Cybersécurité Publié le 27 avril 2026 · 9 min de lecture

Checklist cybersécurité PME : 12 mesures essentielles

La cybersécurité d'une PME ne se construit pas avec un produit miracle, mais avec une combinaison de bonnes pratiques. Voici la checklist pragmatique qu'on déploie chez nos clients réunionnais, par ordre de priorité.

Le constat 2026

Selon les rapports de l'ANSSI et des principaux assureurs cyber, le coût moyen d'une attaque réussie sur une PME se situe entre 50 000 et 200 000 € (rançon, perte d'activité, remédiation, notification CNIL). La grande majorité de ces attaques sont évitables avec une cybersécurité de base — c'est tout l'intérêt de cette checklist.

1

Sauvegarde immuable hors site (3-2-1)

CRITIQUE

Trois copies de vos données, sur deux supports différents, dont une externalisée. Avec snapshots immuables (ne peuvent pas être chiffrés par un ransomware). C'est votre dernière ligne de défense quand tout le reste a échoué.

2

MFA sur tous les comptes critiques

CRITIQUE

Authentification à deux facteurs sur Microsoft 365, Google Workspace, banque en ligne, ERP, accès distants. Bloque 99% des compromissions de mot de passe. Aujourd'hui, ne pas avoir le MFA est une faute professionnelle.

3

EDR sur tous les postes et serveurs

CRITIQUE

Endpoint Detection and Response : la version moderne de l'antivirus. Détecte les comportements suspects, bloque les ransomwares, et permet l'investigation après incident. Indispensable.

4

Mises à jour automatiques (OS et logiciels)

ÉLEVÉE

70% des attaques exploitent des failles connues mais non corrigées. Activer les mises à jour automatiques Windows, macOS, applications. Gratuit, mais nécessite une supervision pour les serveurs.

5

Formation anti-phishing avec simulations

ÉLEVÉE

90% des cyberattaques commencent par un email de phishing. Une formation théorique annuelle ne suffit pas. Il faut des simulations régulières (1-2 fois par mois) pour entraîner les réflexes des collaborateurs.

6

Mots de passe gérés par un coffre-fort

ÉLEVÉE

Bitwarden, 1Password, KeePass : un mot de passe unique et fort par service, mémorisé par le coffre, déchiffré uniquement par l'utilisateur. Bannir les mots de passe partagés ou notés sur un post-it.

7

Segmentation du réseau

ÉLEVÉE

Séparer les réseaux : staff, invités, IoT, paiements. Si un poste invité est compromis, il ne peut pas atteindre les serveurs métier. Indispensable pour les commerces (PCI DSS) et les structures avec WiFi grand public.

8

Audit annuel de cybersécurité

MOYENNE

Une fois par an, un regard externe sur votre posture. Identifie les angles morts, vérifie les bonnes pratiques, recommande les évolutions. Tarif sur devis selon la taille et la complexité du périmètre.

9

Plan de réponse à incident documenté

MOYENNE

Que faire si un ransomware frappe ? Qui appeler ? Quelles étapes ? Si vous l'écrivez après l'incident, c'est trop tard. Un PRI tient sur 2 pages, doit être à jour, et testé annuellement.

10

Inventaire et gestion des accès

MOYENNE

Qui a accès à quoi ? Vérifier régulièrement les comptes utilisateurs (départs non bloqués), les comptes services, les accès externes. Désactiver tout ce qui n'est plus utilisé.

11

Cyberassurance

MOYENNE

Couverture financière en cas d'incident : remédiation, perte d'exploitation, parfois la rançon. Devenue quasi-obligatoire au-delà de 10 salariés. Mais l'assureur exige un niveau de sécurité minimum.

12

Surveillance externalisée (SOC)

MOYENNE

Pour les structures plus grandes ou critiques : un Security Operations Center surveille votre SI 24/7 et réagit aux alertes. Coût élevé mais transformateur. Pour les PME, on déploie une supervision plus légère mais déjà efficace.

L'ordre d'implémentation conseillé

Si vous partez de zéro, voici comment on procède chez nos clients :

  1. Mois 1 : Audit, sauvegardes immuables, MFA, EDR (les 3 critiques).
  2. Mois 2-3 : Mises à jour automatiques, formation phishing, gestionnaire de mots de passe.
  3. Mois 4-6 : Segmentation réseau, plan de réponse à incident, gestion des accès.
  4. Mois 7+ : Audit annuel, cyberassurance, surveillance avancée selon besoin.

Questions fréquentes

Combien coûte la cybersécurité de base pour une PME ?
Le coût des essentiels cybersécurité (EDR, MFA, sauvegarde immuable, supervision) dépend du nombre de postes, des outils choisis et du niveau de pilotage souhaité. Quoi qu'il en soit, c'est sans commune mesure avec le coût d'une attaque réussie : selon les rapports de l'ANSSI et des assureurs cyber, un ransomware sur une PME se chiffre généralement en dizaines à centaines de milliers d'euros (rançon, perte d'activité, remédiation, notifications).
Par où commencer si on n'a rien fait jusqu'à présent ?
Trois priorités absolues : 1) Sauvegardes immuables hors site (anti-ransomware). 2) MFA sur toutes les boîtes mails et accès critiques. 3) EDR sur tous les postes. Avec ces trois mesures, vous bloquez 80% des attaques. Le reste se construit ensuite.
Faut-il une cyberassurance pour une PME ?
Oui, c'est devenu un standard pour toute PME au-delà de 10 salariés. La cyberassurance couvre les frais de remédiation, la perte d'exploitation, et parfois la rançon. Mais attention : les assureurs exigent désormais un niveau de cybersécurité minimum (MFA, EDR, sauvegardes testées) pour vous couvrir. Sans ces éléments, votre contrat peut être nul.

Auditer votre cybersécurité actuelle ?

On compare votre situation à cette checklist. Audit gratuit, recommandations chiffrées.