Cybersécurité en PME : les 5 failles les plus fréquentes (et comment les corriger)

"La cybersécurité, c'est un sujet pour les grands groupes." Si vous pensez cela, vous faites la même erreur que 60% des PME victimes d'une cyberattaque, dont la moitié dépose le bilan dans les 18 mois suivants (source : ANSSI). Les PME sont des cibles privilégiées précisément parce qu'elles se croient à l'abri : moins protégées, moins sensibilisées, et souvent sans personne dédiée à la sécurité informatique.

La bonne nouvelle : les failles les plus courantes sont aussi les plus simples à corriger. Pas besoin d'un budget colossal ni d'une équipe de spécialistes. Voici les 5 vulnérabilités que je constate le plus fréquemment dans les PME que j'accompagne, et les solutions concrètes pour les éliminer.

Faille n°1 : les mots de passe faibles et réutilisés

Le constat

C'est la faille la plus basique et la plus exploitée. Dans la majorité des PME que j'audite, je retrouve les mêmes schémas :

• Le mot de passe de la messagerie est le même que celui du CRM, de l'ERP et du compte LinkedIn
• Les mots de passe sont simples : nom de l'entreprise + année, prénom du dirigeant, "123456"
• Les mots de passe sont partagés entre collaborateurs ("le mot de passe admin, c'est sur le post-it à côté de l'écran")
• Aucune authentification à deux facteurs activée

Le coût d'une compromission

Un mot de passe volé donne accès à la messagerie. La messagerie donne accès aux contacts clients, aux factures, aux informations bancaires. Un attaquant peut envoyer de fausses factures à vos clients depuis votre propre adresse email. Le préjudice moyen d'une fraude au président en PME : 150 000 €.

La correction (coût : 0 à 50 €/mois)

1. Déployez un gestionnaire de mots de passe d'entreprise (Bitwarden Business, 1Password Business). Coût : 3 à 5 €/utilisateur/mois. Chaque collaborateur a des mots de passe uniques et complexes, sans avoir à les mémoriser.

2. Activez l'authentification à deux facteurs (2FA) sur tous les services critiques : messagerie, CRM, ERP, banque en ligne, cloud. C'est gratuit et c'est la mesure la plus efficace contre le vol de mots de passe.

3. Interdisez le partage de mots de passe. Si plusieurs personnes ont besoin d'accéder à un même outil, créez des comptes individuels. C'est aussi une exigence du RGPD pour la traçabilité des accès.

Faille n°2 : l'absence de sauvegardes testées

Le constat

La plupart des PME ont une sauvegarde. Mais rares sont celles qui l'ont testée. Or une sauvegarde non testée, c'est comme une assurance dont on n'a jamais lu les clauses : le jour où on en a besoin, on découvre qu'elle ne couvre rien.

Les situations fréquentes :

• La sauvegarde automatique s'est arrêtée il y a 3 mois sans que personne ne s'en aperçoive
• Les sauvegardes sont sur le même serveur que les données (si le serveur est chiffré par un ransomware, les sauvegardes le sont aussi)
• La sauvegarde est complète mais personne ne sait comment restaurer les données

Le coût d'une perte de données

Un ransomware chiffre l'ensemble de vos données. Sans sauvegarde fonctionnelle, vous avez deux options : payer la rançon (sans garantie de récupération, montant moyen : 20 000 à 100 000 € pour une PME) ou reconstruire vos données à partir de zéro (si c'est possible).

La correction (coût : 50 à 200 €/mois)

1. Appliquez la règle 3-2-1 : 3 copies de vos données, sur 2 supports différents, dont 1 hors site (cloud sécurisé ou site distant).

2. Testez la restauration tous les trimestres. Prenez 2 heures pour vérifier que vous pouvez restaurer un dossier complet à partir de vos sauvegardes. Documentez la procédure pour que quelqu'un d'autre puisse le faire en votre absence.

3. Automatisez et surveillez. Mettez en place des alertes automatiques en cas d'échec de sauvegarde. Une sauvegarde silencieusement en échec est pire qu'une absence de sauvegarde (fausse sensation de sécurité).

Faille n°3 : les logiciels non mis à jour

Le constat

"Ne touche à rien, ça marche." Cette phrase, prononcée avec les meilleures intentions, est un cadeau pour les cybercriminels. 80% des attaques exploitent des failles connues et déjà corrigées par les éditeurs — mais les correctifs n'ont pas été installés.

Les situations courantes :

• Windows 10 au lieu de Windows 11, sans les mises à jour de sécurité
• Un serveur sous Windows Server 2012 "parce qu'il fonctionne bien"
• Des plugins WordPress obsolètes sur le site de l'entreprise
• Des logiciels métier non mis à jour "pour ne pas casser la configuration"

Le coût

La faille Log4Shell (2021) a touché des millions d'entreprises dans le monde. Les PME qui n'avaient pas appliqué le correctif dans les semaines suivant sa publication ont été massivement attaquées. Coût moyen d'une exploitation de faille : arrêt d'activité de 2 à 5 jours + coûts de remédiation.

La correction (coût : inclus dans vos licences)

1. Activez les mises à jour automatiques sur tous les postes de travail et serveurs. C'est le réglage par défaut de la plupart des systèmes — il suffit de ne pas le désactiver.

2. Planifiez un créneau de maintenance mensuel pour les mises à jour qui nécessitent un redémarrage. Le samedi matin ou le dimanche soir, par exemple.

3. Inventoriez vos logiciels. Vous ne pouvez pas mettre à jour ce que vous ne savez pas avoir. Faites un inventaire complet de vos logiciels, systèmes d'exploitation et équipements réseau.

Faille n°4 : le phishing et le manque de sensibilisation

Le constat

90% des cyberattaques commencent par un email de phishing. Un faux email de la banque, une fausse facture d'un fournisseur, un faux lien de réinitialisation de mot de passe. Les techniques sont de plus en plus sophistiquées, et l'IA générative les rend encore plus convaincantes.

Le problème n'est pas technique — c'est humain. Un collaborateur stressé, pressé ou peu sensibilisé clique sur un lien malveillant. En quelques secondes, l'attaquant a un pied dans votre réseau.

Le coût

Le phishing est le vecteur d'entrée du ransomware, de la fraude au président et du vol de données. Coût moyen pour une PME : 25 000 à 200 000 € selon l'ampleur de la compromission.

La correction (coût : 500 à 2 000 €/an)

1. Formez vos équipes avec des sessions courtes et régulières (30 minutes tous les trimestres). Montrez des exemples réels de phishing, expliquez comment les reconnaître.

2. Faites des simulations. Des outils comme Gophish (gratuit) ou KnowBe4 permettent d'envoyer de faux emails de phishing à vos collaborateurs pour mesurer leur vigilance et cibler les formations.

3. Mettez en place une procédure de signalement. Chaque collaborateur doit savoir quoi faire quand il reçoit un email suspect : ne pas cliquer, ne pas répondre, transférer à la personne responsable.

4. Déployez un filtre anti-phishing sur votre messagerie. Les solutions professionnelles (Microsoft 365 Defender, Google Workspace) incluent un filtrage avancé. Vérifiez qu'il est activé et correctement configuré.

Faille n°5 : l'absence de gestion des accès

Le constat

Quand un collaborateur quitte l'entreprise, ses accès sont-ils systématiquement coupés ? Quand un stagiaire arrive, a-t-il les mêmes droits d'accès que le directeur financier ?

Dans la plupart des PME, la gestion des accès est inexistante ou approximative :

• Des anciens collaborateurs ont encore accès à la messagerie et aux outils
• Tous les utilisateurs ont les droits administrateur sur leur poste
• Le compte "admin" est partagé entre 5 personnes
• Aucune revue régulière des droits d'accès

Le coût

Un ancien collaborateur mécontent avec un accès actif peut copier votre base clients, vos devis, vos secrets commerciaux. Le coût d'un vol de données commercial par un ex-employé est difficile à chiffrer, mais les conséquences peuvent être désastreuses : perte de clients, avantage concurrentiel compromis, contentieux juridique.

La correction (coût : 0 €)

1. Créez une procédure d'arrivée/départ. Pour chaque nouveau collaborateur : liste des accès à créer. Pour chaque départ : liste des accès à couper le jour même. C'est une check-list simple qui prend 10 minutes à rédiger.

2. Appliquez le principe du moindre privilège. Chaque collaborateur n'accède qu'aux données et outils nécessaires à sa mission. Un commercial n'a pas besoin d'accéder à la comptabilité. Un stagiaire n'a pas besoin des droits administrateur.

3. Revoyez les droits tous les 6 mois. Prenez 1 heure pour passer en revue la liste des utilisateurs et leurs droits sur chaque outil. Supprimez les comptes inactifs, ajustez les droits qui ne correspondent plus aux fonctions.

Le plan d'action en 30 jours

Pas besoin de tout faire en même temps. Voici un plan progressif :

Semaine 1 : Déployez un gestionnaire de mots de passe et activez le 2FA sur la messagerie et les outils critiques.

Semaine 2 : Vérifiez vos sauvegardes. Testez une restauration. Corrigez si nécessaire.

Semaine 3 : Activez les mises à jour automatiques. Faites l'inventaire de vos logiciels.

Semaine 4 : Organisez une session de sensibilisation au phishing de 30 minutes pour toute l'équipe. Rédigez la procédure de gestion des accès.

Budget total estimé : 500 à 2 000 € pour une PME de 20 à 50 collaborateurs. C'est 100 à 400 fois moins que le coût moyen d'une cyberattaque.