Cybersécurité des PME : par où commencer quand on n'a ni RSSI, ni équipe sécurité dédiée ?
Loïc Le Saout — 30 juin, 2026
Chaque semaine, des PME voient leur activité perturbée par un ransomware, un piratage de messagerie ou une simple erreur humaine. Pourtant, dans beaucoup d’entreprises, la cybersécurité reste un sujet traité lorsqu’un problème survient. Entre les obligations réglementaires, les contraintes budgétaires et le manque de temps, il est difficile de savoir quelles actions mettre en place en priorité. Ce guide vous aide à y voir plus clair en identifiant les mesures les plus utiles pour réduire concrètement votre niveau de risque.
Le vrai problème des PME n’est pas le manque d’outils mais le manque de pilotage
Une idée reçue persiste dans le monde de la cybersécurité : les PME seraient mal équipées sur le plan technique. La réalité observée sur le terrain est souvent plus nuancée. Beaucoup d’entreprises disposent déjà d’un antivirus, d’une solution de sauvegarde, d’un firewall, de Microsoft 365, d’un prestataire informatique et d’outils cloud divers. Les briques de base sont souvent là.
Le problème est ailleurs. Il est dans l’absence de vision globale. Personne ne sait précisément quels sont les actifs critiques, qui dispose des droits d’administration, si les sauvegardes sont réellement restaurables, quelles données sont sensibles, ou quelle procédure suivre en cas d’incident. Les outils existent, mais ils ne sont pas pilotés.
C’est cette lacune de gouvernance et non le manque de budget qui expose réellement les PME. Un compte administrateur non protégé par la MFA, des droits d’accès jamais révisés depuis trois ans, une sauvegarde qui échoue silencieusement depuis des semaines : voilà les vrais vecteurs d’attaque.
La cybersécurité d’une PME doit donc commencer par une démarche de priorisation, pas par un achat de logiciel.
Regard terrain BASOM : Sur le terrain, BASOM Consulting constate que les PME ne sont pas forcément dépourvues de solutions techniques. Le vrai problème vient souvent du manque de pilotage : personne ne sait précisément quels sont les actifs critiques, qui dispose des droits d’administration, si les sauvegardes sont restaurables, ou quelle procédure suivre en cas d’incident. La cybersécurité d’une PME doit donc commencer par une démarche pragmatique : identifier les risques majeurs, prioriser les actions et mettre en place un pilotage régulier.
Les priorités immédiates : ce qu’il faut traiter sous 30 jours
Ces actions ne nécessitent pas de budget important ni de projet long. Elles peuvent être lancées immédiatement avec votre prestataire IT actuel ou en interne, et produisent un effet de protection significatif à court terme.
Activer le MFA sur les accès critiques
L’authentification multi-facteurs est la mesure de protection la plus efficace contre la compromission de comptes. Elle doit être activée en priorité sur la messagerie professionnelle, les accès cloud, les accès distants et les comptes d’administration. Il ne s’agit pas de recommander un outil spécifique, mais d’imposer ce mécanisme sur tous les points d’entrée critiques, quelle que soit la solution retenue.
Source ANSSI : La compromission de comptes par hameçonnage ou par attaque sur les mots de passe représente l’un des vecteurs d’attaque les plus fréquents. Le MFA permet de neutraliser la majorité de ces tentatives, même en cas de vol de mot de passe.
Sécuriser les comptes administrateurs
Les comptes disposant de droits élevés sont les cibles privilégiées des attaquants. Il convient de s’assurer qu’ils sont distincts des comptes de travail quotidiens, protégés par le MFA, en nombre limité, et que leur liste est connue et à jour. Un compte administrateur générique partagé entre plusieurs personnes sans traçabilité est une faille majeure.
Vérifier que les sauvegardes existent, sont isolées et restaurables
La question n’est pas de savoir si vous sauvegardez vos données, mais si vous pouvez les restaurer en cas d’attaque. Une sauvegarde accessible depuis le réseau infecté peut être chiffrée par un ransomware au même titre que les données originales. La règle 3-2-1 reste la référence : trois copies, sur deux supports différents, dont une hors ligne ou hors site. Surtout, un test de restauration documenté doit être réalisé régulièrement.
Corriger les vulnérabilités critiques
Les mises à jour de sécurité corrigent des failles connues et documentées. Ne pas les appliquer, c’est laisser une porte ouverte dont la clé est publiquement disponible. L’automatisation des mises à jour du système d’exploitation et des logiciels principaux est une mesure simple à fort impact.
Sécuriser la messagerie professionnelle
La messagerie est le premier vecteur d’attaque contre les PME. La configuration des mécanismes d’authentification de domaine (SPF, DKIM, DMARC) limite l’usurpation d’identité et le phishing entrant. Ces configurations relèvent de votre prestataire IT ou hébergeur et ne nécessitent pas d’investissement matériel.
Identifier les applications et données réellement sensibles
Avant de sécuriser, il faut savoir quoi protéger. Une cartographie simplifiée de vos actifs critiques (données clients, données RH, outils de facturation, accès bancaires) permet de concentrer les efforts là où le risque est réellement significatif.
Formaliser une liste de contacts et de réflexes en cas d’incident
En cas de cyberattaque, chaque minute compte. Disposer d’une fiche réflexe simple (qui appeler, quoi faire en premier, comment isoler un poste du réseau) et d’une liste de contacts d’urgence (prestataire IT, assureur cyber, ANSSI, CNIL) peut éviter de prendre de mauvaises décisions sous la pression. Ce document doit être accessible même si les systèmes sont indisponibles.
Les actions à structurer sous 60 à 90 jours
Ces actions demandent un peu plus d’organisation, mais restent accessibles à toute PME avec l’appui de son prestataire IT ou d’un accompagnement externe ponctuel. Elles constituent le socle d’une maturité sécurité intermédiaire.
Cartographie simple du système d’information
Recenser les équipements, les logiciels, les accès cloud et les connexions tierces permet de comprendre l’exposition réelle de l’entreprise. Cette cartographie n’a pas vocation à être parfaite : elle doit être suffisamment précise pour identifier les points de défaillance potentiels.
Revue des droits d’accès
Les droits d’accès s’accumulent avec le temps : collaborateurs qui changent de poste, anciens employés dont les comptes restent actifs, prestataires avec des accès trop larges. Une revue régulière permet d’appliquer le principe du moindre privilège et de réduire la surface d’attaque.
Segmentation réseau et sécurisation des accès distants
Séparer le réseau des visiteurs du réseau de production, isoler les équipements sensibles et imposer l’usage d’un VPN pour les accès distants sont des mesures qui limitent la propagation d’une attaque en cas de compromission.
Politique BYOD et gestion des postes
L’utilisation d’appareils personnels pour accéder aux ressources de l’entreprise sans cadre défini est un vecteur de contamination fréquent. La formalisation d’une charte informatique et, si nécessaire, le déploiement d’une solution de gestion des appareils mobiles (MDM) permettent de contrôler les équipements qui accèdent au système d’information.
Clarification du rôle du prestataire IT
Beaucoup de PME confondent infogérance informatique et cybersécurité. Un prestataire IT peut gérer les postes et les serveurs sans pour autant avoir défini de procédures de sécurité, de surveillance ou de réponse aux incidents. Il est important de vérifier ce que couvre réellement le contrat et d’ajouter des clauses de sécurité si nécessaire.
Vérification des clauses de sécurité avec les fournisseurs critiques
Vos fournisseurs et prestataires qui accèdent à votre système d’information représentent un vecteur d’attaque indirect. Vérifier les engagements contractuels en matière de sécurité et exiger des certifications pertinentes (ISO 27001, SOC 2) auprès des prestataires les plus critiques est une démarche de gestion du risque tier.
Les sujets de maturité pour aller plus loin
Ces actions s’adressent aux PME qui ont déjà consolidé leur socle de sécurité et souhaitent progresser vers une posture plus robuste.
Supervision sécurité et gestion des vulnérabilités
La supervision sécurité consiste à collecter et analyser les événements produits par les équipements du système d’information pour détecter des comportements anormaux. Sans traitement effectif des alertes générées, une supervision reste sans valeur.
Protection des postes : EDR et XDR
Les solutions de type EDR (Endpoint Detection and Response) ou XDR (Extended Detection and Response) offrent une protection et une capacité de détection avancées sur les postes et serveurs. Leur efficacité dépend de leur paramétrage et du suivi des alertes qu’elles génèrent.
PRA, PCA et réponse à incident : trois notions complémentaires
Ces trois plans répondent à des objectifs distincts et ne sont pas interchangeables.
- Le plan de réponse à incident définit les actions à mener pendant la crise : qui est responsable, comment contenir l’attaque, comment communiquer et documenter l’incident.
- Le PRA (Plan de Reprise d’Activité) décrit comment restaurer le système d’information après l’incident : quels systèmes relancer en priorité, avec quels objectifs de délai (RTO) et de perte de données acceptable (RPO).
- Le PCA (Plan de Continuité d’Activité) vise à maintenir les activités critiques de l’entreprise pendant l’indisponibilité du système d’information.
À retenir : Le PCA et le PRA sont souvent confondus. L’essentiel est que les deux logiques soient traitées : la continuité des activités métier d’un côté, la restauration technique de l’autre. Un plan non testé ne vaut rien : des exercices réguliers sont indispensables.
Accompagnement RSSI externalisé et audits de sécurité
Pour les PME qui ne peuvent pas recruter un responsable sécurité en interne, la formule du RSSI externalisé permet de bénéficier d’un pilotage stratégique de la sécurité à temps partagé. Les audits de sécurité, réalisés par des prestataires qualifiés, permettent d’identifier objectivement les failles avant qu’elles ne soient exploitées.
Sensibilisation des collaborateurs
La technique la plus sophistiquée ne compense pas un clic sur un lien malveillant. La sensibilisation régulière des équipes, incluant des simulations de phishing et des formations adaptées à chaque profil, reste l’un des investissements les plus rentables en cybersécurité.
Tableau de priorisation des actions
Ce tableau classe les principales actions de cybersécurité selon leur niveau d’urgence, leur difficulté de mise en oeuvre, leur impact, le responsable concerné et le livrable attendu.
| Action | Urgence | Impact | Responsable | Livrable attendu |
| Activer le MFA et sécuriser les comptes administrateurs | Élevée | Très fort | DSI / Prestataire IT | MFA activée, comptes administrateurs sécurisés |
| Vérifier les sauvegardes et tester la restauration | Élevée | Très fort | DSI / Prestataire IT | Sauvegardes validées et test de restauration documenté |
| Corriger les vulnérabilités critiques | Élevée | Fort | Prestataire IT | Correctifs appliqués |
| Sécuriser la messagerie professionnelle | Élevée | Fort | DSI / Prestataire IT | SPF, DKIM et DMARC configurés |
| Identifier les actifs critiques et formaliser la gestion d’incident | Élevée | Fort | Direction / DSI | Cartographie simplifiée et fiche réflexe disponible |
| Revoir les droits d’accès et renforcer l’authentification | Moyenne | Fort | DSI / RH | Droits revus et politique d’authentification appliquée |
| Sécuriser les accès réseau et le télétravail | Moyenne | Fort | Prestataire IT | Réseau segmenté, Wi-Fi et accès distants sécurisés |
| Formaliser les règles d’usage informatique (charte, BYOD, prestataires) | Moyenne | Moyen | Direction / RH | Charte signée et responsabilités définies |
| Mettre en place une supervision sécurité et une gestion continue des vulnérabilités | Intermédiaire | Fort | DSI / MSSP | Alertes opérationnelles et processus de correction établi |
| Déployer un EDR/XDR et formaliser le PRA/PCA | Intermédiaire | Très fort | Direction / DSI | Protection avancée et plans documentés |
| Réaliser des audits, exercices de crise et sensibilisations régulières | Avancée | Fort | Direction / DSI | Audits, exercices et formations réalisés |
Une méthode progressive
La cybersécurité d’une PME ne se construit pas en un jour. Elle se construit avec méthode, en commençant par les actions les plus simples à fort impact, puis en progressant vers une maturité plus complète. Le vrai risque n’est pas d’avoir des outils insuffisants : c’est de ne pas savoir ce qu’on a, de ne pas surveiller ce qui se passe, et de ne pas avoir prévu comment réagir quand l’incident survient.
L’ANSSI et Cybermalveillance.gouv.fr mettent à disposition des guides pratiques gratuits adaptés aux PME. Le rapport DBIR de Verizon fournit chaque année une analyse factuelle des incidents réels et de leurs causes. Ces ressources permettent d’ancrer les priorités dans une réalité terrain documentée.
Regard terrain BASOM : La cybersécurité d’une PME doit commencer par une démarche pragmatique : identifier les risques majeurs, prioriser les actions selon leur impact réel sur le métier, et mettre en place un pilotage régulier. L’objectif n’est pas la conformité parfaite, mais la résilience : être capable de détecter, de réagir et de se relever. C’est l’approche que BASOM Consulting applique avec ses clients, quelle que soit leur taille ou leur niveau de maturité initial.