
La prochaine décision utile est simple : valider la matrice de priorisation, nommer un responsable (interne ou externe) et figer les trois livrables indispensables du mois (registre des accès, politique MFA, plan de sauvegarde). Ensuite, la sécurité devient un rythme : revue mensuelle, amélioration continue et alignement sur les recommandations ANSSI.
FAQ
Quelles sont les 10 priorités de sécurité informatique pour une PME en 2026 ?
Les priorités les plus “rentables” sont : MFA sur messagerie et accès distants, comptes nominaux (pas de partage), séparation admin/usuel, suppression des droits admin locaux, sauvegarde 3-2-1 avec tests, correctifs réguliers, durcissement de la messagerie (anti-phishing + règles), inventaire des actifs, procédure d’incident (24h), et sensibilisation courte mais continue.
Comment définir une politique de gestion des accès (droits utilisateurs) sans usine à gaz ?
En partant des rôles métier (finance, ventes, RH, production) et en appliquant le principe du moindre privilège. Un registre des accès (qui/quoi/pourquoi/jusqu’à quand) et une revue trimestrielle suffisent souvent. Les exceptions sont autorisées, mais documentées et compensées (restriction IP, MFA renforcé, durée limitée).
Quel est le minimum viable pour une sauvegarde efficace contre le ransomware (règle 3-2-1, tests, immutabilité) ?
Le minimum viable combine : une stratégie 3-2-1, une copie hors site, des droits séparés pour le stockage de sauvegarde, et un test de restauration planifié (au moins mensuel au début). Si possible, ajouter une brique d’immutabilité ou une copie hors-ligne pour réduire le risque de chiffrement des sauvegardes.
Comment réagir dans les 24 premières heures après une cyberattaque en entreprise ?
Priorité à (1) qualifier l’incident, (2) isoler postes/serveurs et révoquer les comptes suspects, (3) préserver des preuves (journaux, e-mails, captures), (4) communiquer en interne avec des consignes claires, (5) préparer une reprise contrôlée (restauration, rotation des secrets). Les démarches et ressources de Cybermalveillance.gouv.fr peuvent guider l’orientation.
Faut-il un RSSI ou un prestataire externe pour sécuriser une petite entreprise ?
Un RSSI interne n’est pas indispensable si la structure est petite, mais une responsabilité claire l’est. Beaucoup de TPE/PME optent pour un RSSI externalisé : définition des politiques, contrôles, animation et préparation incident, pendant que la DSI ou l’infogérant exécute. L’essentiel est d’avoir un pilotage, des preuves et des revues régulières.
Comment sensibiliser les salariés sans bloquer la productivité (phishing, mots de passe, usages) ?
En privilégiant des micro-séquences (10 minutes), des règles simples (MFA, signalement, vérification des virements) et des exemples concrets issus de l’entreprise. Un canal de signalement, une charte courte et un exercice de phishing adapté créent de bons réflexes sans transformer la sécurité en “police”.
Sommaire
Derniers articles
Newsletter
Recevez les derniers articles directement par mail
