Vous dirigez une PME de 30, 50, 80 personnes. Vous n’avez ni responsable sécurité, ni équipe IT dédiée. La cybersécurité à proprement parler, personne ne s’en occupe vraiment. Et vous savez, quelque part, que c’est un problème.

Ce guide est écrit pour vous — pas pour un directeur informatique qui connaît déjà les acronymes, mais pour un dirigeant ou un DAF qui veut comprendre ce qu’il faut faire, dans quel ordre, et avec quel budget réaliste.

Les 6 étapes qui suivent s’appuient sur le guide d’hygiène informatique de l’ANSSI et les recommandations de Cybermalveillance.gouv.fr. Aucune ne nécessite de compétence technique poussée. Toutes sont réalisables en moins d’un mois.

Le problème : 60 % des PME n’ont pas de responsable cybersécurité

Selon l’enquête annuelle du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), moins de 40 % des entreprises de moins de 250 salariés disposent d’un responsable sécurité identifié. La CPME confirme ce constat : la grande majorité des TPE et PME françaises n’ont personne en charge de ce sujet à temps plein.

Ce n’est pas un reproche. C’est une réalité structurelle. Pour une PME de 50 personnes, recruter un responsable de la sécurité des systèmes d’information coûte entre 70 000 et 100 000 € par an — une charge que peu de structures peuvent absorber. Alors, par défaut, c’est le prestataire informatique qui gère les mises à jour, la direction qui valide les achats de logiciels, et l’office manager qui réinitialise les mots de passe.

Le problème, c’est que chacun pense que c’est l’autre qui s’occupe de la sécurité.

Les chiffres parlent d’eux-mêmes. Selon Cybermalveillance.gouv.fr, les PME représentent aujourd’hui la cible principale des cyberattaquants en France. Pas les grandes entreprises — qui ont des budgets et des équipes — mais les PME, précisément parce qu’elles sont moins protégées. En 2025, une PME française a statistiquement plus de chances d’être victime d’un phishing ciblé que d’un incendie dans ses locaux.

Et les conséquences sont lourdes. Selon les données de Cybermalveillance.gouv.fr, une attaque par ransomware coûte en moyenne entre 18 000 et 75 000 € à une PME, en comptant le temps d’arrêt, la récupération des données et les frais de prestataires. 60 % des PME victimes d’une attaque sérieuse cessent leur activité dans les 18 mois.

La bonne nouvelle : les mesures les plus efficaces ne sont pas les plus coûteuses. Ce guide vous donne le plan d’action minimal pour réduire votre risque de façon significative, sans embaucher de spécialiste.

Étape 1 : Auditer votre exposition en 30 minutes

Avant de protéger quoi que ce soit, il faut savoir ce que vous exposez. Cette première étape ne prend pas plus d’une demi-heure et elle vous donnera une image claire de votre situation actuelle.

Tester la sécurité de votre messagerie

Votre domaine email est votre identité numérique la plus exposée. Sans configuration adaptée, n’importe qui peut envoyer un email en se faisant passer pour vous — sans jamais avoir accès à votre boîte mail. Commencez par un test de sécurité email gratuit : il vérifie en quelques secondes vos enregistrements DNS et vous donne un score avec les corrections à apporter.

Inventorier vos comptes et systèmes critiques

Prenez une feuille et listez honnêtement :

Les comptes qui coûteraient le plus cher à perdre : messagerie professionnelle, accès banque en ligne, logiciel de comptabilité, espace client de votre hébergeur, outils de gestion RH et paie
Les données dont vous ne pourriez pas vous passer : devis et contrats, fichiers clients, données comptables, base de données prospects
Les accès partagés : les mots de passe que plusieurs personnes connaissent, les comptes génériques (comptabilite@, contact@, admin@)

Cette liste, même imparfaite, vous permettra de prioriser les étapes suivantes.

Identifier vos risques réels

Posez-vous trois questions : si quelqu’un accédait à votre messagerie demain, à quoi aurait-il accès ? Si vos données disparaissaient aujourd’hui, combien de temps faudrait-il pour vous remettre à niveau ? Un de vos collaborateurs saurait-il reconnaître un email de phishing ciblant votre entreprise ? Si l’une de ces réponses vous met mal à l’aise, la suite de ce guide est faite pour vous.

Étape 2 : Sécuriser les accès (MFA partout)

L’authentification multifacteur — souvent appelée MFA ou double authentification — est la mesure numéro un recommandée par l’ANSSI, Cybermalveillance.gouv.fr, et tous les acteurs de la cybersécurité. Elle consiste à exiger, en plus du mot de passe, une deuxième vérification : un code envoyé sur votre téléphone, une notification dans une application, ou une clé physique.

Pourquoi c’est si important ? Parce que 80 % des compromissions de comptes passent par des mots de passe volés ou devinés. Avec la MFA, un mot de passe volé ne suffit plus — l’attaquant aurait aussi besoin de votre téléphone. Selon Microsoft, la MFA bloque 99,9 % des attaques automatisées sur les comptes.

Et surtout : c’est gratuit.

Comment activer la MFA sur les outils courants

Microsoft 365 : dans le portail d’administration Microsoft (admin.microsoft.com), allez dans Utilisateurs > Authentification multifacteur. Vous pouvez l’activer pour tous les utilisateurs en quelques clics. L’application Microsoft Authenticator est gratuite et disponible sur iOS et Android.

Google Workspace : dans la console d’administration (admin.google.com), allez dans Sécurité > Authentification à 2 facteurs. Activez-la et rendez-la obligatoire pour tous les utilisateurs de votre organisation.

Banque en ligne et comptabilité : vérifiez les paramètres de sécurité de chaque service. La plupart des établissements bancaires professionnels et des éditeurs de logiciels de comptabilité (Sage, EBP, Cegid) proposent maintenant la MFA dans leurs paramètres de compte.

La mise en place prend environ une heure pour une PME de 50 personnes, en comptant la communication aux collaborateurs et la configuration des applications sur leurs téléphones. C’est le meilleur retour sur investissement de ce guide.

Une règle complémentaire : en activant la MFA, profitez-en pour auditer les mots de passe. Chaque compte critique doit avoir un mot de passe unique et suffisamment long (12 caractères minimum). Un gestionnaire de mots de passe comme Bitwarden (version gratuite disponible) ou 1Password simplifie la gestion pour toute votre équipe.

Étape 3 : Former vos équipes au phishing

Les outils techniques — antivirus, filtres email, MFA — interceptent une partie des attaques. Pas toutes. Le phishing moderne est conçu pour contourner ces filtres : il imite des emails légitimes de Microsoft, de votre banque, ou de vos fournisseurs. Et il n’a besoin que d’un seul clic, d’une seule personne, pour réussir.

C’est pourquoi vos collaborateurs sont à la fois votre première ligne de défense et votre plus grande vulnérabilité. Pas par négligence — mais parce que personne ne leur a jamais montré à quoi ressemble un email malveillant.

Pourquoi les formations classiques ne suffisent pas

Une présentation annuelle sur les bonnes pratiques ne change pas les comportements — c’est documenté. Un message délivré dans un contexte neutre est oublié en quelques semaines. Ce qui change les comportements, c’est l’expérience directe : recevoir un email de phishing simulé, cliquer dessus, et voir immédiatement une explication de ce qui vient de se passer.

Mettre en place un programme de simulation

La simulation de phishing consiste à envoyer à vos collaborateurs des emails qui imitent des tentatives d’hameçonnage réalistes — conçus par votre prestataire, pas par un vrai attaquant — et à mesurer qui clique, qui saisit ses identifiants, qui signale l’email.

La première campagne établit votre point de départ. Il n’est pas rare de voir des taux de clic de 25 à 40 % lors du premier test, même dans des équipes sensibilisées. Ce chiffre n’est pas un jugement : il reflète simplement que vos collaborateurs n’ont jamais été confrontés à ce type de situation.

Sur 3 à 6 mois de campagnes régulières avec formation associée, les entreprises qui utilisent nophi.sh réduisent leur taux de clic de 60 à 80 %. La progression est mesurable, et elle constitue une preuve concrète de l’amélioration de votre posture de sécurité — utile en cas d’audit ou de négociation d’une assurance cyber.

Les tarifs démarrent à partir de 99 €/mois pour une PME de 50 personnes. C’est la mesure qui offre le meilleur rapport entre coût, effort et réduction du risque dans ce guide.

Étape 4 : Protéger votre messagerie (SPF, DKIM, DMARC)

Même si vous n’envoyez pas d’emails malveillants, quelqu’un peut envoyer des emails en se faisant passer pour vous. Sans protection, n’importe quel serveur sur Internet peut expédier un message depuis direction@votreentreprise.fr à vos clients, vos fournisseurs, ou votre banque. Le destinataire voit votre nom, votre adresse. Il n’y a aucun moyen visuel de distinguer cet email d’un vrai.

Selon les données analysées par l’ANSSI, plus de 50 % des PME françaises n’ont pas de politique d’authentification email active sur leur domaine.

Trois protocoles corrigent ce problème :

SPF (Sender Policy Framework) : déclare quels serveurs ont le droit d’envoyer des emails pour votre domaine
DKIM (DomainKeys Identified Mail) : signe chaque email avec une clé cryptographique, prouvant qu’il n’a pas été altéré en transit
DMARC : combine SPF et DKIM pour définir une politique claire — mettre en quarantaine ou rejeter les emails non authentifiés

La configuration se fait dans les enregistrements DNS de votre domaine, directement dans l’interface de votre hébergeur (OVH, Gandi, Cloudflare…). C’est une opération technique d’environ 1 à 3 heures, que votre prestataire informatique peut réaliser si vous ne vous sentez pas à l’aise.

Notre guide complet SPF, DKIM et DMARC vous accompagne pas à pas avec des exemples concrets pour OVH, Google Workspace et Microsoft 365.

Avant même de configurer quoi que ce soit, testez l’état actuel de votre domaine : vous saurez en quelques secondes si vous êtes exposé et ce qu’il faut corriger.

Étape 5 : Mettre en place les sauvegardes

Un ransomware chiffre l’ensemble de vos données — postes, serveurs, partages réseau — et exige une rançon pour les déchiffrer. Sans sauvegarde récente et fonctionnelle, vous avez le choix entre payer (sans garantie de récupération) ou tout reconstruire de zéro.

La sauvegarde est la seule mesure qui vous permet de vous relever d’une attaque par ransomware sans payer.

La règle 3-2-1

Recommandée par l’ANSSI et adoptée comme standard par l’industrie, la règle 3-2-1 est simple :

3 copies de vos données (la donnée originale + 2 sauvegardes)
2 supports différents (par exemple : disque externe + cloud)
1 copie hors site (dans le cloud ou dans un autre lieu physique)

Cette règle garantit qu’une attaque qui touche votre réseau local ne détruise pas simultanément toutes vos copies.

Les sauvegardes immuables

Un point souvent négligé : les ransomwares modernes cherchent activement les sauvegardes pour les chiffrer également. Les sauvegardes immuables — disponibles sur Veeam, Acronis, Backblaze B2 — empêchent la modification ou la suppression des données pendant une période définie, même pour un attaquant avec des droits administrateur.

Tester la restauration

Une sauvegarde non testée n’est pas une sauvegarde. Programmez un test de restauration chaque trimestre : récupérez un dossier ou une base de données depuis votre sauvegarde et vérifiez que les données sont complètes et utilisables. Ce test prend 30 minutes et peut vous éviter une catastrophe le jour où vous en avez vraiment besoin.

Étape 6 : Documenter et maintenir

La cybersécurité n’est pas un projet avec une date de fin. C’est un état à maintenir. Cette étape vous donne les outils minimaux pour que les bonnes pratiques perdurent sans nécessiter une attention quotidienne.

La charte informatique

La charte informatique est un document court — 2 à 5 pages — qui fixe les règles d’utilisation des outils numériques : mots de passe, installation de logiciels, usage des appareils personnels, signalement d’incidents. Elle aligne vos collaborateurs sur les mêmes règles et établit que chacun en a été informé, ce qui compte juridiquement en cas d’incident. Des templates gratuits sont disponibles sur Cybermalveillance.gouv.fr.

Le plan de réponse à incident

Quand un incident se produit — et statistiquement, un jour ou l’autre il se produira — la panique est le pire conseiller. Un plan de réponse à incident tient sur une page, est imprimé et accessible sans connexion internet, et répond aux questions : qui appeler en premier (prestataire IT, assurance cyber, ANSSI via cyber.gouv.fr), comment isoler un poste infecté, où se trouvent les sauvegardes. Notre guide Que faire en cas de phishing couvre le scénario le plus fréquent en détail.

La revue trimestrielle

Bloquez 30 minutes par trimestre pour vérifier que les sauvegardes fonctionnent, que les mises à jour ont été appliquées, que les comptes des anciens collaborateurs sont désactivés, et que vos taux de clic sur les simulations progressent. C’est ce qui transforme un effort ponctuel en posture durable.

Quel budget prévoir

La cybersécurité d’une PME de 50 personnes n’exige pas un budget de grand groupe. Voici une décomposition réaliste des postes de dépenses, par ordre de priorité.

Mesure	Coût	Effort de mise en place
Authentification multifacteur (MFA)	Gratuit (inclus dans Microsoft 365 ou Google Workspace)	1 à 2 heures
Configuration SPF/DKIM/DMARC	Gratuit (ou 1 à 2 heures de prestataire, ~150 à 300 €)	1 à 3 heures
Gestionnaire de mots de passe (Bitwarden Teams)	3 € / utilisateur / mois soit ~150 €/an pour 50 personnes	2 à 4 heures
Simulation de phishing et formation (nophi.sh)	À partir de 99 €/mois soit ~1 200 €/an	2 heures pour le lancement
Sauvegardes cloud (Backblaze, Acronis…)	50 à 200 €/mois selon le volume	4 à 8 heures
Assurance cyber (TPE/PME 50 personnes)	1 500 à 5 000 €/an selon le secteur et le CA	Dossier de souscription
Audit externe (optionnel, première année)	5 000 à 15 000 € selon le périmètre	Pris en charge par le prestataire

Total minimal (MFA + DMARC + simulation + sauvegardes + assurance) : environ 4 000 à 8 000 €/an pour une PME de 50 personnes. C’est moins de 10 % du coût moyen d’un incident sérieux.

À noter : ces dépenses sont déductibles fiscalement, et la BPI France propose des financements spécifiques pour les PME qui investissent dans leur sécurité numérique.

Et si votre PME est concernée par NIS2 ?

Si vous opérez dans un secteur couvert par la directive NIS2 et que vous dépassez 50 employés, les mesures de ce guide couvrent une partie significative de vos obligations réglementaires — notamment les obligations de formation (article 21.2.g), d’évaluation des mesures (article 21.2.f) et de continuité d’activité (article 21.2.c). Un audit de conformité complet nécessite un accompagnement supplémentaire, mais ce socle vous donnera une base solide.

Questions fréquentes

Quel est le budget minimum pour sécuriser une PME de 20 à 50 personnes ?

MFA gratuit, DMARC gratuit, sauvegardes cloud à partir de 50 €/mois, simulation de phishing à partir de 99 €/mois, assurance cyber entre 1 500 et 3 000 €/an. Total : moins de 5 000 €/an pour un socle sérieux — à comparer au coût moyen d’un incident (18 000 à 75 000 € selon Cybermalveillance.gouv.fr).

Faut-il externaliser sa cybersécurité quand on n’a pas d’équipe IT ?

Les 6 étapes de ce guide sont réalisables sans compétence technique poussée. Pour la configuration DNS (SPF/DKIM/DMARC) ou un audit plus approfondi, 1 ou 2 jours de consulting avec un prestataire qualifié suffisent. L’ANSSI publie une liste de prestataires PRIS (Prestataires de Réponse aux Incidents de Sécurité) sur cyber.gouv.fr.

Par quelle action commencer en priorité absolue ?

L’authentification multifacteur sur votre messagerie professionnelle. Gratuit, moins d’une heure, et la mesure qui bloque le plus de compromissions. Selon Microsoft, la MFA empêche 99,9 % des attaques automatisées sur les comptes.

Notre PME est-elle concernée par la directive NIS2 ?

NIS2 s’applique aux entreprises de 50 employés ou plus dans des secteurs spécifiques. En dehors de ces critères, pas d’obligation directe — mais les mesures de ce guide restent les bonnes pratiques ANSSI pour toute structure. Détails dans notre page conformité NIS2.

Comment convaincre ma direction d’investir dans la cybersécurité ?

Chiffrez le risque : 60 % des PME victimes d’une cyberattaque sérieuse déposent le bilan dans les 18 mois (Cybermalveillance.gouv.fr). Un ransomware coûte en moyenne 18 000 à 75 000 € à une PME. Un budget cybersécurité de 4 000 à 8 000 €/an est une évidence face à ce chiffre.

Peut-on se faire aider gratuitement pour sa cybersécurité ?

Oui. Cybermalveillance.gouv.fr propose des diagnostics gratuits. L’ANSSI publie son guide d’hygiène informatique (42 mesures, disponible sur cyber.gouv.fr). La BPI France propose des financements pour les PME qui investissent dans le numérique. nophi.sh propose un essai gratuit de 14 jours, sans carte bancaire.

Combien de temps faut-il pour mettre en place ces 6 étapes ?

Un mois suffit. Semaine 1 : audit et MFA (2 à 4 heures). Semaine 2 : SPF/DKIM/DMARC (1 à 3 heures). Semaine 3 : sauvegardes et première simulation de phishing. Semaine 4 : charte informatique et plan de réponse à incident. Après un mois, votre PME est dans le top 20 % des entreprises de sa taille.

Vous n’avez pas besoin d’un responsable sécurité pour commencer. Vous avez besoin d’une heure ce matin pour activer la MFA sur votre messagerie, et d’un plan pour les semaines suivantes.

Le premier test ne coûte rien : analysez la sécurité de votre domaine email gratuitement et voyez où vous en êtes. Le résultat vous dira précisément par quoi commencer.

Prêt à mesurer la résilience de vos équipes face au phishing ? Lancez votre première campagne de simulation en 15 minutes. Démarrer l’essai gratuit — 14 jours, sans engagement, sans carte bancaire.