Les 5 erreurs de cybersécurité que font (presque) toutes les PME

Après des dizaines d'audits de sécurité réalisés dans des PME françaises, un constat s'impose : les mêmes erreurs reviennent systématiquement. Ces failles ne relèvent pas de menaces sophistiquées ou de technologies de pointe. Ce sont des lacunes basiques, connues de tous les professionnels de la cybersécurité, mais que la grande majorité des petites et moyennes entreprises n'ont toujours pas corrigées.

Le plus frustrant ? Chacune de ces erreurs a une solution simple et peu coûteuse. Aucune ne nécessite un budget conséquent ni une équipe IT dédiée. Pourtant, ce sont précisément ces failles élémentaires que les attaquants exploitent en priorité. Pourquoi pirater un système complexe quand la porte d'entrée est grande ouverte ?

Voici les cinq erreurs les plus fréquentes, pourquoi elles sont dangereuses, et comment les corriger concrètement.

Erreur n°1 : L'authentification multi-facteurs n'est activée nulle part

C'est de loin l'erreur la plus répandue et la plus grave. Dans la majorité des PME auditées, l'authentification multi-facteurs (MFA) n'est activée sur aucun service : ni la messagerie, ni les applications métier, ni le VPN, ni les accès administrateur. Les comptes sont protégés par un simple mot de passe, souvent faible.

Pourquoi c'est dangereux

Sans MFA, un mot de passe compromis suffit à prendre le contrôle total d'un compte. Et les mots de passe sont compromis bien plus souvent qu'on ne le croit : fuites de données massives (des milliards de mots de passe circulent librement sur le darkweb), phishing, keyloggers, attaques par force brute, réutilisation de mots de passe entre services personnels et professionnels.

Microsoft estime que le MFA bloque 99,9 % des attaques automatisées sur les comptes. Autrement dit, ne pas activer le MFA, c'est laisser 99,9 % des attaques réussir là où elles auraient pu être stoppées. La compromission de la messagerie professionnelle (BEC, Business Email Compromise) est aujourd'hui la cybermenace la plus coûteuse pour les entreprises, et dans la quasi-totalité des cas, l'absence de MFA est le facteur déterminant.

La solution concrète

Activez le MFA sur tous vos services, en commençant par les plus critiques : messagerie (Microsoft 365, Google Workspace), VPN, comptes administrateur, applications métier accessibles depuis Internet. Privilégiez les applications d'authentification (Microsoft Authenticator, Google Authenticator) ou les clés physiques (YubiKey) plutôt que le SMS, qui est vulnérable au SIM swapping. La plupart des solutions cloud incluent le MFA gratuitement dans leur offre, il suffit de l'activer. Comptez une demi-journée pour le déploiement et la communication aux équipes.

Erreur n°2 : Les mots de passe sont partagés et aucun gestionnaire n'est utilisé

Le scénario est classique : un fichier Excel nommé « mots_de_passe.xlsx » sur un lecteur réseau partagé, des post-it sur les écrans, un mot de passe unique utilisé par toute une équipe pour accéder à un service, des identifiants envoyés par e-mail en clair. Dans certaines PME, le mot de passe du compte administrateur n'a pas changé depuis la création de l'entreprise.

Pourquoi c'est dangereux

Les mots de passe partagés rendent impossible la traçabilité des actions. Si un incident survient, vous ne pouvez pas déterminer qui a fait quoi. Ils créent aussi un risque massif en cas de départ d'un collaborateur : combien de mots de passe partagés cette personne connaît-elle ? Sont-ils tous changés après son départ ? En pratique, presque jamais.

Un fichier Excel de mots de passe est une cible de choix pour un attaquant. S'il accède au réseau, c'est la première chose qu'il cherchera. Et les mots de passe faibles ou réutilisés sont le vecteur d'entrée numéro un des attaques réussies. Selon le rapport Verizon DBIR, plus de 80 % des violations liées au piratage impliquent des identifiants volés ou faibles.

La solution concrète

Déployez un gestionnaire de mots de passe d'entreprise. Des solutions comme Bitwarden (à partir de 3 euros par utilisateur et par mois) ou 1Password Business offrent le partage sécurisé d'identifiants entre équipes, la génération automatique de mots de passe complexes, un coffre-fort chiffré, la journalisation des accès et la révocation centralisée en cas de départ. Supprimez immédiatement tout fichier de mots de passe en clair et imposez une politique de mots de passe d'au moins 14 caractères, uniques pour chaque service. Le gestionnaire de mots de passe rend cette contrainte invisible pour les utilisateurs : ils ne retiennent qu'un seul mot de passe maître.

Erreur n°3 : Les sauvegardes ne sont pas testées (ou n'existent pas)

Beaucoup de PME pensent être protégées parce qu'elles ont « une sauvegarde ». Mais quand on creuse, la réalité est souvent préoccupante : la sauvegarde est stockée sur le même serveur que les données de production, elle n'a jamais été testée en restauration, personne ne vérifie qu'elle fonctionne, elle ne couvre pas l'ensemble des données critiques, ou elle est accessible depuis le réseau principal (et donc chiffrable par un ransomware).

Pourquoi c'est dangereux

La sauvegarde est votre dernière ligne de défense en cas de ransomware, de panne matérielle, d'erreur humaine ou de catastrophe naturelle. Si elle ne fonctionne pas au moment où vous en avez besoin, les conséquences sont potentiellement fatales pour l'entreprise. Selon les statistiques du secteur, 60 % des PME qui subissent une perte de données majeure ferment dans les 18 mois. Et les groupes de ransomware ciblent désormais systématiquement les sauvegardes : ils les chiffrent ou les suppriment avant de lancer le chiffrement des données de production, pour maximiser la pression sur la victime.

Une sauvegarde qui n'a jamais été testée n'est pas une sauvegarde. C'est un espoir.

La solution concrète

Appliquez la règle du 3-2-1 : trois copies de vos données, sur deux supports différents, dont une hors site (cloud ou site distant). Assurez-vous qu'au moins une copie est immuable (ne peut pas être modifiée ou supprimée, même par un administrateur) ou déconnectée du réseau (air-gapped). Testez la restauration au moins une fois par trimestre : sélectionnez des fichiers aléatoires et vérifiez qu'ils se restaurent correctement. Documentez la procédure de restauration complète et mesurez le temps nécessaire (RTO). Des solutions comme Veeam, Acronis ou même les fonctionnalités natives de Microsoft 365 (avec une solution tierce pour la sauvegarde) permettent de mettre en place une stratégie robuste pour moins de 10 euros par utilisateur et par mois.

Erreur n°4 : Aucune routine de mise à jour n'est en place

Les mises à jour de sécurité (correctifs, patches) sont perçues par beaucoup de dirigeants et de collaborateurs comme une nuisance : elles interrompent le travail, prennent du temps, et « de toute façon, tout fonctionne très bien comme ça ». Résultat : des postes de travail sous Windows avec des mois de retard de correctifs, des serveurs exécutant des versions obsolètes de logiciels, des applications web non mises à jour, des pare-feux et routeurs avec des firmwares vulnérables.

Pourquoi c'est dangereux

Chaque correctif de sécurité publié par un éditeur corrige une vulnérabilité connue. Dès la publication du correctif, les attaquants analysent la faille corrigée et développent des exploits pour cibler les systèmes non encore patchés. Le délai entre la publication d'un correctif et l'exploitation active de la vulnérabilité se compte souvent en jours, parfois en heures.

L'exploitation de vulnérabilités connues et non corrigées reste l'un des trois principaux vecteurs d'intrusion, avec le phishing et les identifiants compromis. La vulnérabilité EternalBlue, exploitée par le ransomware WannaCry en 2017, avait fait l'objet d'un correctif Microsoft deux mois avant l'attaque. Les entreprises patchées n'ont pas été touchées. Les autres ont subi des dommages estimés à plusieurs milliards de dollars au niveau mondial.

La solution concrète

Mettez en place une routine de patching structurée :

• Postes de travail : activez les mises à jour automatiques de Windows et macOS. Configurez un redémarrage automatique hebdomadaire en dehors des heures de travail (par exemple le dimanche soir). Utilisez un outil de gestion centralisée (WSUS, Intune, ou solution RMM) pour vérifier la conformité.
• Serveurs : appliquez les correctifs critiques sous 72 heures et les correctifs importants sous 30 jours. Testez sur un environnement de pré-production si possible, sinon sur un serveur non critique avant déploiement généralisé.
• Applications tierces : ne négligez pas les navigateurs (Chrome, Firefox, Edge), les plugins (Java, Adobe), les clients VPN et les outils bureautiques. Des solutions comme Patch My PC ou NinjaRMM automatisent le patching de centaines d'applications tierces.
• Équipements réseau : programmez une revue trimestrielle des firmwares de vos pare-feux, routeurs, switches et points d'accès Wi-Fi. Abonnez-vous aux bulletins de sécurité de vos fournisseurs.

Erreur n°5 : Il n'existe aucun plan de réponse à incident

Quand on demande à une PME « que faites-vous si vous êtes victime d'une cyberattaque demain matin ? », la réponse est presque toujours la même : un silence embarrassé, suivi d'un vague « on appellera notre prestataire informatique ». Aucune procédure écrite, aucun rôle défini, aucun numéro d'urgence identifié, aucun exercice réalisé.

Pourquoi c'est dangereux

Les premières heures d'un incident de sécurité sont déterminantes. Les décisions prises (ou non prises) dans ce laps de temps conditionnent l'ampleur des dégâts, la durée de l'interruption d'activité et le coût total de l'incident. Sans plan, la panique s'installe. Des erreurs critiques sont commises : éteindre brutalement les serveurs (détruisant les preuves forensiques), payer une rançon sans consultation juridique, communiquer de manière inappropriée, ne pas notifier la CNIL dans les délais requis.

Les entreprises disposant d'un plan de réponse à incident testé réduisent le coût moyen d'une violation de données de manière significative par rapport à celles qui n'en ont pas. Le gain se mesure en centaines de milliers d'euros pour une PME, principalement grâce à un temps de détection et de confinement plus court.

La solution concrète

Rédigez un plan de réponse à incident simple et opérationnel. Il n'a pas besoin de faire 50 pages. Un document de 5 pages couvrant les éléments suivants suffit pour commencer :

• Chaîne d'alerte : qui appeler en premier ? Listez les contacts avec numéros de téléphone (pas seulement les e-mails, qui seront inaccessibles si la messagerie est compromise). Incluez votre prestataire IT, votre assureur cyber, un contact juridique, et la direction.
• Premiers réflexes : isoler les systèmes affectés du réseau (débrancher le câble Ethernet, désactiver le Wi-Fi) sans les éteindre. Ne pas se connecter aux systèmes compromis avec des comptes administrateur. Documenter tout ce qui est observé (screenshots, notes horodatées).
• Rôles et responsabilités : qui prend les décisions ? Qui communique en interne ? Qui gère la relation avec les autorités (CNIL, ANSSI) ? Qui coordonne la remédiation technique ?
• Obligations légales : rappel des délais de notification CNIL (72 heures en cas de violation de données personnelles), des obligations NIS2 si applicable (alerte initiale sous 24 heures), et des conditions de déclaration auprès de l'assureur cyber.
• Contacts d'urgence : numéros de votre prestataire IT (ligne d'astreinte), de votre assureur cyber (numéro sinistres), de l'ANSSI (pour les incidents graves), et d'un prestataire de réponse à incident si vous n'en avez pas en interne.

Une fois le plan rédigé, faites un exercice de simulation (tabletop exercise) au moins une fois par an. Réunissez les personnes concernées autour d'un scénario fictif (par exemple : un collaborateur a cliqué sur un lien de phishing, les fichiers du serveur sont chiffrés, un message de rançon s'affiche) et déroulez le plan. Vous identifierez les lacunes bien plus efficacement que par une simple relecture.

Par où commencer : priorisation des actions

Si vous vous reconnaissez dans plusieurs de ces erreurs, ne cherchez pas à tout corriger simultanément. Voici un ordre de priorité basé sur le rapport impact/effort :

1. Semaine 1 — Activer le MFA partout : impact maximal, effort minimal. Commencez par la messagerie et les comptes administrateur. C'est la mesure qui réduit le plus drastiquement votre surface d'attaque.
2. Semaine 2 — Déployer un gestionnaire de mots de passe : choisissez une solution, invitez vos collaborateurs, migrez les mots de passe partagés. Supprimez les fichiers Excel et les post-it.
3. Semaine 3 — Vérifier et tester vos sauvegardes : vérifiez que la règle 3-2-1 est respectée. Lancez un test de restauration. Corrigez les écarts identifiés.
4. Semaine 4 — Mettre en place le patching automatique : activez les mises à jour automatiques sur tous les postes. Configurez un rapport hebdomadaire de conformité pour détecter les machines en retard.
5. Mois 2 — Rédiger le plan de réponse à incident : utilisez le modèle décrit ci-dessus. Organisez un premier exercice de simulation avec l'équipe de direction.

En cinq semaines, vous aurez éliminé les cinq failles les plus exploitées par les attaquants. Le coût total ? Quelques centaines d'euros pour les licences logicielles et deux à trois jours de travail. Comparé au coût moyen d'une cyberattaque sur une PME française — estimé entre 50 000 et 500 000 euros selon la taille et la gravité — c'est un investissement dérisoire.

La cybersécurité parfaite n'existe pas. Mais une PME qui a corrigé ces cinq erreurs fondamentales est déjà mieux protégée que 80 % des entreprises de sa catégorie. Et pour un attaquant opportuniste, elle devient une cible beaucoup moins attrayante que son voisin qui n'a encore rien fait. En cybersécurité comme ailleurs, il ne s'agit pas de courir plus vite que l'ours, mais plus vite que les autres.