Cybersecurite TPE
10 mesures essentielles ANSSI/Cybermalveillance pour une TPE
Les recommandations officielles de cybersecurite peuvent sembler loin du quotidien d'une TPE. Pourtant, les premieres mesures sont souvent tres concretes : m...
Les recommandations officielles de cybersecurite peuvent sembler loin du quotidien d'une TPE. Pourtant, les premieres mesures sont souvent tres concretes : mots de passe, sauvegardes, mises a jour, vigilance face aux messages inattendus, separation des usages.
Ce guide reformule les mesures de base en plan d'action TPE. Il ne remplace pas un audit, mais il aide a passer d'une liste de principes a une routine operationnelle.
La version courte
Les 10 chantiers a verifier :
- acces et mots de passe ;
- MFA ;
- sauvegardes ;
- mises a jour ;
- antivirus ou protection endpoint ;
- applications officielles ;
- vigilance phishing ;
- separation perso/pro ;
- droits d'acces ;
- procedure incident.
L'objectif n'est pas de tout terminer en une fois. L'objectif est de reduire les risques les plus simples a exploiter.
1. Proteger les acces
Un mot de passe reutilise sur plusieurs services cree un effet domino. Si un service fuite, les autres comptes peuvent etre testes avec la meme combinaison.
Pour une TPE :
- un compte par personne lorsque l'outil le permet ;
- mots de passe uniques ;
- gestionnaire de mots de passe ;
- suppression des acces inutiles ;
- revue des comptes tous les trimestres.
2. Activer la MFA
La MFA est prioritaire sur la messagerie, le stockage cloud, la facturation, la banque, le nom de domaine, l'hebergement et les comptes administrateurs.
Ne commence pas par les outils secondaires. Commence par les comptes qui peuvent bloquer l'activite.
3. Sauvegarder regulierement
Une sauvegarde utile est une sauvegarde testee. Note ce qui est sauvegarde, la frequence, l'emplacement et la date du dernier test de restauration.
Exemple minimal :
Dossiers clients : sauvegarde quotidienne cloud + copie mensuelle hors ligne.
Factures : export mensuel + sauvegarde outil.
Dernier test de restauration : date, fichier restaure, resultat.4. Appliquer les mises a jour
Les mises a jour corrigent souvent des failles connues. En TPE, la regle doit etre simple : mises a jour automatiques quand c'est possible, telechargements depuis les sources officielles, et verification reguliere des appareils utilises au travail.
5. Utiliser une protection adaptee
Cybermalveillance.gouv.fr cite l'antivirus parmi les mesures de base. Selon ton parc, cela peut prendre la forme d'une protection endpoint, de protections integrees au systeme, ou d'une solution geree par un prestataire.
Le point important : les protections doivent etre actives et mises a jour.
6. Installer les applications depuis les sources officielles
Un logiciel telecharge depuis un site douteux peut introduire un risque inutile. Pour une TPE, ecris une regle simple :
Les applications professionnelles sont installees depuis le site officiel
de l'editeur ou depuis les magasins officiels.7. Traiter les messages inattendus
Le phishing reste une porte d'entree classique. Les messages qui demandent une action rapide, un paiement, un changement d'IBAN ou une connexion urgente doivent etre verifies par un autre canal.
Exemple de procedure :
- ne pas cliquer dans la precipitation ;
- verifier l'adresse et le contexte ;
- contacter l'expediteur par un canal connu ;
- signaler le message au responsable interne ;
- conserver la trace si un incident est suspecte.
8. Separer les usages personnels et professionnels
La separation limite les melanges : fichiers clients sur ordinateur familial, compte personnel utilise pour administrer un outil pro, documents internes dans un drive prive.
Priorite :
- messagerie professionnelle ;
- stockage professionnel ;
- comptes administrateurs avec email pro ;
- appareils verrouilles.
9. Limiter les droits d'acces
Tout le monde n'a pas besoin d'etre administrateur. Le principe est simple : donner le niveau d'acces necessaire, pas le niveau maximal par defaut.
Une fois par trimestre, verifie :
- comptes actifs ;
- anciens prestataires ;
- droits admin ;
- comptes partages ;
- acces aux donnees clients.
10. Prevoir une reaction incident
Une fiche d'une page suffit :
1. Qui prevenir ?
2. Quel appareil ou compte est concerne ?
3. Faut-il isoler l'appareil ?
4. Quels mots de passe changer ?
5. Quelles sauvegardes verifier ?
6. Quel client ou prestataire informer si necessaire ?Cette fiche evite de decider dans la panique.
Routine 30 minutes
Chaque mois :
- verifier les sauvegardes ;
- controler les comptes actifs ;
- confirmer MFA sur les comptes critiques ;
- regarder les mises a jour en retard ;
- noter les incidents ou presque-incidents ;
- choisir une amelioration pour le mois suivant.
Sources
- Cybermalveillance.gouv.fr - Les 10 mesures essentielles pour assurer votre cybersecurite
- ANSSI - Guide TPE/PME
- CNIL - Securite : authentifier les utilisateurs
Documentation operationnelle. Ne constitue pas un audit cyber ni un conseil personnalise. Sources officielles ANSSI/Cybermalveillance/CNIL citees.