Une petite entreprise n'a pas besoin d'une cybersécurité spectaculaire pour réduire fortement son risque. Elle a besoin d'une base solide, vérifiée dans le bon ordre. La plupart des incidents qui touchent les TPE et PME ne commencent pas par une attaque très sophistiquée. Ils commencent par un compte trop faible, un service oublié, une sauvegarde jamais testée, une ancienne interface d'administration encore accessible, ou une mauvaise habitude qui dure depuis des années parce que personne n'a eu le temps de la remettre à plat.
Cette checklist sert à faire le tri. Elle ne remplace pas un audit complet, mais elle donne une lecture claire des priorités. L'idée n'est pas de cocher cent cases pour se rassurer artificiellement. L'idée est de repérer les points qui peuvent vraiment bloquer l'activité, exposer des clients, empêcher une reprise ou donner le contrôle à quelqu'un qui ne devrait pas l'avoir. Pour une entreprise sans équipe informatique interne, c'est souvent cette hiérarchie qui manque le plus.
1. Identifier ce qui fait vivre l'entreprise
Avant de parler d'outils, il faut savoir ce qui doit absolument continuer à fonctionner. Pour une boutique en ligne, ce sera le site, les paiements, les commandes et les emails clients. Pour un cabinet, ce sera l'accès aux dossiers, aux agendas, à la facturation et aux documents partagés. Pour une société de services, ce sera souvent les emails, les comptes cloud, les mots de passe partagés et les fichiers de travail. Cette étape paraît simple, mais elle évite de protéger les mauvais sujets.
Un bon réflexe consiste à écrire trois listes : ce qui génère du chiffre d'affaires, ce qui contient des données sensibles, et ce qui permet d'administrer le reste. Si un compte permet d'accéder à la facturation, aux fichiers clients ou au site public, il doit être traité comme critique. Si un outil est utilisé tous les jours mais que personne ne sait vraiment qui en est administrateur, c'est déjà un signal de risque. La sécurité commence par cette cartographie pragmatique.
2. Sécuriser les comptes qui ont du pouvoir
Les comptes administrateurs sont souvent le point le plus dangereux. Un compte email principal peut permettre de réinitialiser des mots de passe. Un compte d'hébergement peut permettre de modifier le site. Un compte cloud peut donner accès aux documents internes. Un compte bancaire ou de paiement peut avoir un impact direct sur l'activité. La première priorité est donc de savoir qui possède ces comptes, qui les utilise, et comment ils sont protégés.
L'authentification à deux facteurs doit être activée sur les comptes importants. Pas seulement sur le compte du dirigeant, mais aussi sur l'hébergement, le domaine, la messagerie, les outils de paiement, le gestionnaire de mots de passe, le stockage cloud et les comptes publicitaires si l'entreprise en dépend. Le mot de passe seul n'est plus une protection suffisante. Il peut être réutilisé, deviné, volé dans une fuite ou récupéré par phishing.
3. Supprimer les accès oubliés
Beaucoup d'entreprises accumulent des accès au fil du temps. Un ancien prestataire garde un compte. Un salarié parti reste dans un outil. Une adresse générique sert encore d'administrateur. Un accès temporaire n'a jamais été retiré. Ces situations sont fréquentes, et elles ne sont pas toujours visibles au quotidien. Pourtant, un accès oublié peut devenir une porte d'entrée silencieuse.
La vérification doit être très concrète : lister les utilisateurs dans les outils importants, supprimer les comptes inutiles, réduire les droits trop larges, et vérifier les comptes qui peuvent inviter d'autres personnes. Il ne s'agit pas de faire de la bureaucratie. Il s'agit d'éviter qu'une personne ou une adresse qui ne fait plus partie de l'entreprise garde un pouvoir sur le site, les données ou les paiements.
4. Tester les sauvegardes, pas seulement les créer
Avoir une sauvegarde ne suffit pas. Ce qui compte, c'est de pouvoir restaurer. Beaucoup d'entreprises découvrent trop tard que la sauvegarde ne contient pas les bons fichiers, qu'elle est synchronisée avec les fichiers chiffrés, qu'elle dépend du même compte compromis, ou qu'aucune personne ne sait comment la remettre en place. Une sauvegarde non testée donne une impression de sécurité, mais elle ne garantit pas la reprise.
Une bonne vérification consiste à choisir quelques fichiers importants, à les restaurer dans un espace de test, puis à noter clairement comment refaire l'opération. Pour les outils critiques, il faut aussi savoir combien de temps la restauration prendrait. Une entreprise peut tolérer quelques heures d'arrêt, mais pas forcément plusieurs jours. La sauvegarde doit donc être pensée comme une capacité de reprise, pas comme une simple copie automatique.
5. Vérifier ce qui est visible depuis Internet
Un dirigeant n'a pas besoin de connaître tous les détails techniques pour comprendre ce point : tout ce qui est visible depuis Internet peut être testé par des inconnus. Cela peut être le site, un panneau d'administration, une ancienne application, une interface de stockage, un serveur, un service de test ou un sous-domaine oublié. Le danger n'est pas seulement qu'un service existe. Le danger est qu'il soit accessible alors qu'il ne devrait pas l'être.
La vérification doit couvrir le domaine principal, les sous-domaines connus, les anciennes adresses, les redirections, les interfaces d'administration et les services liés à l'hébergement. Il faut aussi regarder si des pages sensibles sont protégées correctement : espace client, administration, fichiers de configuration, sauvegardes exportées, documentation interne ou endpoints d'API. L'objectif n'est pas de cacher l'entreprise, mais de réduire ce qui est inutilement exposé.
6. Protéger le site et les paiements
Pour une TPE ou une PME qui vend en ligne, le site est souvent plus qu'une vitrine. Il porte les demandes, les devis, les réservations, les commandes ou les paiements. Une faille sur le site peut bloquer le chiffre d'affaires, nuire à la confiance ou exposer des informations clients. Les points à vérifier sont simples : mises à jour, plugins, formulaires, comptes administrateurs, accès à l'hébergement, configuration du paiement et sauvegarde du site.
Il faut également regarder ce qui se passe autour du site. Le nom de domaine est-il protégé ? Le compte du registrar a-t-il une double authentification ? Les emails du domaine sont-ils correctement configurés ? Les redirections sont-elles maîtrisées ? Un site peut être bien construit, mais rester fragile si le compte qui le contrôle est mal protégé. La chaîne complète doit être regardée.
7. Réduire le risque email
L'email reste une porte d'entrée très courante. Les attaques ne cherchent pas toujours à casser un serveur. Elles cherchent parfois à convaincre quelqu'un de cliquer, de payer, de donner un mot de passe ou d'envoyer un document. Pour une entreprise, il faut donc protéger les boîtes importantes, activer la double authentification, limiter les transferts automatiques suspects et vérifier que les anciens comptes n'existent plus.
La configuration du domaine email compte aussi. Des réglages comme SPF, DKIM et DMARC permettent de limiter l'usurpation du domaine. Le dirigeant n'a pas besoin de les retenir par coeur, mais il doit savoir si son domaine peut être utilisé facilement pour envoyer de faux emails en son nom. Une vérification courte permet de repérer ces faiblesses et de les corriger sans transformer le sujet en projet technique interminable.
8. Mettre à jour ce qui expose vraiment l'entreprise
Les mises à jour sont importantes, mais elles doivent être priorisées. Mettre à jour un poste isolé n'a pas le même impact que corriger une application publique, un plugin de paiement, un serveur exposé ou une interface administrateur. L'entreprise doit surtout éviter les versions anciennes sur les composants visibles depuis Internet et sur les outils qui manipulent des données sensibles.
Un bon fonctionnement consiste à tenir une petite liste des outils critiques : site, hébergement, messagerie, stockage, facturation, paiement, outils métiers. Pour chacun, il faut savoir qui met à jour, à quelle fréquence, et comment revenir en arrière si une mise à jour casse quelque chose. Cette discipline simple évite les situations où personne n'ose toucher à un outil devenu fragile.
9. Éviter les mots de passe partagés n'importe comment
Dans beaucoup de petites structures, les mots de passe circulent par email, messagerie ou document partagé. C'est compréhensible au début, mais cela devient dangereux dès que l'entreprise grandit ou manipule des données clients. Un gestionnaire de mots de passe permet de partager les accès sans les exposer partout, de retirer un accès à une personne, et de repérer les mots de passe faibles ou réutilisés.
Le plus important est de séparer les accès personnels et les accès d'entreprise. Un compte critique ne devrait pas dépendre d'une boîte personnelle ou d'un téléphone perdu. Les accès doivent pouvoir être transmis proprement si un prestataire change, si un collaborateur part ou si le dirigeant n'est pas disponible. C'est un sujet d'organisation autant qu'un sujet de sécurité.
10. Garder une trace des décisions
Une checklist utile doit produire une décision. Ce qui est urgent doit être traité vite. Ce qui est important doit être planifié. Ce qui est acceptable doit être assumé. Sans cette trace, l'entreprise revient vite à son fonctionnement habituel et les mêmes faiblesses restent ouvertes. Un tableau simple suffit : sujet, risque, action, responsable, délai, état.
Ce suivi doit rester léger. L'objectif n'est pas de créer un service informatique complet. L'objectif est de ne pas oublier les points critiques et de pouvoir vérifier ce qui a été corrigé. Pour une TPE ou une PME, une page claire vaut souvent mieux qu'un rapport très long que personne ne relit.
Quand demander un audit externe ?
Un audit devient utile quand l'entreprise ne sait plus exactement ce qui est exposé, quand elle dépend fortement de son site, quand elle manipule des données clients, quand plusieurs prestataires ont eu des accès, ou quand elle veut corriger avant un incident. Le regard externe aide à voir ce qui est devenu invisible par habitude. Il aide aussi à prioriser sans dramatiser.
Le bon résultat n'est pas une liste de failles impressionnante. Le bon résultat est une liste courte de décisions : quoi fermer maintenant, quoi renforcer ensuite, quoi surveiller, et quoi accepter temporairement. Une cybersécurité utile pour TPE et PME doit rester lisible, actionnable et proportionnée au risque réel.
Ressources utiles et prochaines lectures
Cette checklist aide à faire un premier tri. Si vous découvrez un incident, une fuite possible ou un compte compromis, appuyez-vous aussi sur les ressources officielles et gardez une trace des décisions.
- 17CyberGuichet officiel pour être orienté en cas d'attaque, d'arnaque ou de suspicion cyber.
- Cybermalveillance.gouv.frFiches réflexes, aide aux victimes et ressources de prévention pour particuliers, collectivités et entreprises.
- Guide d'hygiène informatique de l'ANSSIRéférence solide pour structurer les bases : comptes, mises à jour, sauvegardes, administration et journalisation.
- Plainte en lignePoint d'entrée officiel pour préparer ou déposer une plainte selon la situation rencontrée.
- Notifier une violation à la CNILÀ regarder si des données personnelles de clients, salariés ou partenaires peuvent être concernées.
- Entreprise rançonnée : que faire ?Le guide à lire si la question n'est plus la prévention mais les premières décisions après incident.