Infoforma
Astuces IT

Cybersécurité en TPE : les 7 réflexes minimum à mettre en place ce mois-ci

En TPE, on pense souvent qu'on est trop petit pour intéresser un cybercriminel. Faux. Les attaques ciblent les structures les moins protégées — et c'est vous. Voici 7 réflexes simples à activer ce mois-ci.

RL
Par Romain LE GOHLISSE
Technicien Infoforma en intervention de sécurité IT chez un client

« On est trop petit pour intéresser un cybercriminel. »

C’est ce que m’a dit, il y a 6 mois, un dirigeant de TPE bigoudenne. 12 salariés, comptable interne, un peu de stock, un site WooCommerce. Quelques semaines plus tard : ransomware, fichiers chiffrés, demande de rançon à 8 000 €. Pas de sauvegarde correcte. Trois semaines d’arrêt. L’entreprise a failli y rester.

La vérité que peu de gens disent : les attaques ciblent les structures les moins protégées, pas les plus juteuses. Une TPE bigoudenne en infrastructure 2015 est plus vulnérable qu’un grand groupe avec un SOC. Donc les attaques sont automatiques, massives, et atterrissent souvent chez vous.

Voici les 7 réflexes minimum à mettre en place ce mois-ci. Aucun n’est compliqué. Aucun n’est cher. Tous évitent 90% des attaques courantes.

1. Sauvegardes : la règle 3-2-1

3 copies des données. 2 supports différents. 1 copie hors site.

Concrètement pour une TPE :

  • 1 copie sur le serveur (l’original)
  • 1 copie sur un NAS local (synchro auto quotidienne)
  • 1 copie dans le cloud (Backblaze, Wasabi, OVH Object Storage — pas Google Drive ni Dropbox qui synchronisent les fichiers chiffrés en cas d’attaque)

Et on teste les restaurations tous les 3 mois. Une sauvegarde non testée = pas de sauvegarde.

2. Mots de passe : gestionnaire obligatoire

Stop aux Post-it. Stop aux fichiers Excel “MotDePasse.xlsx”. Stop au “même mot de passe partout”.

La solution : un gestionnaire de mots de passe. Bitwarden gratuit (ou KeePass pour les puristes) suffit pour démarrer. Pour les équipes : Bitwarden Business à 3 €/mois/user, ou 1Password.

Règles minimums :

  • Mots de passe différents pour chaque service
  • 16+ caractères, générés aléatoirement
  • Pas de mots du dictionnaire
  • Le gestionnaire stocke et auto-remplit

3. Authentification multi-facteur (MFA) partout où c’est possible

Tous les services pros critiques le proposent : email pro, banque, hébergeur, ERP, serveur, espace client. Activez-le. Partout. Même si c’est un peu pénible au début.

L’application : Google Authenticator ou Authy (gratuites). Le SMS marche aussi mais c’est moins sûr (SIM swap).

Avec MFA actif, même si votre mot de passe fuite, l’attaquant n’entre pas. Vous venez de bloquer 80% des compromissions de comptes.

4. Mises à jour : automatiques, pas optionnelles

Windows, macOS, Linux, Office, antivirus, navigateurs : tout doit être à jour.

Les ransomwares exploitent à 90% des failles connues pour lesquelles un patch existe depuis 6+ mois. Pas mettre à jour, c’est laisser la porte d’entrée grande ouverte.

Pour une TPE :

  • Windows Update activé en mode automatique
  • Reboot programmé hors horaires de bureau (samedi nuit)
  • Vérification mensuelle que tous les postes ont bien appliqué les patchs (Microsoft Endpoint Manager, ou check manuel via supervision)

5. Antivirus pro (pas la version gratuite)

Windows Defender de base est correct. Pour une TPE, ce n’est pas suffisant.

Investissez dans une solution pro : Bitdefender GravityZone, ESET, Sophos. Comptez 30 à 60 € par poste/an. C’est ridicule comparé au coût d’une intervention post-incident.

L’antivirus pro vous donne :

  • Une console centralisée pour tous les postes
  • Des alertes en temps réel (ce qui se passe sur le poste 12 ?)
  • Un mode “EDR” qui détecte les comportements anormaux, pas juste les signatures

6. Formation utilisateurs : la première barrière, c’est l’humain

60% des incidents commencent par un humain qui clique sur un mail piégé.

Pas besoin de formation longue. 1 heure tous les 6 mois suffit. Sujets à couvrir :

  • Reconnaître un mail de phishing (sender bizarre, urgence, faute d’orthographe, lien étrange)
  • Que faire si on a cliqué (ne pas taper son mot de passe, prévenir IT immédiatement)
  • Bonne hygiène : ne pas brancher de clé USB inconnue, ne pas installer n’importe quoi
  • Mots de passe : usage du gestionnaire, jamais de partage par email

Vos salariés ne sont pas idiots. Ils sont non-formés. Une heure deux fois par an et 80% des incidents disparaissent.

7. Plan de réaction : qui appelle qui en cas d’incident ?

Le jour J — votre serveur est chiffré, plus rien ne tourne, l’équipe panique.

Avez-vous un plan écrit ? Probablement non. Pourtant ça prend 30 minutes :

  • Qui constate l’incident → qui prévenir en premier ?
  • Quel numéro appelle-t-on ? (votre prestataire IT, sur 06 et pas par mail)
  • Qu’est-ce qu’on ne fait pas (genre payer la rançon, redémarrer en boucle) ?
  • À quel moment on prévient les autorités (CNIL si données personnelles compromises, gendarmerie pour plainte) ?
  • Qu’est-ce qu’on dit à nos clients ? (modèle de communication pré-rédigé)

Ce document tient sur une page A4. Affichez-le près de chaque poste critique. Le jour de l’incident, on ne réfléchit plus, on suit le plan.

Et la suite ?

Ces 7 réflexes représentent le socle minimum. Une TPE qui les a tous activés est déjà mieux protégée que 80% des PME françaises.

Pour aller plus loin (segmentation réseau, monitoring SIEM, audit de pénétration, conformité ISO 27001), il faut un accompagnement spécialisé. Mais commencez par ce qui est gratuit ou peu cher.

Besoin d’un audit cybersécurité gratuit pour votre TPE ?

Contactez Infoforma — on passe sur site, on regarde l’existant, on vous remet un rapport clair avec les actions prioritaires. Gratuit, sans engagement.

Et si vous voulez un partenaire qui s’occupe de tout en continu, jetez un œil à notre offre Maintenance & Infogérance — la formule Essentielle inclut antivirus pro, sauvegardes vérifiées, supervision et formation utilisateurs.

Tags #cybersecurite #tpe #sauvegarde #rgpd
Partager : LinkedIn Email

À lire ensuite

Continuez la lecture.

Tableau de bord d'un ERP Dolibarr déployé chez un client Infoforma
Astuces IT

Comment choisir son ERP en TPE/PME en 2026 ?

Choisir un ERP en TPE/PME, ce n'est pas une décision IT. C'est un choix business qui engage 5 ans de votre activité. Voilà la méthode qu'on conseille à tous nos clients pour ne pas se planter.

Visualisation de rendez-vous Dolibarr et Google Calendar côte à côte
Astuces IT

Synchroniser Dolibarr et Google Calendar : ce qui marche, ce qui ne marche pas

La majorité des TPE/PME utilise Dolibarr pour la gestion ET Google Workspace pour la collaboration. Beaucoup saisissent leurs rendez-vous deux fois. Tour d'horizon honnête des solutions disponibles, avec leurs limites.

Salle serveur d'une TPE bigoudenne sécurisée par Infoforma
Astuces IT

La règle 3-2-1 expliquée à une TPE qui n'aime pas l'informatique

Une sauvegarde, ça paraît simple. Pourtant 7 TPE sur 10 perdent des données chaque année par manque de méthode. La règle 3-2-1 règle le problème en 30 minutes de paramétrage.

Premier contact gratuit

On en discute autour d'un café ?

Le bourg, le téléphone ou WhatsApp : choisissez votre canal, on s'adapte. Premier échange toujours gratuit, sans engagement, et sans powerpoint inutile.

Demander un devis Échanger sur WhatsApp
contact@infoforma.fr Plomeur, Pays Bigouden