Cybersecurite TPE
Politique de securite TPE : template simple pour petite equipe
Une politique de securite n a pas besoin de faire trente pages pour etre utile. Dans une TPE, elle doit surtout clarifier les regles de base : qui a acces a quoi, comment proteger les comptes, que faire avec les appareils, comment sauvegarder, et comment signaler un incident. Le document ci-dessous est un modele operationnel. Il doit etre adapte a ton activite, tes outils, tes obligations clients et ton niveau de risque.
Une politique de securite n a pas besoin de faire trente pages pour etre utile. Dans une TPE, elle doit surtout clarifier les regles de base : qui a acces a quoi, comment proteger les comptes, que faire avec les appareils, comment sauvegarder, et comment signaler un incident. Le document ci-dessous est un modele operationnel. Il doit etre adapte a ton activite, tes outils, tes obligations clients et ton niveau de risque.
1. Le perimetre du document
La politique s applique aux salaries, dirigeants, stagiaires, alternants, freelances et prestataires qui utilisent les outils de l entreprise ou accedent a ses donnees. Elle couvre la messagerie, le cloud, les postes, telephones, logiciels SaaS, reseaux, documents clients et outils administratifs. Ecris aussi ce qui est hors perimetre ou gere par un autre document : politique RGPD, charte informatique detaillee, procedure sauvegarde, plan de continuite. Le but est d eviter les doublons.
2. Regles comptes et mots de passe
Chaque personne utilise un compte nominatif quand l outil le permet. Les comptes partages sont limites, documentes et supprimes des qu une alternative existe. Les mots de passe sont uniques, generes par un gestionnaire de mots de passe et non transmis par email ou messagerie non controlee. La MFA est obligatoire sur les comptes critiques : messagerie, cloud, facturation, banque, gestionnaire de mots de passe, hebergement, outils d administration. Les codes de secours sont stockes dans un coffre controle.
- Compte nominatif par utilisateur.
- Gestionnaire de mots de passe.
- MFA sur comptes critiques.
- Suppression des acces au depart.
3. Regles appareils et mises a jour
Les appareils professionnels doivent avoir un verrouillage ecran, un systeme a jour, un navigateur a jour et un chiffrement active quand disponible. Les installations de logiciels doivent rester liees a un besoin professionnel. Les extensions navigateur non necessaires sont evitees. Les appareils personnels qui accedent aux donnees professionnelles doivent respecter un minimum : verrouillage, mises a jour, compte separe, pas de partage familial pour les donnees de travail. Si ce niveau n est pas acceptable, l acces doit etre refuse.
4. Regles donnees et sauvegardes
Les donnees clients sont stockees dans les emplacements autorises : cloud professionnel, outil metier, dossier client controle. Elles ne sont pas copiees dans des comptes personnels. Les exports sont limites, nommes clairement et supprimes quand ils ne sont plus utiles. Les donnees critiques sont sauvegardees selon la procedure interne. Un test de restauration est realise regulierement. Les sauvegardes ne sont pas toutes accessibles avec le meme compte administrateur.
5. Signalement et reaction
Tout doute doit etre signale : email suspect, perte d appareil, mot de passe saisi sur une page douteuse, fichier chiffre, acces inhabituel, erreur d envoi de donnees. Le signalement rapide est valorise. Il ne doit pas etre transforme en reproche automatique. La procedure indique qui contacter, par quel canal, et quelles premieres actions eviter. Exemple : ne pas supprimer les traces, ne pas connecter une sauvegarde a une machine suspecte, ne pas redemarrer un serveur sans consigne si un incident est en cours.
6. Modele court a adapter
Tu peux reprendre cette structure : objectif, perimetre, comptes, mots de passe, MFA, appareils, donnees, sauvegardes, WiFi, prestataires, incidents, revue annuelle. Une page bien tenue vaut mieux qu un document long jamais lu. Fais signer ou valider la politique par les personnes concernees, puis ajoute-la a l onboarding. A chaque arrivee, depart ou changement d outil, revois les points utiles.
- Objectif.
- Regles obligatoires.
- Responsables.
- Procedure incident.
- Date de derniere mise a jour.
Controle de fin de mois
A la fin du mois, reprends le sujet en dix minutes. Verifie ce qui a ete applique, ce qui reste bloque, qui est responsable et quelle decision doit etre prise. Une mesure cyber non suivie finit souvent par disparaitre dans le quotidien. Le controle mensuel sert a garder une trace simple : fait, a faire, bloque, inutile.
Note aussi les exceptions. Si une personne ne peut pas appliquer une regle, documente pourquoi et fixe une date de correction. Une exception temporaire peut etre acceptable. Une exception oubliee devient une faiblesse durable.
Exemple concret
Une TPE peut transformer ce modele en document d onboarding. Le premier jour, le nouveau collaborateur recoit son compte nominatif, active la MFA, rejoint le gestionnaire de mots de passe, lit la regle sur les appareils et sait comment signaler un email suspect. Le dernier jour, l equipe suit la procedure inverse : retrait des acces, changement des secrets partages, recuperation du materiel, verification des dossiers clients.
Ce cycle arrive plus souvent qu on ne le pense : arrivee d un stagiaire, prestataire ponctuel, alternant, freelance, associe temporaire. Sans politique ecrite, chaque arrivee cree une exception. Avec une page claire, l equipe repete le meme processus.
Erreurs a eviter
Ne redige pas une politique impossible a appliquer. Si tu imposes une regle que personne ne respecte, le document perd sa valeur. Mieux vaut cinq regles suivies que vingt regles ignorees. Ne copie pas non plus une charte de grande entreprise avec des termes qui ne correspondent pas a tes outils.
Evite les formulations vagues comme 'les utilisateurs doivent etre prudents'. Ecris plutot : 'les changements de RIB sont verifies par telephone avec un contact connu' ou 'les comptes critiques utilisent la MFA'. Une politique utile transforme les intentions en comportements observables.
Plan 30 minutes
Prends le modele, supprime ce qui ne concerne pas ton activite, ajoute tes outils reels, puis choisis un responsable. Ensuite, partage le document a l equipe et demande une lecture de dix minutes. Termine par trois actions : activer MFA, verifier sauvegarde, retirer anciens acces. La politique devient alors un point de depart, pas un document range dans un dossier.
Indicateurs a suivre
Une politique utile doit etre vivante. Note la date de derniere mise a jour, le nombre de personnes ayant valide le document, les exceptions ouvertes et les incidents ayant entraine une modification. Si aucun changement n est fait apres un incident ou l arrivee d un nouvel outil, la politique devient progressivement decorative. Revois-la au moins une fois par an.
Ajoute la politique aux routines existantes : onboarding, depart collaborateur, changement d outil, incident, audit client. Plus elle est liee a des moments concrets, moins elle ressemble a un document administratif isole. Elle devient une checklist de comportement.
FAQ
Une politique de securite est-elle obligatoire ?
Pas toujours sous cette forme, mais elle aide a prouver une organisation minimale et a aligner l equipe.
Combien de pages faut-il ?
Pour une TPE, une a trois pages suffisent souvent si le document est concret et applique.
Qui doit la maintenir ?
Le dirigeant ou une personne responsable des outils, avec revue au moins annuelle et mise a jour apres incident ou changement majeur.
CTA Devisignes
Pour mettre ces controles en place sans repartir de zero, utilise la checklist cyber TPE. Elle sert a suivre les comptes, les sauvegardes, les mises a jour et les actions prioritaires sans transformer la securite en projet interminable.
Sources
- https://cyber.gouv.fr/publications/guide-dhygiene-informatique
- https://www.cybermalveillance.gouv.fr/tous-nos-contenus/bonnes-pratiques/10-mesures-essentielles-assurer-securite-numerique
Documentation operationnelle. Ne constitue pas un audit cyber ni un conseil personnalise. Verifie les sources officielles ANSSI/Cybermalveillance/CNIL selon ton contexte.