Les TPE et PME constituent des cibles privilegiees pour les cyberattaquants. Leur vulnerabilite tient a une combinaison de facteurs : ressources limitees en matiere de securite informatique, absence frequente de personnel dedie, et sous-estimation du risque. Pourtant, une attaque par rancongiciel peut mettre en peril la survie meme de l’entreprise – l’ANSSI estime que 60 % des PME victimes d’une cyberattaque majeure deposent le bilan dans les 18 mois. Face a ce constat, l’ANSSI a publie un guide pratique destine aux TPE/PME, articule autour de 13 mesures essentielles de cybersecurite. Cet article analyse chacune de ces mesures, leur mise en oeuvre concrete, et les obligations legales qui les sous-tendent.

I. Contexte et enjeux pour les TPE/PME

A. Un paysage de menaces en mutation

Les cyberattaques ne visent plus uniquement les grandes entreprises. Les TPE/PME sont devenues des cibles de choix pour plusieurs raisons. D’abord, elles disposent rarement de dispositifs de securite sophistiques, ce qui en fait des proies faciles. Ensuite, elles constituent des portes d’entree vers les grandes entreprises dont elles sont les fournisseurs ou les sous-traitants – les attaques par la chaine d’approvisionnement exploitent precisement cette vulnerabilite. Enfin, les rancongiciels fonctionnent selon un modele economique de volume : les attaquants ciblent un grand nombre de victimes, y compris de petite taille, pour maximiser les rancons collectees.

Les types d’attaques les plus frequents contre les TPE/PME sont le phishing (point d’entree de la majorite des attaques), les rancongiciels, la fraude au president, et la compromission de messagerie professionnelle (BEC).

B. Le cadre reglementaire applicable aux TPE/PME

Les TPE/PME ne sont pas exemptees des obligations de securite. Le RGPD impose a toute organisation traitant des donnees personnelles de mettre en oeuvre des mesures de securite appropriees (article 32). Les mesures exigees par la CNIL s’appliquent aux TPE/PME de maniere proportionnee mais reelle. La CNIL a d’ailleurs sanctionne des PME pour des manquements elementaires a la securite.

Pour certaines TPE/PME, la directive NIS2 est egalement applicable. Les seuils de taille fixes par NIS2 (50 employes ou 10 millions d’euros de chiffre d’affaires) incluent une partie significative des PME, en particulier dans les secteurs couverts par la directive. Les sanctions NIS2 peuvent atteindre 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial pour les entites importantes, ce qui represente un risque existentiel pour une PME.

II. Les 13 mesures essentielles

Mesure 1 : Connaitre son systeme d’information

La premiere mesure est un prerequis : on ne peut securiser ce que l’on ne connait pas. L’ANSSI recommande de dresser un inventaire complet des equipements (serveurs, postes, equipements reseau, peripheriques), des logiciels, des donnees traitees et des interconnexions avec l’exterieur.

Mise en oeuvre pratique : creer et maintenir un tableau de bord listant l’ensemble des actifs informatiques, avec leur localisation, leur proprietaire, les donnees qu’ils hebergent et leur criticite pour l’activite. Cet inventaire est egalement une obligation au titre de la norme ISO 27001 (annexe A.5.9 – inventaire des actifs).

Mesure 2 : Effectuer des sauvegardes regulieres

Les sauvegardes sont la derniere ligne de defense contre les rancongiciels et les pertes de donnees. L’ANSSI recommande la regle du “3-2-1” : 3 copies des donnees, sur 2 supports differents, dont 1 hors site.

Mise en oeuvre pratique : definir une frequence de sauvegarde adaptee (quotidienne pour les donnees critiques), utiliser un support deconnecte du reseau (pour resister au chiffrement par rancongiciel), tester regulierement la restauration des sauvegardes. Le cout d’une solution de sauvegarde est negligeable compare au cout d’une perte de donnees irrecuperable.

Mesure 3 : Appliquer les mises a jour

Les vulnerabilites logicielles non corrigees sont l’un des principaux vecteurs d’attaque. L’ANSSI recommande d’appliquer les mises a jour de securite dans les meilleurs delais, en priorite sur les systemes exposes sur internet.

Mise en oeuvre pratique : activer les mises a jour automatiques lorsque c’est possible, definir un processus de suivi des correctifs pour les logiciels ne supportant pas la mise a jour automatique, supprimer les logiciels en fin de vie (plus supportes par l’editeur). L’utilisation de composants obsoletes est regulierement sanctionnee par la CNIL dans le cadre des obligations de securite des donnees au titre du RGPD.

Mesure 4 : Utiliser un antivirus

L’antivirus reste une mesure de base indispensable, meme s’il ne constitue plus a lui seul une protection suffisante. L’ANSSI recommande de deployer un antivirus sur l’ensemble des postes de travail et des serveurs, et de le maintenir a jour.

Mise en oeuvre pratique : choisir une solution reconnue (les solutions professionnelles offrent des fonctionnalites de gestion centralisee adaptees meme aux petites structures), configurer les analyses automatiques, ne pas desactiver l’antivirus pour des raisons de performance.

Mesure 5 : Mettre en oeuvre une politique de mots de passe

Les mots de passe faibles ou reutilises sont la cause de nombreuses compromissions. L’ANSSI et la CNIL convergent sur les recommandations :

Mise en oeuvre pratique : imposer une longueur minimale de 12 caracteres avec complexite, interdire la reutilisation des mots de passe entre les services, deployer un gestionnaire de mots de passe en entreprise, activer l’authentification multifacteur (MFA) sur tous les services qui le permettent – en priorite la messagerie et les acces distants. Le chiffrement des donnees et la gestion des mots de passe sont etroitement lies.

Mesure 6 : Activer le pare-feu

Le pare-feu filtre les communications reseau et constitue une barriere essentielle contre les intrusions.

Mise en oeuvre pratique : activer les pare-feu integres aux systemes d’exploitation (Windows Firewall, iptables), configurer le pare-feu de la box ou du routeur d’entreprise, n’ouvrir que les ports strictement necessaires, bloquer par defaut tout trafic non explicitement autorise.

Mesure 7 : Securiser la messagerie

La messagerie est le vecteur d’attaque numero un. L’ANSSI recommande des mesures de protection a plusieurs niveaux.

Mise en oeuvre pratique : deployer un filtre anti-spam et anti-phishing, configurer les protocoles d’authentification des emails (SPF, DKIM, DMARC), sensibiliser les collaborateurs a la detection des emails frauduleux, interdire l’ouverture automatique des pieces jointes. La messagerie est le point d’entree privilegie pour les attaques qui conduisent ensuite a des incidents relevant de la procedure en cas de fuite de donnees.

Mesure 8 : Separer les usages

L’ANSSI recommande de separer les usages professionnels et personnels, et de cloisonner les differents environnements.

Mise en oeuvre pratique : interdire l’utilisation des equipements professionnels a des fins personnelles (ou, a defaut, encadrer strictement cette utilisation), ne pas utiliser le compte administrateur pour les taches quotidiennes, separer le reseau Wi-Fi invite du reseau de l’entreprise, eviter de brancher des peripheriques USB non maitrises.

Mesure 9 : Maitriser l’acces Wi-Fi

Le Wi-Fi est un point d’acces potentiel au reseau de l’entreprise s’il n’est pas correctement securise.

Mise en oeuvre pratique : utiliser le protocole WPA3 (ou WPA2 au minimum), definir un mot de passe robuste pour le reseau Wi-Fi, changer regulierement ce mot de passe, creer un reseau Wi-Fi separe pour les visiteurs sans acces au reseau interne, desactiver le WPS.

Mesure 10 : Proteger les terminaux mobiles

Les smartphones et tablettes professionnels sont des cibles en raison de la richesse des donnees qu’ils contiennent (emails, contacts, documents).

Mise en oeuvre pratique : activer le chiffrement des appareils, mettre en oeuvre un code de verrouillage robuste, activer la fonctionnalite d’effacement a distance, n’installer que des applications provenant de sources fiables, mettre a jour les systemes d’exploitation mobiles.

Mesure 11 : Etre prudent lors des deplacements

Les deplacements professionnels exposent a des risques specifiques : vol ou perte d’equipements, espionnage sur les reseaux publics, compromission dans des environnements non securises.

Mise en oeuvre pratique : utiliser un VPN pour toute connexion depuis un reseau non maitrise, ne pas laisser les equipements sans surveillance, eviter de se connecter a des bornes de recharge USB publiques, utiliser un filtre de confidentialite sur l’ecran de l’ordinateur portable.

Mesure 12 : Gerer les incidents de securite

Meme avec des mesures de prevention, un incident peut survenir. La capacite a reagir rapidement et efficacement est determinante.

Mise en oeuvre pratique : definir une procedure de signalement d’incident claire et connue de tous les collaborateurs, identifier les contacts d’urgence (prestataire IT, ANSSI via le CERT-FR, forces de l’ordre), preparer un kit de reponse a incident minimal. La gestion des incidents de securite doit etre formalisee, meme de maniere simple. Un audit de securite periodique permet de verifier l’efficacite du dispositif.

Mesure 13 : Sensibiliser les collaborateurs

La derniere mesure est aussi la plus transversale : les mesures techniques sont inoperantes si les collaborateurs ne les comprennent pas et ne les appliquent pas.

Mise en oeuvre pratique : organiser des sessions de sensibilisation regulieres, diffuser des alertes sur les menaces en cours, afficher les regles de securite essentielles, utiliser des supports varies (videos courtes, quiz, simulations de phishing). Le RSSI, meme externalise pour une TPE/PME, est le pilote naturel de cette sensibilisation.

III. Mise en oeuvre pour les TPE/PME : approche progressive

A. Phase 1 : les fondamentaux (mois 1-3)

Pour une TPE/PME qui part de zero, la priorite est de couvrir les mesures les plus impactantes avec le minimum de ressources :

1. Sauvegardes : mettre en place une sauvegarde 3-2-1 fonctionnelle et testee.
2. Mises a jour : activer les mises a jour automatiques sur tous les postes et serveurs.
3. Mots de passe : deployer un gestionnaire de mots de passe et activer la MFA sur la messagerie.
4. Antivirus : deployer une solution sur l’ensemble des postes.

B. Phase 2 : consolidation (mois 3-6)

5. Inventaire : documenter l’ensemble des actifs informatiques.
6. Pare-feu : verifier et configurer les pare-feu.
7. Messagerie : configurer SPF, DKIM et DMARC, deployer un filtre anti-phishing.
8. Separation des usages : creer des comptes non-administrateurs pour l’usage quotidien.

C. Phase 3 : maturite (mois 6-12)

9. Wi-Fi : securiser la configuration Wi-Fi et creer un reseau invite.
10. Terminaux mobiles : deployer une politique de securite mobile.
11. Deplacements : fournir un VPN aux collaborateurs nomades.
12. Incidents : formaliser la procedure de gestion des incidents.
13. Sensibilisation : lancer un programme de sensibilisation continu.

Cette approche progressive permet de construire un socle de securite solide sans necessiter d’investissements disproportionnes. Le guide complet de l’ANSSI est disponible en telechargement gratuit et fournit des fiches pratiques pour chaque mesure.

IV. Au-dela des 13 mesures : perspectives

Les 13 mesures de l’ANSSI constituent un socle minimal. Pour les PME soumises a des obligations reglementaires specifiques (RGPD, NIS2, reglementations sectorielles), des mesures complementaires sont necessaires.

La conformite a la checklist NIS2 requiert un niveau de maturite superieur en matiere de gestion des risques, de notification d’incidents et de securite de la chaine d’approvisionnement. Le reglement DORA impose des obligations supplementaires aux entreprises du secteur financier.

Pour structurer la demarche au-dela du socle minimal, un audit RGPD permet d’identifier les ecarts entre les mesures en place et les exigences applicables. L’ENISA publie egalement des ressources adaptees aux PME qui completent utilement le guide de l’ANSSI.

La certification ISO 27001, bien que representant un investissement significatif pour une PME, constitue un objectif de maturite a moyen terme pour les organisations souhaitant structurer durablement leur demarche de securite et se differencier sur leurs marches.

FAQ

Le guide ANSSI a-t-il une valeur contraignante ?

Le guide de l’ANSSI n’a pas de valeur juridique contraignante en tant que tel. Il constitue un referentiel de bonnes pratiques. Toutefois, les mesures qu’il preconise sont largement reprises par les obligations legales existantes. L’article 32 du RGPD impose des mesures de securite appropriees, et la CNIL considere les recommandations de l’ANSSI comme un standard de reference pour evaluer le caractere “approprie” des mesures. En cas de controle ou de contentieux, l’absence de mise en oeuvre des mesures elementaires recommandees par l’ANSSI sera difficile a justifier.

Quel budget prevoir pour la mise en oeuvre des 13 mesures ?

Pour une TPE de moins de 10 salaries, le budget annuel se situe typiquement entre 2 000 et 5 000 euros, couvrant les licences antivirus, le gestionnaire de mots de passe, la solution de sauvegarde cloud et un accompagnement ponctuel. Pour une PME de 50 salaries, le budget se situe entre 10 000 et 30 000 euros, incluant un prestataire de services manages pour la supervision et la gestion des incidents. Ces montants sont a mettre en regard du cout moyen d’une cyberattaque pour une PME, estime par differentes etudes entre 50 000 et 500 000 euros.

Une TPE/PME peut-elle etre sanctionnee par la CNIL pour defaut de securite ?

Oui. La CNIL ne fait pas de distinction de taille en matiere d’obligation de securite. Les mesures exigees sont proportionnees au risque, mais le socle minimal s’applique a toutes les organisations. La CNIL a sanctionne des structures de petite taille pour des manquements elementaires, notamment l’absence de chiffrement, des mots de passe trop faibles ou le defaut de sauvegarde. La procedure simplifiee de sanction de la CNIL facilite le traitement des dossiers concernant des structures de petite taille.

Faut-il nommer un RSSI dans une TPE/PME ?

La nomination d’un RSSI n’est pas une obligation legale generale pour les TPE/PME, sauf dans certains secteurs reglementes. Toutefois, la designation d’un referent securite – meme a temps partiel ou externalise – est fortement recommandee. Ce referent pilote la mise en oeuvre des mesures de securite, assure la veille sur les menaces, et constitue le point de contact en cas d’incident. Pour les structures ne pouvant pas internaliser cette fonction, le recours a un prestataire de services de securite manages (MSSP) est une solution pertinente et accessible.