La cybersécurité peut sembler écrasante quand on ne sait pas par où commencer. Pourtant, quelques actions ciblées suffisent à réduire considérablement votre surface d'attaque. Cette checklist compile les 10 mesures les plus impactantes que toute PME peut mettre en oeuvre avant la fin du trimestre, classées par priorité. Pour chaque action, nous indiquons le niveau d'effort, la personne à mobiliser et l'impact attendu.
Action 1 — Activer le MFA sur tous les accès critiques
Effort : Faible (1-2 jours) · Responsable : IT / Administrateur système · Impact : Critique
L'authentification multifacteur bloque plus de 99 % des attaques par compromission de mot de passe selon Microsoft. C'est la mesure de sécurité offrant le meilleur retour sur investissement. Activez-la en priorité sur : la messagerie professionnelle (Microsoft 365, Google Workspace), le VPN ou l'accès distant, les comptes administrateur de tous les systèmes, les applications cloud critiques (ERP, CRM, comptabilité), les consoles d'administration (pare-feu, hébergement, DNS).
Privilégiez les applications d'authentification (Microsoft Authenticator, Google Authenticator) ou les clés physiques FIDO2 plutôt que les SMS, vulnérables au SIM swapping. Prévoyez une communication interne pour accompagner le déploiement et réduire la résistance au changement.
Action 2 — Tester la restauration des sauvegardes
Effort : Moyen (1 journée) · Responsable : IT / Prestataire infogérance · Impact : Critique
Avoir des sauvegardes ne sert à rien si elles ne fonctionnent pas. Planifiez un test de restauration complet : sélectionnez un serveur critique (ERP, serveur de fichiers), restaurez-le dans un environnement isolé, vérifiez l'intégrité des données et mesurez le temps de restauration (RTO). Documentez les résultats.
Vérifiez également que votre stratégie de sauvegarde respecte la règle 3-2-1 : trois copies de vos données, sur deux supports différents, dont une hors site. Assurez-vous qu'au moins une copie est déconnectée du réseau (hors ligne ou immuable) pour résister à un ransomware qui chiffrerait les sauvegardes accessibles.
Action 3 — Mettre à jour les systèmes et applications
Effort : Moyen (2-3 jours) · Responsable : IT · Impact : Élevé
Les vulnérabilités non corrigées restent l'un des vecteurs d'attaque les plus exploités. Commencez par dresser un inventaire de tous les systèmes et logiciels en production. Identifiez ceux qui sont en fin de vie (Windows Server 2012, Windows 7/8, Office 2016) et planifiez leur remplacement. Appliquez tous les correctifs de sécurité en attente, en commençant par ceux classés "critiques" ou "élevés".
Activez les mises à jour automatiques partout où c'est possible : systèmes d'exploitation, navigateurs, applications bureautiques. Pour les systèmes où le patching automatique n'est pas envisageable (serveurs de production, applications métier), établissez un calendrier de maintenance mensuel avec une fenêtre de mise à jour dédiée.
Action 4 — Réviser les droits d'accès
Effort : Moyen (2-3 jours) · Responsable : IT + RH · Impact : Élevé
Le principe du moindre privilège est fondamental en cybersécurité : chaque utilisateur ne doit avoir accès qu'aux ressources strictement nécessaires à son travail. En pratique, les droits s'accumulent au fil des changements de poste et ne sont jamais retirés. Réalisez une revue complète :
- Listez tous les comptes actifs sur votre annuaire (Active Directory, Google Workspace, etc.) et comparez avec la liste RH des collaborateurs en poste. Désactivez immédiatement les comptes des personnes ayant quitté l'entreprise.
- Identifiez les comptes à privilèges élevés (administrateurs) et vérifiez que chacun est justifié et nominatif. Supprimez les comptes génériques partagés.
- Vérifiez les accès aux partages de fichiers, applications métier et outils cloud. Retirez les accès superflus.
- Documentez la matrice des droits et planifiez une revue trimestrielle.
Action 5 — Lancer une campagne de sensibilisation au phishing
Effort : Faible à moyen (configuration 1 jour, campagne sur 1 mois) · Responsable : Direction / IT · Impact : Élevé
Le phishing reste le vecteur d'attaque numéro un. Plutôt qu'une formation théorique ponctuelle, lancez une campagne de simulation de phishing. Des outils comme Gophish (gratuit et open source), KnowBe4 ou Mailinblack permettent d'envoyer de faux e-mails de phishing à vos collaborateurs et de mesurer le taux de clic.
L'objectif n'est pas de piéger ou de sanctionner, mais d'éduquer. Accompagnez chaque simulation d'un micro-module de formation de 5 minutes pour ceux qui ont cliqué. Visez un taux de clic inférieur à 5 % sur trois mois. Communiquez les résultats anonymisés à l'ensemble de l'entreprise pour créer une dynamique collective.
Action 6 — Formaliser un plan de réponse à incident
Effort : Moyen (3-5 jours) · Responsable : Direction + IT · Impact : Élevé
Un plan de réponse à incident ne doit pas être un document de 100 pages que personne ne lira. Concentrez-vous sur l'essentiel : une fiche réflexe d'une à deux pages qui répond aux questions critiques des premières heures. Qui prend la décision de couper le réseau ? Qui appeler en premier (prestataire IT, assureur, ANSSI) ? Quels sont les numéros d'urgence ? Où sont les sauvegardes et comment les restaurer ? Qui communique en interne et en externe ?
Imprimez cette fiche et distribuez-la aux personnes clés. Testez le plan au moins une fois par an avec un exercice de simulation sur table (tabletop exercise) : un scénario fictif d'attaque, discuté en réunion, sans interruption de production. C'est simple, rapide, et cela révèle systématiquement des lacunes.
Action 7 — Segmenter le réseau
Effort : Élevé (1-2 semaines) · Responsable : IT / Prestataire réseau · Impact : Élevé
Un réseau "à plat", où chaque poste peut communiquer avec chaque serveur, est un terrain de jeu idéal pour un attaquant. La segmentation réseau consiste à découper votre infrastructure en zones isolées les unes des autres, avec des règles de filtrage contrôlant les flux autorisés.
Au minimum, créez quatre segments : le réseau bureautique (postes de travail), le réseau serveurs (ERP, fichiers, bases de données), le réseau Wi-Fi invité (isolé de tout le reste), et une DMZ pour les services exposés à Internet. Configurez votre pare-feu pour n'autoriser que les flux strictement nécessaires entre ces zones. Ainsi, si un poste de travail est compromis, l'attaquant ne pourra pas accéder directement à vos serveurs critiques.
Action 8 — Auditer la sécurité des fournisseurs critiques
Effort : Moyen (3-5 jours) · Responsable : Direction / Achats · Impact : Moyen à élevé
Vos fournisseurs et sous-traitants ayant accès à vos systèmes ou données constituent un vecteur d'attaque souvent négligé. Identifiez vos fournisseurs critiques : hébergeur, prestataire IT, éditeur de logiciel métier, expert-comptable, cabinet d'avocats. Pour chacun, évaluez le niveau de risque en posant quelques questions clés : disposent-ils de MFA ? Sont-ils certifiés ou conformes à un référentiel de sécurité ? Ont-ils un plan de continuité ? Ont-ils subi un incident récemment ?
Intégrez des clauses de sécurité dans vos contrats et exigez d'être notifié en cas d'incident affectant vos données. La directive NIS2 renforce ces obligations pour de nombreux secteurs.
Action 9 — Chiffrer les postes nomades
Effort : Faible (1-2 jours) · Responsable : IT · Impact : Moyen
La perte ou le vol d'un ordinateur portable contenant des données non chiffrées constitue une violation de données au sens du RGPD, avec obligation de notification à la CNIL. Le chiffrement intégral du disque (BitLocker sous Windows, FileVault sous macOS) est gratuit et natif sur les systèmes modernes. Son activation prend quelques minutes par poste.
Déployez le chiffrement sur tous les ordinateurs portables, tablettes et clés USB contenant des données professionnelles. Centralisez la gestion des clés de récupération (via Active Directory ou un MDM) pour éviter les situations de blocage. Étendez cette mesure aux smartphones professionnels en activant le chiffrement natif d'iOS et Android, couplé à un code de verrouillage robuste.
Action 10 — Vérifier sa couverture d'assurance cyber
Effort : Faible (quelques heures) · Responsable : Direction / DAF · Impact : Moyen
Si vous disposez déjà d'une assurance cyber, relisez votre contrat avec un oeil critique : quelles sont les exclusions ? Les sous-limites de garantie sont-elles cohérentes avec votre exposition ? Les prérequis de sécurité sont-ils respectés (attention : une fausse déclaration peut entraîner la nullité du contrat) ? Le délai de carence est-il acceptable ?
Si vous n'avez pas d'assurance cyber, c'est le moment de solliciter des devis. Les neuf actions précédentes de cette checklist vous placeront dans une position favorable pour obtenir des conditions compétitives. Préparez votre dossier avec les preuves de mise en oeuvre de vos mesures de sécurité.
Récapitulatif : votre plan d'action trimestriel
Voici le calendrier recommandé pour déployer ces 10 actions sur 12 semaines :
- Semaines 1-2 : Actions 1 (MFA), 9 (chiffrement) et 10 (assurance) — Effort faible, impact immédiat.
- Semaines 3-4 : Actions 2 (sauvegardes) et 5 (sensibilisation phishing) — Tests critiques et lancement de campagne.
- Semaines 5-7 : Actions 3 (mises à jour) et 4 (droits d'accès) — Inventaire et nettoyage.
- Semaines 8-10 : Actions 6 (plan incident) et 8 (fournisseurs) — Formalisation et gouvernance.
- Semaines 11-12 : Action 7 (segmentation réseau) — Projet technique plus lourd, à planifier avec votre prestataire.
N'attendez pas le prochain incident pour agir. Chaque semaine sans ces protections de base est une semaine où votre entreprise est exposée inutilement. Imprimez cette checklist, affichez-la dans le bureau de votre DSI, et cochez les cases une par une.