Les 10 erreurs de cybersécurité les plus fréquentes dans les PME
Certaines erreurs reviennent systématiquement en mandat. Ce ne sont pas des erreurs de débutant — ce sont des angles morts que même des PME bien gérées ignorent.
En voici dix, avec ce qu'il faut corriger en priorité.
1. Le MFA n'est pas activé partout
L'authentification multifacteur est activée sur certains comptes — souvent le courriel du dirigeant — mais pas sur l'ensemble des accès critiques. Le VPN, les consoles d'administration, les comptes cloud, les accès des fournisseurs TI : si le MFA n'est pas actif partout, il suffit d'un seul compte non protégé pour qu'un attaquant entre dans le réseau.
C'est aussi l'exigence numéro un des assureurs en cyberassurance. Sans MFA généralisé, beaucoup de PME se font refuser une couverture ou reçoivent des surprimes importantes.
Ce qu'il faut faire : activer le MFA sur tous les comptes qui donnent accès au réseau, au courriel, au cloud et aux outils d'administration. Le coût est quasi nul et l'impact est immédiat.
2. Les sauvegardes existent mais n'ont jamais été testées
La sauvegarde automatique tourne en arrière-plan depuis des mois, parfois des années. Personne ne vérifie si elle fonctionne. Le jour où on en a besoin — après un rançongiciel, une panne, une erreur humaine — on découvre que les fichiers sont corrompus, incomplets, ou que la procédure de restauration n'est documentée nulle part.
Ce qu'il faut faire : tester une restauration complète au moins une fois par an. Pas un test partiel — une restauration réelle d'un système ou d'un jeu de données. Si ça échoue, mieux vaut le savoir maintenant.
3. Les accès des anciens employés sont encore actifs
Un employé quitte l'entreprise. Son compte de courriel reste actif pendant des semaines ou des mois. Ses accès au VPN, aux dossiers partagés, aux outils cloud ne sont pas révoqués. C'est une porte ouverte : si les identifiants sont compromis (ou si le départ s'est mal passé), l'ex-employé ou un attaquant peut accéder aux systèmes.
Ce qu'il faut faire : mettre en place une checklist de départ. Désactiver les comptes dans les heures qui suivent le départ. Changer les mots de passe des comptes partagés auxquels la personne avait accès.
4. Le même mot de passe est utilisé sur plusieurs services
Le dirigeant utilise le même mot de passe pour son courriel professionnel, son compte LinkedIn et la plateforme de commande d'un fournisseur. Si l'un de ces services subit une fuite de données — ce qui arrive régulièrement — l'attaquant dispose du mot de passe qui ouvre le courriel professionnel.
Ce qu'il faut faire : utiliser un gestionnaire de mots de passe et un mot de passe unique pour chaque service. Combiné au MFA, cela élimine le risque lié à la réutilisation de mots de passe.
5. Aucun plan de réponse en cas d'incident
Si un rançongiciel chiffre vos systèmes ce soir, qui appeler ? Quoi faire en premier ? Qui communique avec les clients ? La plupart des PME n'ont aucun plan documenté. Le résultat : une improvisation en situation de crise qui fait perdre des heures précieuses et amplifie les dégâts.
Ce qu'il faut faire : documenter un plan minimal de réponse aux incidents. Pas un document de 50 pages — une fiche avec les contacts d'urgence (fournisseur TI, assureur, consultant), les premières actions (isoler les systèmes, ne pas éteindre les machines, documenter ce qui s'est passé) et les rôles de chacun.
6. Le domaine de courriel n'est pas protégé (SPF/DKIM/DMARC)
SPF, DKIM et DMARC sont trois protocoles qui empêchent un attaquant d'envoyer des faux courriels depuis votre domaine. Sans ces configurations, n'importe qui peut envoyer un courriel qui semble venir de votre entreprise — à vos clients, à vos fournisseurs, à votre banque.
C'est un risque de fraude directe (fausse facture, fausse demande de paiement) et un risque pour votre réputation.
Ce qu'il faut faire : vérifier vos enregistrements DNS avec un outil gratuit comme MXToolbox. Si SPF, DKIM ou DMARC ne sont pas configurés, demandez à votre fournisseur TI de les mettre en place. C'est une configuration ponctuelle qui protège durablement votre domaine.
7. Les mises à jour sont reportées indéfiniment
« On va mettre à jour le serveur le mois prochain. » « On attend la prochaine fenêtre de maintenance. » Les mises à jour de sécurité sont repoussées parce qu'elles demandent un redémarrage, un temps d'arrêt, ou simplement parce que personne ne s'en occupe. Pendant ce temps, les failles connues restent ouvertes et exploitables.
Ce qu'il faut faire : mettre en place un processus de mise à jour régulier, au minimum mensuel pour les correctifs de sécurité. Les mises à jour critiques (celles qui corrigent des failles activement exploitées) doivent être appliquées dans les jours qui suivent leur publication.
8. La cybersécurité est entièrement déléguée au fournisseur TI sans validation
Le fournisseur TI gère l'infrastructure. La PME suppose que « gérer l'infrastructure » inclut la cybersécurité. Mais sans mandat explicite, sans vérification, sans exigences claires, personne ne sait exactement ce qui est couvert. Le MFA est-il activé ? Les sauvegardes sont-elles hors réseau ? Les mises à jour sont-elles appliquées ? La réponse est souvent : « on suppose que oui ».
Ce qu'il faut faire : poser les questions directement à votre fournisseur TI. Pas pour le remplacer — pour vérifier ce qui est en place et identifier ce qui manque. Un regard complémentaire spécialisé en cybersécurité permet de valider objectivement la couverture.
9. Aucune formation des employés à l'hameçonnage
Les employés reçoivent des courriels d'hameçonnage sophistiqués — souvent en français, imitant un fournisseur connu, un service de livraison ou même un collègue. Sans formation, ils cliquent. Un seul clic sur un lien malveillant peut donner un accès initial à un attaquant, qui s'en servira pour déployer un rançongiciel ou voler des données.
Ce qu'il faut faire : une formation courte (1 à 2 heures), concrète, basée sur des exemples réels adaptés au contexte de votre PME. Répétée au moins une fois par an, avec des rappels réguliers.
10. Aucune visibilité sur les vulnérabilités de l'infrastructure
La PME fonctionne depuis des années sans jamais avoir fait d'évaluation de sécurité. Elle ne sait pas quels services sont exposés sur Internet, quels logiciels sont en fin de vie, quelles configurations sont faibles. C'est l'angle mort le plus fondamental : on ne peut pas corriger ce qu'on ne voit pas.
Ce qu'il faut faire : un diagnostic de vulnérabilité donne cette visibilité. En quelques jours, vous savez exactement ce qui est exposé, ce qui est vulnérable, et ce qui doit être corrigé en premier.
Ce qu'il faut faire maintenant
Comptez combien d'erreurs s'appliquent à votre PME.
Si c'est 1 ou 2 : vous avez une base correcte. Corrigez les lacunes identifiées et vérifiez le reste avec un audit rapide.
Si c'est 3 à 5 : les fondamentaux sont fragiles. Un diagnostic de vulnérabilité ou un audit de maturité est le bon point de départ pour prioriser les actions.
Si c'est 6 ou plus : votre PME est exposée à un risque significatif. La bonne nouvelle : les premières actions (MFA, sauvegardes, mises à jour) ont un impact immédiat et un coût faible. Commencez maintenant.
Questions fréquentes
Quelle est l'erreur la plus dangereuse ? Le MFA non activé et les sauvegardes non testées sont les deux erreurs qui ont le plus d'impact en cas d'incident. Ce sont aussi les deux plus faciles à corriger.
Est-ce qu'un antivirus suffit ? Non. L'antivirus protège contre les logiciels malveillants connus sur les postes. Il ne détecte pas les mauvaises configurations, les services exposés, les logiciels obsolètes ou les problèmes de gestion des accès.
Par quoi commencer si on cumule plusieurs erreurs ? Par les trois actions qui ont le meilleur rapport impact/effort : activer le MFA partout, tester vos sauvegardes, et faire un diagnostic de vulnérabilité pour voir le reste.