Le guide de survie que toute PME devrait avoir sous la main !

Votre entreprise tourne sur des systèmes informatiques. Point de vente, courriel, site web, logiciel de comptabilité, CRM. Si ces systèmes tombent, votre entreprise s'arrête.

C'est aussi simple que ça !

La sécurisation de vos systèmes n'est pas un projet informatique de luxe. C'est l'équivalent numérique de verrouiller vos portes le soir. Sauf que les voleurs opèrent 24/7, depuis n'importe où dans le monde.

Voyons comment protéger concrètement votre infrastructure, sans diplôme en cybersécurité.

Les 4 Piliers de la sécurité des systèmes

Pensez à votre sécurité comme une maison :

1. Les fondations : vos configurations de base

2. Les murs : vos défenses périmétriques

3. Les portes et fenêtres : vos contrôles d'accès

4. Le système d'alarme : votre surveillance

Négligez un pilier, et toute la structure est vulnérable...

Pilier 1 : Les fondations - Configuration sécurisée

Principe du moindre privilège Chaque utilisateur, chaque application n'a accès qu'à ce dont il a strictement besoin. Votre réceptionniste n'a pas besoin d'accès administrateur. Votre logiciel de comptabilité n'a pas besoin d'accéder à Internet.

Action concrète :

• Créez des comptes utilisateurs standards pour le travail quotidien

• Gardez les comptes administrateurs pour les tâches d'administration uniquement

• Documentez qui a accès à quoi, et pourquoi

Durcissement des systèmes (Hardening) C'est retirer tout ce qui est inutile. Un serveur Windows fraîchement installé a des dizaines de services activés dont vous n'aurez jamais besoin. Chacun est une porte d'entrée potentielle.

Action concrète :

• Désactivez tous les services non essentiels

• Supprimez les applications pré-installées inutilisées

• Changez tous les mots de passe par défaut (routeurs, imprimantes, caméras)

Mise à jour systématique 80% des violations exploitent des vulnérabilités pour lesquelles un correctif existait depuis des mois. Laissez ça pénétrer : vous vous faites pirater parce que vous n'avez pas cliqué sur "Mettre à jour".

Action concrète :

• Activez les mises à jour automatiques pour Windows, macOS, Linux

• Mettez à jour vos applications chaque semaine (browsers, PDF, Java)

• Remplacez les équipements qui ne reçoivent plus de mises à jour (Windows 7, vous regardez)

Pilier 2 : Les murs - Défenses périmétriques

Pare-feu nouvelle génération Votre pare-feu ne devrait pas juste bloquer les ports. Il devrait inspecter le trafic, bloquer les menaces connues, filtrer le contenu web.

Pour les PME :

• Budget serré : pfSense (gratuit, efficace, mais nécessite compétences)

• Budget moyen : Fortinet FortiGate, Sophos XG (2000-5000$/an)

• Budget confortable : Palo Alto (excellent, mais plus coûteux)

Segmentation réseau Ne mettez pas tous vos œufs dans le même panier. Séparez votre réseau en zones :

• Réseau invités (WiFi public)

• Réseau employés

• Réseau serveurs/données sensibles

• Réseau équipements IoT (caméras, imprimantes, thermostats)

Action concrète : Si un employé clique sur un lien malveillant, le malware reste confiné à son segment. Il ne peut pas infecter directement vos serveurs.

Antivirus et EDR (Endpoint Detection and Response) L'antivirus traditionnel est mort. Il détecte les menaces connues. Les attaquants modernes utilisent des malwares sur mesure, jamais vus auparavant.

Un EDR analyse le comportement. Si un fichier essaie soudainement de chiffrer tous vos documents (signe de ransomware), il l'arrête immédiatement.

Recommandations PME :

• CrowdStrike Falcon

• SentinelOne

• Microsoft Defender for Endpoint (si vous êtes déjà dans l'écosystème Microsoft)

Pilier 3 : Portes et fenêtres - Contrôles d'accès

Gestion des identités et des accès (IAM) Qui peut accéder à quoi, quand et comment? Si vous ne pouvez pas répondre instantanément, vous avez un problème.

Composantes essentielles :

Authentification multifacteur (AMF/MFA) Le mot de passe seul est mort. 99% des attaques par compromission de compte sont bloquées par l'AMF.

Action concrète :

• Activez l'AMF sur absolument tout : Microsoft 365, Google Workspace, CRM, banque, administration serveur

• Utilisez une app d'authentification (Google Authenticator, Microsoft Authenticator)

• Pour les super-admins, utilisez des clés de sécurité physiques (YubiKey)

Gestion des mots de passe Arrêtez de réutiliser le même mot de passe. Arrêtez de les noter dans un cahier. Arrêtez de les sauvegarder dans un fichier Excel non chiffré.

Action concrète :

• Adoptez un gestionnaire de mots de passe d'entreprise : 1Password Business, Bitwarden, LastPass Business

• Politique minimale : 12 caractères, unique par compte

• Changez les mots de passe immédiatement si un employé quitte l'entreprise

Contrôle d'accès basé sur les rôles (RBAC) Créez des rôles (comptable, vendeur, gestionnaire) avec des permissions pré-définies. Assignez les utilisateurs à ces rôles.

Action concrète : Quand quelqu'un change de poste, vous changez son rôle. Instantané, sans risque d'oublier de retirer un accès.

Révision régulière des accès Les permissions s'accumulent. Quelqu'un change de département, garde ses anciens accès. Quelqu'un part, son compte reste actif.

Action concrète : Chaque trimestre, révisez tous les comptes actifs. Désactivez immédiatement les comptes inutilisés. Retirez les permissions superflues.

Pilier 4 : Le Système d'alarme - Surveillance et détection

Logs et journalisation Si vous n'enregistrez pas ce qui se passe sur vos systèmes, vous êtes aveugle. Après une attaque, comment saurez-vous ce qui a été compromis?

À journaliser obligatoirement :

• Connexions réussies et échouées

• Modifications de comptes et permissions

• Accès aux fichiers sensibles

• Activité réseau anormale

• Modifications de configuration système

SIEM (Security Information and Event Management) Un SIEM agrège tous vos logs, détecte les anomalies, et vous alerte.

Pour PME avec budget :

• Splunk (puissant, mais coûteux)

• Elastic SIEM (open source, abordable)

• Microsoft Sentinel (si vous êtes dans Azure)

Pour PME avec petit budget :

• Wazuh (gratuit, open source, excellent pour débuter)

• Configuration manuelle des alertes Windows Event Log

Alertes critiques à configurer

• Tentatives de connexion échouées répétées (attaque par force brute)

• Connexion depuis une localisation inhabituelle

• Élévation de privilèges non autorisée

• Accès à des fichiers sensibles hors heures normales

• Installation de logiciel non approuvé

Sécurisation par couche système

Postes de travail (endpoints)

• Chiffrement complet du disque (BitLocker pour Windows, FileVault pour Mac)

• Politique de verrouillage automatique après 5 minutes d'inactivité

• Interdiction d'installer des logiciels sans approbation IT

• Sauvegarde automatique sur le cloud ou serveur d'entreprise

Serveurs

• Installez uniquement l'OS nécessaire (Windows Server Core au lieu de la version complète)

• Placez-les dans un réseau séparé, non accessible directement depuis Internet

• Accès uniquement via VPN ou RDP sécurisé avec AMF

• Sauvegarde quotidienne automatique avec test de restauration mensuel

Applications web

• Certificat SSL/TLS valide (HTTPS partout)

• Web Application Firewall (WAF) devant vos applications

• Mise à jour régulière de votre CMS (WordPress, Drupal, etc.)

• Scan de vulnérabilités applicatives (OWASP Top 10)

Bases de données

• Jamais exposées directement sur Internet

• Compte admin désactivé pour les connexions d'applications

• Chiffrement des données au repos et en transit

• Audits d'accès activés

Réseau sans fil

• WPA3 obligatoire (ou WPA2 minimum)

• Réseau invité séparé avec isolation client

• Mot de passe robuste changé tous les 6 mois

• Désactivez WPS (vulnérable)

Et pour finir ! La sécurité du cloud (Parce que vous y êtes déjà)

Votre comptabilité est sur QuickBooks Online. Vos documents dans Google Drive. Vos ventes dans Salesforce. Vous êtes dans le cloud, que vous le vouliez ou non.

Principe de responsabilité partagée Le fournisseur cloud sécurise l'infrastructure. Vous sécurisez vos données et accès.

Ce que vous devez faire :

• AMF activée pour tous les comptes

• Révision des permissions de partage (qui peut voir quoi?)

• Chiffrement additionnel pour données ultra-sensibles

• Sauvegarde externe (même le cloud peut perdre vos données)

Outils de sécurité cloud natifs

• Microsoft : Microsoft Defender for Cloud, Azure Security Center

• Google : Security Command Center

• AWS : AWS Security Hub, GuardDuty

Sauvegarde : Votre police d'assurance ultime

La meilleure sécurité échoue parfois. Les ransomwares passent. Les disques meurent. Les

employés effacent accidentellement.

Règle du 3-2-1

• 3 copies de vos données

• 2 supports différents (disque local + cloud)

• 1 copie hors site (ou offline)

  
  

Quel action concrète ?

• Sauvegarde quotidienne automatique

• Testez une restauration chaque mois (une sauvegarde non testée est inutile)

• Gardez au moins 30 jours d'historique

• Pour les données critiques : sauvegarde immuable (qui ne peut pas être

Envie d'en savoir plus ?