Face à l’explosion des cyberattaques, aucune entreprise n’est trop petite pour être une cible. Pour aider les TPE et PME à se prémunir efficacement, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), en partenariat avec France Num, la CPME et la DGE, publie un guide de la cybersécurité pour les PME et TPE pratique et accessible.
Construit autour de 13 questions clés, ce guide de la cybersécurité aide les dirigeants de PME et TPE et leurs équipes à évaluer leurs pratiques, identifier les failles et mettre en place des mesures adaptées. De l’inventaire du parc informatique à la gestion des mots de passe, en passant par la sécurisation des messageries et l’usage du cloud, chaque recommandation est classée par niveau de difficulté pour s’adapter à la maturité numérique de chaque entreprise.
Treize questions pour renforcer la cybersécurité des entreprises
« En l’absence de préparation, lorsque l’incident survient, il est déjà trop tard. N’attendons pas que le pire arrive. Protégeons-nous ! » Cette citation extraite de l’avant-propos illustre l’urgence du message : la cybersécurité doit devenir une priorité stratégique, même pour les PME et TPE aux moyens limités.
Pour cela, l’ANSSI propose un guide sous la forme d’une boîte à outils composée de 13 questions clés. Chacune invite à évaluer les pratiques internes, à détecter les failles potentielles et à mettre en place des mesures adaptées. Les recommandations sont classées par niveau de difficulté — de « facile » à « expert » — afin de s’adapter à la maturité numérique de chaque organisation.
Connaissez-vous vraiment votre parc informatique et vos actifs métier ?
Que vous soyez à la tête d’une micro-entreprise ou d’une PME, la première étape pour sécuriser votre activité consiste à dresser un inventaire complet de votre environnement numérique. Ordinateurs, serveurs, périphériques, accès utilisateurs, logiciels, données et traitements : chaque élément doit être recensé et évalué.
Selon le guide de l’ANSSI, cet état des lieux permet de « faire le point sur les besoins et les capacités numériques de l’entreprise » afin de choisir les solutions les plus adaptées. Idéalement, il devrait être réalisé au moins une fois par an, avec des mises à jour régulières pour tenir compte des évolutions.
Si vous externalisez la gestion de votre IT, disposer de cet inventaire complet facilite la tâche de votre prestataire, qui pourra ainsi proposer des réponses ciblées et efficaces pour protéger vos actifs.
Effectuez-vous des sauvegardes régulières ?
Des sauvegardes récentes et fiables sont essentielles pour redémarrer rapidement après une cyberattaque. Identifiez les données critiques à protéger (fichiers clients, licences, configurations…), définissez la fréquence des sauvegardes, diversifiez les supports (dont un en ligne) et chiffrez les informations. N’oubliez pas de respecter le RGPD.
Appliquez-vous régulièrement les mises à jour ?
Les cybercriminels exploitent souvent les failles des logiciels obsolètes. Maintenez votre matériel et vos applications à jour, désinstallez les outils dépassés et privilégiez les mises à jour automatiques. Si vous externalisez la gestion, vérifiez que votre prestataire assure bien ce suivi.
Utilisez-vous un antivirus à jour ?
Un antivirus protège vos systèmes contre les intrusions et les fichiers malveillants. Choisissez une solution fiable, maintenez-la à jour et, selon vos besoins, optez pour des fonctionnalités avancées proposées par l’éditeur.
Avez-vous une politique de mots de passe robustes ?
Évitez les mots de passe faibles ou réutilisés. L’ANSSI recommande des mots de passe de 9 à 15 caractères, combinant majuscules, minuscules, chiffres et symboles. Les phrases de passe sont une bonne alternative pour faciliter la mémorisation. Utilisez un coffre-fort de mots de passe certifié et activez autant que possible l’authentification à deux facteurs ou par jeton physique.
Avez-vous activé et configuré un pare-feu ?
Le pare-feu est une barrière essentielle contre les intrusions. Pour les TPE, activez celui préinstallé sur chaque poste et bloquez les connexions entrantes. Pour les PME, ajoutez une politique de filtrage et segmentez le réseau. Assurez-vous que votre prestataire est labellisé ExpertCyber.
Comment sécurisez-vous votre messagerie ?
Les e-mails restent l’une des principales portes d’entrée des attaques. Vérifiez systématiquement l’expéditeur, évitez d’ouvrir les pièces jointes douteuses et séparez messageries personnelle et professionnelle. Utilisez antivirus, anti-spam, anti-phishing et chiffrement des échanges, en particulier pour les PME.
Séparez-vous vos usages personnels et professionnels ?
Ne mélangez pas les données privées et celles de l’entreprise. Créez des comptes distincts pour chaque usage et pour chaque collaborateur. Cloisonnez les activités selon les secteurs pour limiter les risques.
Maîtrisez-vous les risques lors des déplacements ou du télétravail ?
En mobilité, la vigilance doit être accrue. Utilisez un VPN sécurisé, sauvegardez régulièrement vos données, refusez l’usage de matériel non vérifié et équipez-vous de filtres d’écran pour protéger vos informations sensibles.
Comment vous informez-vous et formez-vous vos équipes ?
La veille et la sensibilisation sont des piliers de la cybersécurité. Consultez les ressources officielles (ANSSI, Cybermalveillance.gouv.fr) et, pour les PME, suivez les alertes techniques du CERT-FR. Diffusez régulièrement des messages de prévention à vos collaborateurs.
Votre assurance couvre-t-elle les risques cyber ?
Vérifiez les clauses de votre contrat d’assurance et assurez-vous qu’elles incluent bien un volet de protection contre les incidents numériques.
Savez-vous réagir en cas de cyberattaque ?
Préparez un plan d’action avant qu’un incident ne survienne. Identifiez des prestataires capables d’intervenir rapidement, conservez des sauvegardes sécurisées, et, en cas d’attaque, déconnectez le système d’Internet sans éteindre les machines affectées. Des centres comme Breizh Cyber, le CSIRT de la Région Bretagne, pourront accompagner les entreprises régionales.
Avez-vous envisagé d’utiliser le cloud ?
Le cloud peut offrir des avantages en termes de stockage et de sécurité, mais implique aussi des risques. Choisissez une solution adaptée à vos besoins, analysez les fonctionnalités et assurez-vous de maîtriser les paramètres de sécurité.
Publié le 01 juin 2025 par ANDRE Guillaume
Nos autres articles
Dernières actualités et moments forts
du campus cyber breton sont ici !
Besoin d’aide ou de conseils sur le sujet ?
L’équipe de Bretagne Cyber Alliance est là pour vous orienter vers le meilleur interlocuteur de l'écosystème !