par
AccueilBlogGuide pratique
Guide pratique 24 février 2026 · 7 min de lecture

Checklist cybersécurité PME : 15 points à vérifier dès aujourd’hui

La majorité des cyberattaques qui frappent les PME exploitent des failles basiques. Cette checklist en 15 points vous permet d’évaluer votre niveau de protection et d’identifier les priorités — sans compétences techniques avancées.

Pourquoi une checklist — et comment l’utiliser

La cybersécurité d’une PME ne s’improvise pas, mais elle n’est pas non plus une discipline réservée aux DSI de grandes entreprises. La grande majorité des cyberattaques qui frappent les PME françaises exploitent des failles basiques — des problèmes qu’une checklist de 15 points peut aider à identifier et corriger.

Cette liste est conçue pour un dirigeant de PME non-technicien. Chaque point est actionnable sans compétence informatique avancée. Certains prennent 5 minutes, d’autres nécessitent l’aide de votre prestataire informatique — c’est indiqué.

Gestion des accès (5 points)

  • Double authentification activée sur tous les comptes professionnels critiques — messagerie, outils cloud, logiciels de gestion, accès VPN. C’est la mesure la plus efficace par rapport au temps investi. À faire maintenant, sans prestataire.
  • Politique de mots de passe formalisée — mots de passe uniques de 12 caractères minimum par compte, changement obligatoire en cas de départ d’un salarié. Un gestionnaire de mots de passe (Bitwarden, 1Password) simplifie la gestion.
  • Inventaire des accès actifs — liste à jour de qui a accès à quoi. Les anciens employés, prestataires et stagiaires sont-ils tous bien révoqués ? Un accès oublié est une porte ouverte.
  • Principe du moindre privilège — chaque collaborateur n’a accès qu’aux données nécessaires à son travail. La comptable n’a pas besoin d’accès aux fichiers R&D.
  • Accès prestataires limités et tracés — votre prestataire informatique a-t-il un accès permanent à distance ? Cet accès doit être documenté, limité dans le temps et révocable.

Sauvegardes et continuité (3 points)

  • Règle 3-2-1 appliquée — 3 copies des données importantes, sur 2 supports différents, dont 1 hors site (cloud ou disque physique déconnecté). Une sauvegarde connectée en permanence au réseau sera chiffrée en même temps que vos données lors d’un ransomware.
  • Sauvegardes testées régulièrement — une sauvegarde non testée n’est pas une sauvegarde. Faites un test de restauration au moins une fois par trimestre.
  • Plan de continuité d’activité documenté — si votre serveur tombe demain matin, qui appelle-t-on ? Dans quel ordre ? Où sont les mots de passe de récupération ? Ce document doit exister et être accessible hors du système informatique.

Mises à jour et logiciels (3 points)

  • Mises à jour automatiques activées — systèmes d’exploitation, navigateurs, antivirus et logiciels professionnels. La majorité des ransomwares exploitent des failles connues pour lesquelles des mises à jour existaient. Ne pas mettre à jour, c’est laisser la porte ouverte.
  • Logiciels non supportés identifiés et remplacés — Windows 10 est en fin de support en octobre 2025. XP, Office 2010, des versions anciennes de logiciels métier — ces logiciels ne reçoivent plus de correctifs de sécurité.
  • Antivirus/EDR actif sur tous les postes — y compris les ordinateurs portables des collaborateurs en télétravail. La protection doit couvrir tous les équipements qui accèdent aux données de l’entreprise.

Le facteur humain (4 points)

  • Formation phishing au moins annuelle pour tous — pas juste une sensibilisation lors de l’onboarding. Une simulation de phishing test (envoi d’un faux email de phishing à vos équipes) est l’outil le plus efficace pour mesurer et améliorer la vigilance.
  • Procédure de virement formalisée et connue — tout virement au-delà d’un seuil défini nécessite une validation par un second canal. Cette procédure ne doit jamais être contournée « en urgence » — l’urgence est précisément le signal d’une fraude.
  • Numéro d’urgence cyber affiché — cybermalveillance.gouv.fr (0 800 200 064, gratuit) et le numéro de votre assureur cyber si vous en avez un. En cas d’incident, perdre du temps à chercher qui appeler coûte cher.
  • Politique BYOD définie — les employés utilisent-ils leurs appareils personnels pour accéder aux données de l’entreprise ? Si oui, une politique claire doit encadrer cette pratique (chiffrement, accès VPN, applications autorisées).
✓ Score de maturité rapide

Comptez vos réponses « oui » : 12-15 points — bonne maturité, concentrez-vous sur les points manquants. 8-11 points — niveau moyen, priorisez les accès et les sauvegardes. Moins de 8 points — vulnérabilité significative, commencez par la double authentification et les sauvegardes hors réseau.

Et l’assurance cyber dans tout ça ?

Cette checklist améliore votre sécurité opérationnelle. L’assurance cyber couvre les conséquences financières quand la sécurité a été contournée malgré vos précautions — parce qu’aucune sécurité n’est parfaite. Les deux sont complémentaires, pas substituables.

Bonne nouvelle : les réponses à cette checklist améliorent également votre dossier de souscription. Les assureurs cyber valorisent les entreprises qui peuvent justifier de mesures de sécurité documentées — prime réduite de 15 à 30% dans certains cas.

À lire aussi
ActualitéPhishing 2026 : les nouvelles techniquesGuide pratiqueMettre en place la double authentificationAssuranceChoisir son assurance cyber PMEGuide6 cyberattaques les plus fréquentes

Vérifiez aussi votre couverture assurantielle

La sécurité opérationnelle et l’assurance cyber sont complémentaires. Comprenez ce que couvre votre contrat.

Guide assurance cyber →

Laisser un commentaire