Les 10 faiblesses cyber les plus courantes des PME
La plupart des incidents de sécurité qui touchent les PME ne résultent pas d'attaques sophistiquées exploitant des failles inconnues. Les rapports publiés par Cybermalveillance.gouv.fr, le dispositif public français d'assistance aux victimes de cyberattaques, montrent année après année qu'un petit nombre de faiblesses récurrentes, souvent identifiées mais jamais corrigées, concentre l'essentiel des compromissions. En voici dix, par ordre approximatif de fréquence observée.
1. L'absence d'authentification à plusieurs facteurs
Un mot de passe seul, même complexe, ne protège plus grand-chose face à des techniques de vol d'identifiants devenues courantes : phishing, réutilisation de mots de passe compromis sur d'autres services. L'ANSSI recommande l'authentification à plusieurs facteurs sur tous les comptes à privilèges et les accès distants, en priorité sur la messagerie et les outils d'administration. C'est pourtant l'une des mesures les moins appliquées dans les PME, souvent par méconnaissance plutôt que par choix délibéré.
Des sauvegardes jamais testées
Avoir des sauvegardes ne suffit pas : encore faut-il savoir qu'elles fonctionnent. De nombreuses entreprises découvrent, au moment où elles en ont besoin après une attaque par rançongiciel, que leurs sauvegardes sont incomplètes, corrompues, ou accessibles depuis le même réseau que les données chiffrées, donc elles-mêmes touchées. Un test de restauration réussi et documenté vaut plus que n'importe quelle politique de sauvegarde jamais vérifiée.
Une gestion des accès laxiste
Comptes partagés entre plusieurs collaborateurs, droits d'accès accordés par défaut plutôt que par besoin réel, comptes d'anciens salariés jamais désactivés : ces pratiques, individuellement anodines, créent collectivement une surface d'attaque difficile à cartographier. En cas d'incident, l'absence de traçabilité individuelle des accès complique aussi considérablement l'investigation.
L'absence de plan de réponse aux incidents
Qui décide en cas d'attaque ? Qui contacte l'assureur, les autorités, les clients potentiellement affectés ? Sans réponse préparée à ces questions, les premières heures d'un incident, les plus critiques pour en limiter l'impact, se perdent en tâtonnements. Un plan de réponse aux incidents n'a pas besoin d'être sophistiqué : il doit surtout exister et être connu des bonnes personnes.
Des correctifs de sécurité appliqués de façon irrégulière
Les vulnérabilités les plus exploitées ne sont pas toujours les plus récentes : beaucoup d'attaques réussissent en ciblant des failles corrigées depuis des mois, sur des systèmes jamais mis à jour. Le patch management reste l'une des mesures les plus rentables en cybersécurité, et l'une des plus négligées faute de processus formalisé pour le piloter.
Un usage non maîtrisé des outils cloud et de l'IA générative
Des collaborateurs qui partagent des documents sensibles sur des outils cloud personnels, ou qui collent des données confidentielles dans un assistant conversationnel grand public, échappent souvent totalement au radar de la DSI. Ce shadow IT n'est pas nécessairement malveillant : il traduit surtout l'absence de solutions internes aussi pratiques que les outils grand public, et l'absence de règles claires sur ce qui peut ou non y être partagé.
Diagnostic Cybersécurité·Voir un aperçu du diagnostic
Une sensibilisation des collaborateurs insuffisante
Le facteur humain reste impliqué dans la majorité des incidents initiaux, le plus souvent via un email de phishing. Une sensibilisation ponctuelle, réalisée une fois à l'arrivée d'un collaborateur puis jamais renouvelée, perd rapidement son effet. Les organisations les plus résilientes intègrent des rappels réguliers, y compris des simulations, plutôt qu'une session de formation isolée.
Une sécurité du télétravail négligée
Postes personnels utilisés pour accéder aux outils professionnels, réseaux domestiques non sécurisés, absence de VPN ou de chiffrement du disque : le télétravail a considérablement élargi le périmètre à protéger, sans que les pratiques de sécurité suivent toujours ce changement. Beaucoup de PME appliquent encore des politiques de sécurité pensées pour un périmètre entièrement au bureau.
Une dépendance non maîtrisée aux prestataires
Un prestataire informatique, un logiciel métier hébergé chez un tiers, un sous-traitant ayant accès au système d'information : chacun de ces maillons peut devenir un point d'entrée, comme l'ont montré plusieurs incidents majeurs propagés via la chaîne d'approvisionnement plutôt que par une attaque directe. Peu de PME évaluent la posture de sécurité de leurs prestataires avant de leur donner accès à leurs systèmes.
Une supervision et une détection quasi inexistantes
Sans journalisation ni supervision, une intrusion peut rester invisible pendant des semaines, le temps que l'attaquant explore le système avant de déclencher son action finale (exfiltration, chiffrement). La détection précoce ne nécessite pas forcément un centre de supervision dédié : des alertes de base sur les connexions inhabituelles ou les échecs d'authentification répétés suffisent souvent à réduire drastiquement le délai de détection.
Checklist récapitulative
- Authentification à plusieurs facteurs activée sur les comptes à privilèges et les accès distants
- Sauvegardes testées par une restauration réelle, documentée
- Droits d'accès attribués par besoin réel, revus régulièrement, révoqués au départ d'un collaborateur
- Plan de réponse aux incidents formalisé et connu des personnes concernées
- Correctifs de sécurité appliqués selon un calendrier défini
- Règles claires sur l'usage des outils cloud et de l'IA générative
- Sensibilisation des collaborateurs renouvelée régulièrement, pas seulement à l'arrivée
- Sécurité du télétravail alignée sur celle du bureau (VPN, chiffrement, postes gérés)
- Évaluation de la posture de sécurité des prestataires ayant accès au système d'information
- Supervision minimale en place pour détecter les comportements anormaux
Ces dix faiblesses n'ont rien d'exotique : elles sont documentées depuis des années par l'ANSSI et par les organismes qui accompagnent les victimes de cyberattaques. Leur point commun n'est pas la complexité technique de leur correction, mais l'absence d'un état des lieux structuré qui permettrait de les prioriser, plutôt que de les découvrir une à une, au fil des incidents.
Diagnostic associé
Prêt à évaluer votre organisation ?
Essayer gratuitement