Temps de lecture : 10 min
La majorité des cyberattaques qui dévastent des PME françaises chaque année n’exploitent pas des failles sophistiquées. Elles n’utilisent pas des techniques réservées aux services de renseignement. Elles ne requièrent pas des mois de préparation.
Elles exploitent les mêmes trois failles basiques — encore et encore, dans des milliers d’entreprises.
Le rapport DBIR 2025 de Verizon est formel : les identifiants compromis, l’exploitation de vulnérabilités connues et le phishing sont les trois vecteurs dominants dans la grande majorité des attaques réussies. Autrement dit, MFA, patching et hygiène d’accès restent les trois piliers à fort rendement. Factorial
Ce n’est pas un jugement — c’est une opportunité. Si les attaquants exploitent les mêmes failles basiques, ça signifie que corriger ces failles basiques élimine la majorité du risque.
L’activation du MFA sur tous les comptes critiques, le renforcement des mots de passe, et la vérification et le test des sauvegardes existantes couvrent déjà 60 % des risques courants. Vytalx
Cet article va vous expliquer exactement comment mettre en place ces trois mesures — en langage humain, avec des actions concrètes et un budget réaliste.
Pourquoi ces 3 mesures et pas d’autres ?
Avant de rentrer dans le détail, clarifions le raisonnement.
La cybersécurité est un domaine vaste. Il y a des dizaines de mesures possibles, des centaines d’outils, des milliers de recommandations. Face à cette complexité, la plupart des PME font l’une de ces deux choses : elles essaient de tout faire à la fois (épuisant et contre-productif), ou elles ne font rien en attendant d’avoir un plan parfait (dangereux).
La bonne approche, c’est le principe de Pareto appliqué à la cybersécurité : quelles sont les 20 % d’actions qui éliminent 80 % du risque ?
Les données convergent vers les mêmes réponses :
80 % des violations de données impliquent des identifiants compromis selon le DBIR 2025 de Verizon. → Le MFA résout ce problème. Factorial
18 % des attaques réussies ont exploité des failles de sécurité connues, et les entreprises mettent en moyenne 215 jours pour corriger une vulnérabilité détectée. → Les mises à jour résolvent ce problème. Fevad
Le chiffrement de données par ransomware a reculé de 9 points en 2025 grâce à la généralisation des sauvegardes sécurisées et des plans de reprise d’activité. → Les sauvegardes testées résolvent ce problème. Fevad
Trois mesures. Trois problèmes majeurs. Résultat : les PME qui suivent ce plan réduisent leur surface d’attaque de 80 % en un mois. NIS2facile
Commençons.
Action n°1 — Le MFA : la mesure au meilleur rapport coût/efficacité de toute la cybersécurité
Ce qu’est vraiment le MFA
L’authentification multifacteur (MFA), c’est simple : au lieu de vous identifier avec seulement un mot de passe, vous utilisez deux facteurs — quelque chose que vous connaissez (votre mot de passe) ET quelque chose que vous possédez (votre téléphone, une application, une clé physique).
Concrètement : vous tapez votre mot de passe, et votre téléphone reçoit un code à 6 chiffres valable 30 secondes. Ou une notification vous demande de confirmer la connexion. Sans ce second facteur, personne ne peut entrer — même avec votre mot de passe.
Pourquoi c’est la mesure numéro 1
L’authentification multifacteur bloque 99,9 % des attaques par compromission de compte selon les données publiées par Microsoft en 2025. NIS2facile
Réfléchissez à ce chiffre. 99,9 %. Pour la mesure la plus simple, la plus rapide à déployer, et souvent la moins chère (voire gratuite) de tout votre arsenal de sécurité.
Le MFA est la porte d’entrée principale de 62 % des piratages selon la CNIL. Son absence est la faille la plus exploitée par les cybercriminels en 2026 — non pas parce qu’ils sont sophistiqués, mais parce qu’ils savent que la majorité des PME ne l’ont pas activé. Copwell
L’ANSSI rappelle que plus de 80 % des attaques réussies impliquent une compromission d’identifiants. Le MFA coupe ce vecteur à la racine. AdevWeb
Où activer le MFA en priorité
Tout ne se vaut pas. Voici l’ordre de priorité recommandé :
Priorité absolue — La messagerie professionnelle. C’est la porte d’entrée numéro 1. Si votre messagerie Microsoft 365 ou Google Workspace est compromise, l’attaquant a accès à votre historique d’emails, vos contacts, vos documents partagés, et peut envoyer des emails frauduleux en votre nom. Le MFA est inclus dans tous les abonnements Microsoft 365 et Google Workspace — activez-le maintenant si ce n’est pas fait.
Priorité haute — Les accès distants et le VPN. Toute connexion depuis l’extérieur de votre réseau doit passer par un MFA. Sans ça, un attaquant qui obtient les identifiants VPN d’un collaborateur dispose d’un accès complet à votre réseau interne.
Priorité haute — Les comptes administrateurs. Les comptes avec des droits d’administration doivent avoir le niveau de MFA le plus robuste. Pour les comptes administrateurs, optez pour une clé physique FIDO2 type YubiKey (50-70€ pièce) — c’est le standard le plus solide qui existe. Factorial
Priorité normale — Toutes les applications métier. CRM, ERP, logiciel comptable, outils de stockage cloud : activez le MFA partout où c’est possible.
Comment activer le MFA : guide pas à pas
Sur Microsoft 365 : Allez dans le portail admin Microsoft (admin.microsoft.com) → Utilisateurs → Utilisateurs actifs → Authentification multifacteur. Sélectionnez tous les utilisateurs et activez. La méthode recommandée : l’application Microsoft Authenticator sur smartphone. Temps de déploiement pour une équipe de 20 personnes : moins d’une demi-journée. NIS2facile
Sur Google Workspace : Console d’administration (admin.google.com) → Sécurité → Authentification à deux facteurs → Activez pour toute l’organisation. La méthode recommandée : Google Authenticator ou notification push sur smartphone.
Pour les autres services : La quasi-totalité des services cloud professionnels (Slack, Salesforce, Dropbox, AWS, etc.) proposent le MFA dans leurs paramètres de sécurité. Activez-le systématiquement.
Les objections fréquentes — et les réponses
“Ça va ralentir mes équipes.” Un code à 6 chiffres prend 10 secondes. Le temps de restauration après une compromission de compte prend en moyenne 3 semaines. Votre calcul est vite fait.
“Mes collaborateurs résistent.” C’est une question de communication, pas de technique. Expliquez le pourquoi — pas le comment. “On active ça pour que si quelqu’un vole votre mot de passe, votre compte reste protégé” est plus convaincant que “politique de sécurité”.
“On utilise des mots de passe complexes, ça suffit.” Non. Les mots de passe complexes peuvent être volés via le phishing, les bases de données compromises ou le dark web — sans que vous le sachiez jamais. Le MFA protège même quand le mot de passe est connu. Factorial
Le complément indispensable : le gestionnaire de mots de passe
Le MFA est encore plus efficace quand chaque compte a un mot de passe unique et fort. L’ANSSI recommande des mots de passe d’au moins 12 caractères avec un gestionnaire de mots de passe obligatoire (Bitwarden, 1Password), et interdit la réutilisation des mots de passe entre services. Vytalx
Bitwarden est gratuit en version team basique. 1Password coûte environ 3-5€ par utilisateur et par mois. Déployez-en un sur toute l’entreprise — c’est l’investissement mensuel le plus rentable que vous puissiez faire.
Ce que ça coûte : 0€ pour activer le MFA sur vos abonnements existants. 3-5€/utilisateur/mois pour un gestionnaire de mots de passe. Pour une PME de 20 personnes : 60 à 100€ par mois maximum.
Action n°2 — Les sauvegardes : votre police d’assurance contre le pire
La réalité que peu de dirigeants veulent entendre
Voici une question simple : si demain matin un ransomware chiffre l’intégralité de vos données — fichiers clients, devis, comptabilité, emails archivés — combien de temps vous faut-il pour tout restaurer ?
Si vous n’avez pas de réponse précise à cette question, c’est que vous n’avez pas de vraie politique de sauvegardes.
Le chiffrement de données par ransomware a reculé de 9 points en 2025 grâce à la généralisation des sauvegardes sécurisées et des plans de reprise d’activité. Ce n’est pas une coïncidence. C’est la preuve que les sauvegardes fonctionnent — quand elles sont bien configurées. Fevad
La distinction est cruciale. Une sauvegarde mal configurée ne vous sauvera pas. Une sauvegarde qui ne se restaure pas ne sert à rien. Il faut isoler au moins une copie (pas accessible comme un simple dossier réseau) et tester une restauration régulièrement. data.gouv.fr
La règle 3-2-1 : le standard ANSSI
La règle 3-2-1 est le standard recommandé par l’ANSSI et adopté par les grandes entreprises. Elle est parfaitement applicable à une TPE. Copwell
3 copies de vos données (l’original + 2 sauvegardes) 2 supports différents (par exemple : NAS local + cloud) 1 copie hors ligne ou hors site — déconnectée de votre réseau, inaccessible aux ransomwares
Ce troisième point est le plus important et le plus souvent négligé. Un ransomware moderne ne chiffre pas seulement votre serveur principal — il cartographie votre réseau et chiffre aussi tous les dossiers partagés et sauvegardes accessibles. Si votre “sauvegarde” est un dossier réseau monté en permanence, elle sera chiffrée en même temps que tout le reste.
Une copie vraiment isolée — un disque dur externe déconnecté après chaque sauvegarde, ou une sauvegarde cloud immuable avec versioning — est ce qui fait la différence entre “restauration en 48h” et “perte totale”.
Les options concrètes selon votre taille
Pour une TPE (moins de 10 postes) : Google Drive ou OneDrive avec versioning activé (inclus dans vos abonnements) + un disque dur externe déconnecté après chaque sauvegarde hebdomadaire. Solution : quasi gratuit avec vos abonnements existants.
Pour une PME de 10 à 50 postes : Un NAS local (Synology DS223 ou équivalent, 350-500€) avec réplication automatique vers un cloud externe (Backblaze B2, Azure Backup, ou AWS S3). Le NAS gère les sauvegardes locales rapides — le cloud gère la copie hors site immuable. Solution : 500-800€ à l’achat + 30-80€/mois de stockage cloud.
Pour une PME de 50 postes et plus : Solution de backup managée (Veeam, Acronis Cyber Backup, Commvault) avec une rétention longue (minimum 30 jours) et des sauvegardes immuables — des sauvegardes qu’un ransomware ne peut pas chiffrer même s’il accède au serveur. Solution : 100-300€/mois selon le volume.
Le test de restauration : la seule vraie mesure de votre niveau de protection
La question à poser à votre prestataire : quand a eu lieu le dernier test de restauration et quel est le résultat. Si la réponse est vague ou remonte à plus de 6 mois, vous ne savez pas si vos sauvegardes fonctionnent réellement. data.gouv.fr
Le test de restauration, c’est simple : prenez un fichier ou un dossier de vos sauvegardes et restaurez-le dans un environnement de test. Vérifiez que les données sont intègres et utilisables. Faites-le une fois par trimestre minimum — et consignez le résultat dans un document.
Une fois par an, faites un test de restauration complète d’un serveur ou d’un environnement critique. C’est le seul moyen de savoir si votre plan de reprise d’activité est réellement opérationnel.
Un PRA non testé est un PRA qui ne fonctionne pas. Vytalx
Les indicateurs à suivre
Temps de restauration (RTO) : combien de temps pour remettre en service votre système après une attaque ? Définissez votre cible — 4h, 24h, 48h — et vérifiez que vos sauvegardes le permettent.
Perte de données acceptable (RPO) : quelle est la dernière sauvegarde avant l’incident ? Si votre sauvegarde est hebdomadaire, vous perdez potentiellement 7 jours de données. Une sauvegarde quotidienne réduit cette perte à 24h maximum.
Ce que ça coûte : de 0€ (activation du versioning sur vos outils cloud existants) à 200-400€/mois pour une solution managée complète pour une PME de 30-50 postes. Face au coût moyen d’un ransomware (350 000€), c’est l’investissement avec le meilleur ROI de toute la cybersécurité.
Action n°3 — Les mises à jour de sécurité : fermer les portes que vous ignorez avoir laissées ouvertes
Le paradoxe des mises à jour
Les mises à jour de sécurité sont la mesure la plus repoussée — et l’une des plus efficaces.
Voici pourquoi elle est repoussée : les mises à jour prennent du temps, risquent de casser des compatibilités, et demandent une maintenance active. Dans une PME sans équipe IT dédiée, elles tombent naturellement dans la catégorie “on verra ça quand on aura le temps”.
Voici pourquoi c’est dangereux : L’ANSSI observe des campagnes massives ciblant les pare-feu et passerelles VPN, avec neuf vulnérabilités parmi les plus exploitées touchant des équipements de sécurité en bordure de réseau, souvent attaquées quelques jours après la publication des correctifs. Factorial
“Quelques jours après la publication.” Pas des semaines. Pas des mois. Des jours.
Les entreprises mettent en moyenne 215 jours pour corriger une vulnérabilité détectée. Les attaquants l’exploitent en quelques jours. Le fossé entre ces deux chiffres, c’est votre fenêtre de vulnérabilité. Fevad
Tout ne mérite pas le même niveau d’urgence
La première chose à comprendre sur les mises à jour : il ne faut pas tout traiter avec la même urgence. Une mise à jour de fonctionnalité sur votre logiciel de gestion commerciale peut attendre. Un patch de sécurité critique sur votre pare-feu ne peut pas.
Voici comment prioriser :
Niveau critique (sous 72h) : pare-feu, VPN, accès distants, serveurs exposés sur internet. Ce sont les équipements de bordure — les portes d’entrée de votre réseau. Un patch critique sur ces équipements doit être appliqué dans les 72h suivant sa publication. Un outil de patch management automatisé doit permettre de combler les failles connues sous 72h. Vytalx
Niveau haute priorité (sous 7 jours) : systèmes d’exploitation de vos serveurs et postes de travail, navigateurs web, suites bureautiques (Office, Google Workspace). Ces éléments sont régulièrement ciblés par des campagnes de phishing exploitant des vulnérabilités connues.
Niveau normal (sous 30 jours) : applications métier, logiciels secondaires, firmwares des équipements internes. Importants, mais sans l’urgence des deux premières catégories.
La checklist pratique des mises à jour pour une PME
Sur vos postes Windows : activez Windows Update en mode automatique avec installation nocturne. Vérifiez une fois par mois que les mises à jour sont bien appliquées sur tous les postes, notamment ceux qui sont souvent éteints ou hors réseau.
Sur vos Macs : paramètres système → Général → Mise à jour de logiciels → activez les mises à jour automatiques. Vérifiez une fois par mois l’état de mise à jour des parcs.
Sur votre pare-feu et votre VPN : votre prestataire doit avoir une procédure documentée pour appliquer les patchs de sécurité critiques sous 72h. Exigez un plan de mises à jour priorisé sur ces éléments, avec traçabilité. Si votre prestataire ne peut pas vous présenter ce plan, posez la question directement. data.gouv.fr
Sur vos applications cloud (SaaS) : bonne nouvelle — Microsoft, Google, Salesforce et la plupart des éditeurs SaaS gèrent les mises à jour eux-mêmes. Votre rôle : vérifier que vous utilisez bien les dernières versions des applications desktop ou mobiles associées.
Sur les équipements réseau (switches, points d’accès Wi-Fi) : ces équipements sont souvent oubliés. Planifiez une revue semestrielle avec votre prestataire pour vérifier les firmwares.
Un outil simple pour ne plus rien oublier
Si vous n’avez pas de système formalisé, voici la méthode minimale viable :
Créez un tableau avec 3 colonnes : équipement/logiciel, date du dernier patch, responsable de la mise à jour. Passez-le en revue une fois par mois. Demandez à votre prestataire de vous envoyer un rapport mensuel confirmant l’état des mises à jour sur les équipements critiques.
Pour les PME avec plus de 20 postes, un outil de patch management automatisé (Ivanti, ManageEngine, WSUS pour Windows) centralise la gestion et génère des rapports. L’installation d’un outil de patch management automatisé pour combler les failles connues sous 72h est recommandée dès le 3e ou 4e mois de montée en maturité cyber. Vytalx
Ce que ça coûte : l’activation des mises à jour automatiques sur Windows et Mac est gratuite. Un outil de patch management coûte entre 3 et 8€/poste/mois pour une PME. Pour 20 postes : 60 à 160€/mois maximum.
Le plan d’action sur 4 semaines
Maintenant que vous avez compris les trois mesures, voici comment les déployer concrètement — sans perturber votre activité.
Semaine 1 — Le MFA (priorité absolue) Lundi : activez le MFA sur Microsoft 365 ou Google Workspace pour tous les comptes. Prévoyez une communication interne simple pour expliquer le changement. Mardi-mercredi : aidez les collaborateurs à configurer l’application Authenticator sur leur smartphone. Jeudi : activez le MFA sur votre VPN et vos accès distants. Vendredi : commandez des YubiKey pour les comptes administrateurs (si budget disponible).
Semaine 2 — Le gestionnaire de mots de passe Déployez Bitwarden ou 1Password sur tous les postes. Formez les équipes à son utilisation en 30 minutes. Commencez à migrer les mots de passe critiques (messagerie, VPN, ERP, comptabilité) vers le gestionnaire.
Semaine 3 — Les sauvegardes Identifiez vos données critiques (fichiers clients, comptabilité, données de production). Vérifiez que vous avez bien une copie isolée du réseau principal. Testez une restauration depuis vos sauvegardes existantes. Si le test échoue ou si vous n’avez pas de copie isolée : priorité à corriger cette semaine.
Semaine 4 — Les mises à jour Demandez à votre prestataire un état des lieux des versions en place sur vos équipements critiques (pare-feu, VPN, serveurs). Activez les mises à jour automatiques sur tous les postes. Mettez en place le rapport mensuel de mise à jour avec votre prestataire.
Ce que ces 3 mesures ne font pas (et comment compléter votre protection)
Soyons honnêtes : MFA, sauvegardes et mises à jour sont les fondations. Elles éliminent la majorité du risque — mais pas la totalité.
Ce qu’elles ne couvrent pas directement :
La sensibilisation au phishing. Le MFA protège même quand un collaborateur se fait voler son mot de passe — mais pas quand il installe lui-même un malware en cliquant sur une pièce jointe. La formation anti-phishing de vos équipes est le complément naturel. Consultez notre article dédié : Phishing en PME : comment reconnaître une tentative et former ses équipes.
La détection en temps réel. Le MFA et les sauvegardes sont des mesures préventives et curatives. Pour détecter une intrusion avant qu’elle cause des dégâts, vous avez besoin d’un EDR (Endpoint Detection and Response) sur vos postes. Le déploiement d’un EDR est recommandé dès le 3e mois de montée en maturité cyber — après le MFA et les sauvegardes. Vytalx
La conformité réglementaire NIS2. Ces trois mesures constituent le cœur de l’article 21 de la directive NIS2. Mais si vous êtes dans le périmètre NIS2, vous aurez également besoin d’une politique documentée, d’un plan de réponse à incident formalisé, et d’une formation des dirigeants. Consultez notre article : NIS2 : la responsabilité personnelle du dirigeant expliquée simplement.
Le résumé que vous pouvez partager avec votre équipe
MFA — Bloquez 99,9 % des accès non autorisés Activez-le sur votre messagerie, votre VPN et vos accès distants. Inclus dans vos abonnements Microsoft 365 / Google Workspace. Déploiement : une demi-journée. Coût : 0€ pour l’activation.
Sauvegardes — Survivez à n’importe quelle attaque Règle 3-2-1 : 3 copies, 2 supports, 1 hors ligne. Testez la restauration une fois par trimestre. Coût : 30 à 200€/mois selon votre taille.
Mises à jour — Fermez les portes que les attaquants connaissent Activez les mises à jour automatiques. Appliquez les patchs critiques sur vos équipements de bordure sous 72h. Coût : 0€ pour les mises à jour automatiques.
Ces actions couvrent déjà 60 % des risques courants. Combinées avec la sensibilisation phishing et un EDR, vous atteignez un niveau de protection que 90 % des PME françaises n’ont pas encore. Vytalx
FAQ — Vos questions sur le MFA, les sauvegardes et les mises à jour
Peut-on activer le MFA sans prestataire informatique ? Oui. Sur Microsoft 365 et Google Workspace, l’activation se fait depuis le portail d’administration en quelques clics. Des tutoriels officiels sont disponibles sur le site de Microsoft et de Google. Votre prestataire peut vous accompagner si vous préférez — mais ce n’est pas obligatoire.
Quelle est la différence entre une sauvegarde synchronisée et une sauvegarde isolée ? OneDrive ou Google Drive synchronisent vos fichiers en temps réel — mais si un ransomware chiffre vos fichiers locaux, la version chiffrée se synchronise aussi. Une sauvegarde isolée (disque déconnecté ou cloud immuable avec versioning long) conserve une version antérieure à l’attaque. C’est cette différence qui permet la restauration.
Les mises à jour automatiques ne risquent-elles pas de casser quelque chose ? Rarement pour les mises à jour de sécurité standard. Le risque est plus élevé pour les mises à jour majeures de version (Windows 10 → 11, par exemple). Pour les équipements critiques, votre prestataire peut tester les mises à jour sur un environnement de pré-production avant de les déployer sur votre réseau de production.
Ces mesures suffisent-elles pour satisfaire les exigences NIS2 ? Elles constituent le cœur du socle technique exigé par l’article 21 de NIS2. Mais elles ne suffisent pas à elles seules pour une conformité complète — vous aurez également besoin d’une politique de sécurité documentée, d’un plan de réponse à incident et d’une formation des dirigeants.
Par où commencer si on ne sait pas du tout où on en est ? Par un diagnostic de maturité. Notre outil sur cyberdiagnostic.fr analyse votre niveau sur les 5 piliers essentiels — dont ces trois mesures — en 10 minutes. Vous obtenez un score précis et un plan d’action personnalisé pour 9,99€.
Article rédigé par l’équipe CyberDiagnostic.fr — Nous aidons les dirigeants de PME à comprendre et améliorer leur niveau de cybersécurité, sans jargon et sans budget de grand groupe.
→ Vérifiez en 10 minutes si votre PME applique ces 3 mesures fondamentales : cyberdiagnostic.fr — 9,99€