Infoforma
Astuces IT

Cybersécurité en TPE : les 7 réflexes minimum à mettre en place ce mois-ci

En TPE, on pense souvent qu'on est trop petit pour intéresser un cybercriminel. Faux. Les attaques ciblent les structures les moins protégées — et c'est vous. Voici 7 réflexes simples à activer ce mois-ci.

RL
Par Romain LE GOHLISSE
Technicien Infoforma en intervention de sécurité IT chez un client

« On est trop petit pour intéresser un cybercriminel. »

C’est ce que m’a dit, il y a 6 mois, un dirigeant de TPE bigoudenne. 12 salariés, comptable interne, un peu de stock, un site WooCommerce. Quelques semaines plus tard : ransomware, fichiers chiffrés, demande de rançon à 8 000 €. Pas de sauvegarde correcte. Trois semaines d’arrêt. L’entreprise a failli y rester.

La vérité que peu de gens disent : les attaques ciblent les structures les moins protégées, pas les plus juteuses. Une TPE bigoudenne en infrastructure 2015 est plus vulnérable qu’un grand groupe avec un SOC. Donc les attaques sont automatiques, massives, et atterrissent souvent chez vous.

Voici les 7 réflexes minimum à mettre en place ce mois-ci. Aucun n’est compliqué. Aucun n’est cher. Tous évitent 90% des attaques courantes.

1. Sauvegardes : la règle 3-2-1

3 copies des données. 2 supports différents. 1 copie hors site.

Concrètement pour une TPE :

  • 1 copie sur le serveur (l’original)
  • 1 copie sur un NAS local (synchro auto quotidienne)
  • 1 copie dans le cloud (Backblaze, Wasabi, OVH Object Storage — pas Google Drive ni Dropbox qui synchronisent les fichiers chiffrés en cas d’attaque)

Et on teste les restaurations tous les 3 mois. Une sauvegarde non testée = pas de sauvegarde.

→ Le guide complet pour mettre en place cette stratégie : La règle 3-2-1 expliquée à une TPE

2. Mots de passe : gestionnaire obligatoire

Stop aux Post-it. Stop aux fichiers Excel “MotDePasse.xlsx”. Stop au “même mot de passe partout”.

La solution : un gestionnaire de mots de passe. Bitwarden gratuit (ou KeePass pour les puristes) suffit pour démarrer. Pour les équipes : Bitwarden Business à 3 €/mois/user, ou 1Password.

Règles minimums :

  • Mots de passe différents pour chaque service
  • 16+ caractères, générés aléatoirement
  • Pas de mots du dictionnaire
  • Le gestionnaire stocke et auto-remplit

3. Authentification multi-facteur (MFA) partout où c’est possible

Tous les services pros critiques le proposent : email pro, banque, hébergeur, ERP, serveur, espace client. Activez-le. Partout. Même si c’est un peu pénible au début.

L’application : Google Authenticator ou Authy (gratuites). Le SMS marche aussi mais c’est moins sûr (SIM swap).

Avec MFA actif, même si votre mot de passe fuite, l’attaquant n’entre pas. Vous venez de bloquer 80% des compromissions de comptes.

4. Mises à jour : automatiques, pas optionnelles

Windows, macOS, Linux, Office, antivirus, navigateurs : tout doit être à jour.

Les ransomwares exploitent à 90% des failles connues pour lesquelles un patch existe depuis 6+ mois. Pas mettre à jour, c’est laisser la porte d’entrée grande ouverte.

Pour une TPE :

  • Windows Update activé en mode automatique
  • Reboot programmé hors horaires de bureau (samedi nuit)
  • Vérification mensuelle que tous les postes ont bien appliqué les patchs (Microsoft Endpoint Manager, ou check manuel via supervision)

5. Antivirus pro (pas la version gratuite)

Windows Defender de base est correct. Pour une TPE, ce n’est pas suffisant.

Investissez dans une solution pro : Bitdefender GravityZone, ESET, Sophos. Comptez 30 à 60 € par poste/an. C’est ridicule comparé au coût d’une intervention post-incident.

L’antivirus pro vous donne :

  • Une console centralisée pour tous les postes
  • Des alertes en temps réel (ce qui se passe sur le poste 12 ?)
  • Un mode “EDR” qui détecte les comportements anormaux, pas juste les signatures

6. Formation utilisateurs : la première barrière, c’est l’humain

60% des incidents commencent par un humain qui clique sur un mail piégé.

Pas besoin de formation longue. 1 heure tous les 6 mois suffit. Sujets à couvrir :

  • Reconnaître un mail de phishing (sender bizarre, urgence, faute d’orthographe, lien étrange)
  • Que faire si on a cliqué (ne pas taper son mot de passe, prévenir IT immédiatement)
  • Bonne hygiène : ne pas brancher de clé USB inconnue, ne pas installer n’importe quoi
  • Mots de passe : usage du gestionnaire, jamais de partage par email

Vos salariés ne sont pas idiots. Ils sont non-formés. Une heure deux fois par an et 80% des incidents disparaissent.

7. Plan de réaction : qui appelle qui en cas d’incident ?

Le jour J — votre serveur est chiffré, plus rien ne tourne, l’équipe panique.

Avez-vous un plan écrit ? Probablement non. Pourtant ça prend 30 minutes :

  • Qui constate l’incident → qui prévenir en premier ?
  • Quel numéro appelle-t-on ? (votre prestataire IT, sur 06 et pas par mail)
  • Qu’est-ce qu’on ne fait pas (genre payer la rançon, redémarrer en boucle) ?
  • À quel moment on prévient les autorités (CNIL si données personnelles compromises, gendarmerie pour plainte) ?
  • Qu’est-ce qu’on dit à nos clients ? (modèle de communication pré-rédigé)

Ce document tient sur une page A4. Affichez-le près de chaque poste critique. Le jour de l’incident, on ne réfléchit plus, on suit le plan.

Et la suite ?

Ces 7 réflexes représentent le socle minimum. Une TPE qui les a tous activés est déjà mieux protégée que 80% des PME françaises.

Si vous cherchez à déléguer la surveillance et la mise en place de ces réflexes, un contrat d’infogérance couvre la quasi-totalité de cette liste pour un coût mensuel prévisible.

Pour aller plus loin (segmentation réseau, monitoring SIEM, audit de pénétration, conformité ISO 27001), il faut un accompagnement spécialisé. Mais commencez par ce qui est gratuit ou peu cher.

Besoin d’un audit cybersécurité gratuit pour votre TPE ?

Contactez Infoforma — on passe sur site, on regarde l’existant, on vous remet un rapport clair avec les actions prioritaires. Gratuit, sans engagement.

Et si vous voulez un partenaire qui s’occupe de tout en continu, jetez un œil à notre offre Maintenance & Infogérance — la formule Essentielle inclut antivirus pro, sauvegardes vérifiées, supervision et formation utilisateurs.

Questions fréquentes sur la cybersécurité en TPE

Quel est le coût moyen d’une cyberattaque pour une TPE en France ?

Une attaque ransomware coûte en moyenne 8 000 à 50 000 EUR à une TPE française (rançon, arrêt d’activité, restauration des systèmes, communication de crise). Trois semaines d’arrêt peuvent suffire à mettre en péril une structure de moins de 15 salariés. Le coût de la protection préventive — antivirus pro, sauvegardes vérifiées, formation utilisateurs — est 10 à 100 fois inférieur au coût d’un incident. Les TPE sont ciblées précisément parce qu’elles sont moins protégées que les grandes entreprises.

Quel antivirus choisir pour une TPE en 2026 ?

Windows Defender seul est insuffisant pour une TPE. Les solutions recommandées pour 1 à 20 postes sont Bitdefender GravityZone (le plus complet), ESET Protect ou Sophos Intercept X. Comptez 30 à 60 EUR par poste et par an. Ces solutions pro offrent une console d’administration centralisée, des alertes en temps réel sur chaque poste, et un mode EDR (Endpoint Detection and Response) qui détecte les comportements anormaux — pas seulement les virus connus.

Comment mettre en place la règle de sauvegarde 3-2-1 en TPE ?

La règle 3-2-1 signifie : 3 copies des données, sur 2 supports différents, dont 1 copie hors site. En pratique pour une TPE : les données originales sur le serveur, une copie sur un NAS local (synchronisation automatique quotidienne), et une copie dans le cloud — Backblaze B2 ou OVH Object Storage, pas Google Drive qui synchronise aussi les fichiers chiffrés en cas de ransomware. Testez impérativement la restauration tous les 3 mois : une sauvegarde non testée n’est pas une sauvegarde.

La formation cybersécurité est-elle obligatoire pour les salariés d’une TPE ?

Elle n’est pas obligatoire légalement, mais 60% des incidents de sécurité commencent par un utilisateur qui clique sur un mail piégé. Une heure de sensibilisation tous les 6 mois réduit ce risque de 80%. Les sujets à couvrir : reconnaître un mail de phishing, réaction en cas de clic suspect, gestion des mots de passe et du gestionnaire, règle sur les clés USB inconnues. Infoforma intègre ces sessions dans ses contrats de maintenance IT.

Tags #cybersecurite #tpe #sauvegarde #rgpd

Premier contact gratuit

On en discute autour d'un café ?

Le bourg, le téléphone ou WhatsApp : choisissez votre canal, on s'adapte. Premier échange toujours gratuit, sans engagement, et sans powerpoint inutile.

contact@infoforma.fr Plomeur, Pays Bigouden