Ce guide est à visée informative. Il reprend les recommandations officielles de l'ANSSI et de Cybermalveillance.gouv.fr. Il ne remplace ni un audit technique approfondi, ni un conseil juridique spécialisé. En cas d'incident avéré, contactez le numéro gratuit Cybermalveillance 0 805 805 817 (service public, du lundi au vendredi).
Beaucoup de dirigeants de TPE et PME se posent la question. Pas toujours parce qu'un incident a eu lieu. Souvent après avoir entendu parler d'un confrère piraté, d'une facture frauduleuse ou d'un ransomware. La difficulté, c'est que « sécurisé » n'a pas de définition binaire. Il n'existe pas de diplôme de l'entreprise sécurisée. Ce qui existe, ce sont des bonnes pratiques reconnues et vérifiables. Voici comment faire un premier état des lieux honnête.
Ce que « sécurisée » veut dire vraiment
L'ANSSI et les référentiels internationaux définissent la sécurité informatique autour de trois objectifs complémentaires.
- Confidentialité : seules les personnes autorisées accèdent aux informations. Un fichier client ne doit pas se retrouver dans une boîte mail externe, un mot de passe ne doit pas circuler en clair.
- Intégrité : les données ne sont pas modifiées à l'insu de leur propriétaire. Une facture ne doit pas être altérée en transit, un virement ne doit pas être détourné.
- Disponibilité : les outils et données restent accessibles quand on en a besoin. Un poste verrouillé par un ransomware ou un serveur hors service bloquent l'activité.
Une entreprise « sécurisée » n'est pas une entreprise invulnérable. C'est une entreprise qui a pris des mesures raisonnables sur ces trois axes et qui sait quoi faire si un incident survient.
Les 8 vérifications à mener
Ces points sont ceux que recommande l'ANSSI dans son guide destiné aux TPE/PME, confirmés par les retours d'expérience de Cybermalveillance.gouv.fr sur les incidents les plus fréquents.
1. Les mots de passe
C'est la première ligne de défense et, statistiquement, la plus souvent défaillante. Les bonnes pratiques selon l'ANSSI :
- Au moins 12 caractères, mélangeant majuscules, minuscules, chiffres et caractères spéciaux.
- Un mot de passe différent pour chaque service (messagerie, banque, comptabilité, etc.).
- Jamais réutilisé d'un service personnel à un service professionnel.
- Conservé dans un gestionnaire de mots de passe, pas sur un post-it ni dans un fichier Excel nommé « mdp ».
Vérification : si vous utilisez le même mot de passe sur plus d'un service, ou s'il fait moins de 12 caractères, c'est un point faible.
2. L'authentification à double facteur (2FA)
Avec un mot de passe seul, un attaquant qui le devine ou le récupère via une fuite a accès à votre compte. Avec la double authentification, il lui faut en plus un second élément (code envoyé sur téléphone, application d'authentification, clé physique).
À activer en priorité sur la messagerie professionnelle, les services cloud (Microsoft 365, Google Workspace), la banque en ligne et tout service qui le propose.
Vérification : ouvrez les paramètres de sécurité de votre messagerie et de vos comptes clés. Si le 2FA n'est pas activé, c'est un point faible.
3. Les mises à jour
La plupart des cyberattaques automatisées exploitent des failles pour lesquelles un correctif existe depuis des mois, parfois des années. Windows, macOS, navigateurs, logiciels métier : les mises à jour de sécurité doivent s'appliquer rapidement.
Vérification : Windows Update est-il actif sur tous les postes ? Les applications sont-elles à jour ? Un poste avec Windows 10 non mis à jour après octobre 2025 (fin du support Microsoft) est exposé.
4. La protection contre les logiciels malveillants
Un antivirus à jour reste une protection de base utile. Sur Windows 10 et Windows 11, Microsoft Defender intégré au système est reconnu comme efficace pour un usage TPE, à condition d'être actif et à jour. Les solutions payantes apportent une couche supplémentaire (détection comportementale, supervision) utile dans les environnements avec plusieurs postes.
Vérification : ouvrez la sécurité Windows et vérifiez que la protection en temps réel est activée, que les dernières définitions datent de moins de 24 heures, et qu'aucune alerte n'est en attente.
5. Les sauvegardes
La sauvegarde ne prévient pas les attaques. Elle permet de redémarrer après. En cas de ransomware, de vol de matériel ou de panne matérielle, seule une sauvegarde récente et testée permet de ne pas perdre ses données.
La règle de base, dite 3-2-1, recommandée par l'ANSSI : 3 copies des données, sur 2 supports différents, dont 1 hors site (ou hors ligne).
Vérification : quand a été faite la dernière sauvegarde ? Une copie est-elle hors du bureau (cloud ou disque externe stocké ailleurs) ? Avez-vous déjà testé une restauration ?
6. Les droits d'accès
Principe du moindre privilège : chacun accède uniquement à ce dont il a besoin pour travailler. Un commercial n'a pas besoin d'accéder aux fiches de paie. Un stagiaire n'a pas besoin d'être administrateur de son poste.
Par défaut, de nombreux postes Windows ont un compte unique avec tous les droits. C'est pratique mais risqué : si ce compte est compromis, tout l'est.
Vérification : vos utilisateurs sont-ils administrateurs de leur poste ? Les comptes d'anciens salariés sont-ils désactivés ? Les accès partagés (comptes génériques) sont-ils limités au strict minimum ?
7. La sensibilisation des équipes
D'après Cybermalveillance.gouv.fr, la majorité des incidents traités impliquent une erreur humaine : clic sur un lien de phishing, pièce jointe ouverte sans vérifier, ordre de virement obtenu par ingénierie sociale.
La technique ne remplace pas la vigilance. Un salarié qui sait reconnaître un email suspect et qui ose appeler pour vérifier une demande inhabituelle bloque à lui seul la majorité des tentatives d'arnaque.
Vérification : vos salariés ont-ils déjà été informés des signaux d'un email de phishing ? Savent-ils à qui signaler un doute ? Savent-ils qu'un virement demandé par email doit systématiquement être vérifié par téléphone ?
8. Le plan d'incident
Quand un incident survient, les premières heures comptent. Avoir noté à l'avance qui appeler évite la panique et les mauvaises décisions (payer une rançon, débrancher un poste infecté après avoir laissé le ransomware se propager au serveur).
Le plan n'a pas besoin d'être complexe. Une fiche format A4 avec trois informations suffit pour une TPE :
- Qui appeler en interne pour isoler les postes concernés.
- Qui appeler en externe (votre prestataire informatique, votre assureur, le 0 805 805 817 Cybermalveillance).
- Qui prévenir (salariés, clients si leurs données sont touchées, CNIL dans les 72 heures si des données personnelles sont concernées).
Vérification : si demain vous constatez un chiffrement de vos fichiers, savez-vous à qui téléphoner dans les 10 minutes qui suivent ?
Utiliser un autodiagnostic officiel
Pour aller plus loin que cette lecture, deux outils gratuits, officiels et sans engagement.
Service public, hébergé par le GIP ACYMA. Questionnaire complet qui évalue votre niveau sur plusieurs domaines. Gratuit, anonyme, téléchargeable en PDF. Accessible sur cybermalveillance.gouv.fr.
Notre diagnostic en 10 questions, conçu pour les TPE/PME du Tarn et de l'Occitanie, complémentaire au diagnostic officiel. Vous recevez un rapport PDF détaillé par domaine, avec des recommandations adaptées à votre niveau. Gratuit, environ 3 minutes. Démarrer le diagnostic.
Quand faire appel à un professionnel
Les 8 vérifications ci-dessus peuvent en grande partie être menées en interne. Ce que change un prestataire informatique, c'est la mise en place initiale et surtout la continuité dans la durée.
Les dérives typiques qu'une supervision détecte
Sans outil de supervision, une TPE ignore souvent ce qui se passe réellement sur son parc. Quelques situations fréquentes observées en intervention :
- Un antivirus désactivé sur un poste depuis 3 semaines, personne ne s'en rend compte.
- Un correctif Windows critique en échec depuis plusieurs mois sur certains postes.
- Un compte d'ancien salarié toujours actif 6 mois après son départ.
- Un poste dont le chiffrement de disque a été désactivé par un utilisateur pressé.
- Un clic sur un faux support « Microsoft » qui a ouvert un accès distant non autorisé.
Ces dérives ne font pas de bruit. Elles se remarquent le jour où un incident arrive, trop tard pour réagir.
Les outils d'un prestataire professionnel
Un prestataire d'infogérance sérieux utilise les mêmes outils que ceux déployés dans les grands comptes, adaptés aux TPE :
- Supervision continue des postes : chaque poste remonte son état en temps réel (antivirus actif, correctifs appliqués, espace disque, services).
- Gestion centralisée des comptes administrateurs locaux (technologie LAPS) : chaque poste a un mot de passe admin unique, changé automatiquement, jamais partagé.
- Détection comportementale type SIEM : alerte en cas d'activité anormale (connexion depuis un pays inhabituel, tentative d'élévation de privilèges).
- Chiffrement BitLocker déployé et supervisé sur les portables.
- Application automatisée des correctifs Windows et applications.
- Tableau de bord client : visibilité sur l'état du parc, sans avoir à comprendre la technique.
Ces outils ne sont pas accessibles à une TPE qui gère son informatique en interne. Ce sont eux qui font la différence entre « on pense que c'est sécurisé » et « on sait que c'est sécurisé ».
Ce que nous pouvons faire pour vous
Ocore Technologies accompagne les TPE et PME du Tarn et de l'Occitanie sur trois axes complémentaires qui couvrent la majorité des 8 vérifications décrites dans ce guide.
Surveillance en temps réel de vos postes : mises à jour Windows appliquées, antivirus actif, services critiques, espace disque. Les dérives invisibles (patch en échec, protection désactivée, compte orphelin) sont détectées avant qu'elles causent un incident.
Déploiement de la double authentification sur vos comptes sensibles, gestion centralisée des mots de passe administrateurs locaux (LAPS), principe du moindre privilège, suivi des comptes utilisateurs actifs.
Alertes comportementales via SIEM, chiffrement des postes portables (BitLocker), accompagnement sur la procédure à suivre en cas d'incident. Vous êtes prévenu et accompagné, pas seul face à l'urgence.