Les PME représentent 60% des victimes de ransomware en France. La bonne nouvelle : 80% de ces incidents auraient pu être évités avec un socle de mesures basiques bien implémentées. Voici la liste par ordre de priorité.
1. Authentification multifacteur (MFA) sur tous les accès distants
Difficulté : Faible · Coût : Gratuit à 3€/utilisateur/mois
VPN, webmail, Microsoft 365, Google Workspace, outils SaaS métier — activer le MFA sur tous ces accès est la mesure avec le meilleur retour sur investissement de toute la sécurité informatique. Elle bloque 99% des attaques par credential stuffing.
2. Sauvegardes chiffrées et testées — règle 3-2-1
Difficulté : Moyenne · Coût : 50 à 200€/mois selon volume
3 copies des données, sur 2 supports différents, dont 1 hors site (cloud chiffré ou coffre physique). La règle des sauvegardes n'est utile que si elles sont testées — planifiez un test de restauration trimestriel.
3. Gestion des mises à jour — patch management
Difficulté : Faible · Coût : Inclus dans la plupart des EDR
70% des attaques exploitent des vulnérabilités connues avec un patch disponible depuis plus de 30 jours. Automatisez les mises à jour Windows/macOS/Linux et vérifiez les applicatifs métier mensuellement.
4. Segmentation réseau — WiFi invité et VLANs
Difficulté : Moyenne · Coût : 0 à 2 000€ (matériel)
Isolez les postes de travail des serveurs, les IoT des systèmes critiques, et le WiFi invité de tout le reste. Un réseau plat (tout le monde voit tout le monde) est un risque majeur de propagation latérale.
5. EDR — Endpoint Detection & Response
Difficulté : Faible · Coût : 5 à 15€/poste/mois
L'antivirus classique ne suffit plus contre les menaces modernes. Un EDR (SentinelOne, CrowdStrike Falcon Go, Microsoft Defender for Business) détecte les comportements anormaux, pas seulement les signatures.
6. Politique de mots de passe + gestionnaire d'équipe
Difficulté : Faible · Coût : 3 à 8€/utilisateur/mois
Bitwarden Teams, 1Password Business, Dashlane for Business — un gestionnaire de mots de passe d'entreprise élimine les post-it, les "Azerty123" et les mots de passe réutilisés. Déploiement : 1 demi-journée.
7. Contrôle des accès — principe du moindre privilège
Difficulté : Moyenne · Coût : Temps interne uniquement
Chaque utilisateur doit avoir uniquement les droits nécessaires à son travail. Auditez les comptes administrateurs (combien ont besoin de droits admin en permanence ?), supprimez les comptes des anciens collaborateurs le jour J.
8. Sensibilisation aux phishing — 30 min/an minimum
Difficulté : Faible · Coût : 0 à 5€/utilisateur/an
90% des incidents commencent par un email. Une formation de 30 minutes par an et un test de phishing simulé annuel réduisent significativement le taux de clics sur les liens malveillants.
9. Plan de réponse aux incidents — même simple
Difficulté : Faible · Coût : Temps interne uniquement
Qui appeler si vous subissez un ransomware à 23h un vendredi ? Qui a les droits d'isoler les serveurs ? Où est la liste des contacts ANSSI/CERT-FR ? Un document d'une page avec ces réponses peut faire la différence entre 2 heures et 2 semaines de crise.
10. Inventaire des actifs et cartographie
Difficulté : Moyenne · Coût : Temps interne uniquement
Vous ne pouvez pas protéger ce que vous ne connaissez pas. Un inventaire des postes, serveurs, applications SaaS et accès tiers est le prérequis de toute démarche de sécurité sérieuse.
Ces 10 mesures forment le socle minimum. Si vous n'en avez implémenté que 3, commencez par MFA, sauvegardes et EDR — dans cet ordre. C'est 80% de la protection pour 20% de l'effort.