FAQ Cybersécurité PME

Oui, et de plus en plus. Les PME représentent désormais plus de 40 % des victimes de ransomwares en France selon l'ANSSI. Les raisons sont simples : les PME ont des données de valeur (clients, fournisseurs, brevets, données financières) mais des protections souvent insuffisantes. Les cybercriminels utilisent des attaques automatisées qui scannent internet à la recherche de systèmes vulnérables sans cibler spécifiquement une entreprise. Si votre système présente une vulnérabilité connue, il sera trouvé et attaqué indépendamment de votre taille ou de votre secteur. 'Nous sommes trop petits pour intéresser les hackers' est une idée reçue dangereuse.

Un firewall (pare-feu) est un équipement ou logiciel qui contrôle les flux réseau entrants et sortants selon des règles de sécurité. Le firewall de votre box internet grand public est rudimentaire : il bloque les connexions entrantes non sollicitées, mais ne fait aucune inspection du contenu. Un firewall professionnel (UTM ou NGFW) ajoute l'inspection profonde des paquets (DPI), le filtrage des URL et catégories web, la détection d'intrusion (IDS/IPS), l'anti-malware en temps réel, et la gestion des VPN. Pour une entreprise avec des données sensibles ou soumise à des obligations réglementaires (RGPD, NIS2), un firewall professionnel est indispensable.

Un antivirus classique fonctionne par signatures : il compare les fichiers à une base de données de malwares connus. Si un malware nouveau ou muté n'est pas dans la base, il passe. Un EDR (Endpoint Detection and Response) surveille le comportement des programmes en temps réel : si un logiciel commence à chiffrer des fichiers, à contacter un serveur suspect, ou à modifier des clés de registre sensibles, l'EDR l'arrête immédiatement, même si c'est un malware inconnu. L'EDR permet aussi l'investigation forensique post-incident : savoir comment l'attaque s'est produite, quels fichiers ont été compromis, et quelle est l'étendue des dégâts. Pour les PME, un EDR managé (géré par HEConcept) est beaucoup plus efficace qu'un simple antivirus.

Un ransomware est un malware qui chiffre vos fichiers et exige une rançon pour les déchiffrer. En 2025, les rançons demandées aux PME varient de 20 000 à 500 000 €, et le paiement ne garantit pas la récupération des données. La protection contre les ransomwares repose sur plusieurs couches : un EDR sur tous les postes pour détecter le comportement de chiffrement avant que tous les fichiers soient touchés, une sauvegarde 3-2-1 immuable (voir question suivante) pour restaurer les données sans payer, une segmentation réseau pour limiter la propagation, et la sensibilisation des utilisateurs au phishing (vecteur d'entrée majoritaire). HEConcept propose un audit ransomware qui évalue votre exposition et les lacunes à corriger.

La règle 3-2-1 est la référence en matière de sauvegarde des données : 3 copies de vos données, sur 2 supports différents (par exemple disque local + cloud), dont 1 copie hors site (offsite ou air-gapped, déconnectée du réseau principal). Cette dernière copie est celle qui résiste aux ransomwares : si le ransomware chiffre vos serveurs, vos postes et votre NAS réseau, la copie déconnectée reste intacte et permet une restauration complète. HEConcept met en place des sauvegardes immuables (impossibles à modifier ou supprimer même avec les accès admin) et teste régulièrement la restauration pour s'assurer que la sauvegarde est réellement exploitable.

Le phishing est une technique d'escroquerie par email (ou SMS, appel téléphonique) qui imite une communication légitime pour tromper la victime et lui soutirer des informations (identifiants, mots de passe, numéros de carte) ou lui faire exécuter un malware. Le phishing est le vecteur d'attaque numéro 1 des cyberincidents en France. La sensibilisation des employés est la défense la plus efficace : des simulations de phishing régulières montrent aux équipes à quoi ressemble une tentative réelle, en conditions réelles et sans risque. HEConcept propose des campagnes de sensibilisation incluant simulations, formations et reporting sur les comportements à risque.

Le MFA (Multi-Factor Authentication) exige une deuxième vérification en plus du mot de passe : un code SMS, une notification d'application (Microsoft Authenticator, Google Authenticator), une clé physique (YubiKey), ou une reconnaissance biométrique. L'ANSSI recommande le MFA pour tous les comptes d'administration et les accès distants (VPN, télétravail). Le MFA rend inutiles 99 % des attaques par vol de mots de passe : même si un attaquant connaît votre mot de passe, il ne peut pas se connecter sans le second facteur. La mise en place du MFA sur Microsoft 365 ou Google Workspace prend moins d'une journée et ne nécessite aucun équipement supplémentaire.

NIS2 (Network and Information Security, version 2) est une directive européenne entrée en vigueur en France fin 2024. Elle concerne les entités 'essentielles' et 'importantes' dans des secteurs critiques (énergie, eau, santé, transport, finance, numérique, administrations publiques, etc.). Les PME de moins de 50 salariés et 10 M€ de CA ne sont généralement pas directement concernées par NIS2, sauf si elles opèrent dans ces secteurs critiques ou sont sous-traitantes d'entités NIS2 (auquel cas elles doivent respecter des exigences de sécurité imposées par leur client). Indépendamment de NIS2, toutes les entreprises sont soumises au RGPD qui impose des mesures de sécurité adaptées aux données personnelles traitées.

Le coût d'un audit de cybersécurité varie selon la portée et la profondeur. Un audit de base (inventaire des actifs, analyse de la configuration réseau, tests de vulnérabilités sur le périmètre externe) pour une PME de 20 à 50 postes se situe généralement entre 1 500 et 4 000 € HT. Un audit complet incluant des tests d'intrusion (pentest) et une analyse de la sécurité interne peut atteindre 8 000 à 20 000 € HT. HEConcept propose un premier audit de sécurité gratuit qui couvre les points essentiels et permet d'identifier les risques critiques sans engagement.

En cas de cyberattaque (ransomware, intrusion, vol de données), la réaction dans les premières heures est déterminante. Première règle : isoler immédiatement les systèmes compromis du réseau (débrancher le câble réseau ou désactiver le Wi-Fi) pour stopper la propagation. Deuxième règle : ne pas éteindre les serveurs (les preuves forensiques sont en mémoire). Troisième règle : appeler votre prestataire IT et notifier votre assureur cyber si vous en avez un. Pour les incidents impliquant des données personnelles, une notification à la CNIL est obligatoire dans les 72 heures. HEConcept peut intervenir en cellule de crise pour endiguer l'attaque, identifier le vecteur d'entrée et coordonner la remédiation.

Les accès distants non sécurisés sont une des principales portes d'entrée des cyberattaques. Les bonnes pratiques pour sécuriser le télétravail comprennent : l'utilisation d'un VPN professionnel plutôt qu'une connexion directe RDP (le bureau à distance Windows directement exposé sur internet est très vulnérable), le MFA sur tous les accès (VPN, Microsoft 365, applications métier), un EDR sur les postes des télétravailleurs, et une politique de mots de passe robuste. HEConcept déploie et gère des solutions de télétravail sécurisées compatibles avec tous les équipements (PC Windows, Mac, tablette).

La cyberassurance est une assurance qui couvre les coûts liés à un incident cyber : frais de remédiation technique, perte d'exploitation, rançon (sous conditions), amendes RGPD, frais juridiques, et communication de crise. Elle ne remplace pas les mesures de cybersécurité (certains assureurs exigent un niveau minimal de protection pour couvrir le risque), mais elle complète la protection en couvrant les coûts résiduels d'un incident. Le marché de la cyberassurance pour les PME est en forte évolution : les primes varient de 500 à 5 000 €/an selon la taille, le secteur, et surtout le niveau de maturité cyber de l'entreprise. Une entreprise avec un bon niveau de sécurité obtient une prime plus basse.