contact@infogerance-paris-75.fr
Infogérance Paris 75 Guide indépendant pour PME
Sécurité

Sécurité informatique minimale pour PME en 2024 : ce qui est vraiment obligatoire

Votre prestataire vous vend du « pack sécurité premium » à 15€/poste/mois ? Avant de signer, découvrez ce qui est réellement indispensable vs ce qui relève du marketing. Après 200+ audits, je vous dis ce qui doit être non négociable — et ce qui peut attendre.

⚠️ Avertissement

Je ne suis pas RSSI. Ce guide est basé sur mon expérience terrain avec des PME de 10-80 personnes. Si vous avez des données sensibles (santé, finance, défense), faites appel à un spécialiste certifié.

Le contexte 2024 : pourquoi la sécurité n'est plus optionnelle

En 2024, une PME parisienne sans sécurité de base, c'est comme un cabinet d'avocats qui laisse ses dossiers sur le trottoir. Ça ne tient plus.

Les chiffres parlent d'eux-mêmes : 43% des cyberattaques ciblent les PME (ANSSI, 2023). Pourquoi ? Parce qu'elles sont plus faciles à pénétrer que les grands comptes. Moins de budget, moins de compétences en interne, et souvent cette idée (fausse) que « on est trop petit pour intéresser les hackers ».

Mars 2023. Une agence de com du 11ème, 12 personnes. Ransomware entré par un mail de « fausse facture fournisseur ». Pas de sauvegarde externalisée (juste un NAS dans le bureau, lui aussi chiffré). Résultat : 15 000€ de rançon payée + 2 semaines d'arrêt d'activité. Le gérant m'a dit : « Je pensais que ça n'arrivait qu'aux autres. »

Les 7 mesures non négociables en 2024

Voici ce que je considère comme le socle minimum pour toute PME. Si votre prestataire ne vous propose pas AU MOINS ça, changez de prestataire.

1. Antivirus/EDR sur TOUS les postes

L'antivirus classique (signature-based) ne suffit plus. En 2024, il vous faut au minimum un EDR (Endpoint Detection & Response) : Microsoft Defender for Business, Bitdefender GravityZone, CrowdStrike Falcon, ou équivalent.

Ce que ça fait : détection comportementale (un logiciel qui chiffre des fichiers en masse ? Alerte), isolation automatique des menaces, historique d'activité pour investigation.

Coût réel : 3 à 6€/poste/mois pour une solution managée. Microsoft Defender for Business est inclus dans certains abonnements Microsoft 365.

2. MFA (authentification multi-facteurs) partout

Sur TOUT ce qui est accessible depuis Internet : messagerie, VPN, applications cloud, accès admin. Un mot de passe seul ne suffit plus. Il faut un 2ème facteur (SMS, application authenticator, clé physique).

Ce que ça bloque : 99% des attaques par vol de mot de passe. Même si un hacker récupère le mot de passe d'un employé via phishing, il lui manque le 2ème facteur.

Coût réel : gratuit avec Microsoft 365, Google Workspace. Aucune excuse pour ne pas l'activer.

Mon observation terrain : sur mes 200+ audits depuis 2020, j'ai vu seulement 30% des PME avec le MFA activé sur Microsoft 365. Les 70% restants ? Une seule fuite de mot de passe et c'est la catastrophe.

3. Sauvegardes externalisées ET testées

J'insiste sur le « ET testées ». Une sauvegarde que vous n'avez jamais restaurée, c'est comme une assurance dont vous n'avez jamais lu les exclusions.

La règle 3-2-1 : 3 copies de vos données, sur 2 supports différents, dont 1 hors site (cloud ou datacenter externe). C'est le minimum.

Ce qu'il faut sauvegarder : serveurs de fichiers, bases de données métier, messagerie (si on-premise), configurations réseau critiques.

Fréquence de test : restauration complète tous les trimestres minimum. Demandez les rapports à votre prestataire.

4. Mises à jour automatiques

Windows, Office, navigateurs, firmwares. Les failles de sécurité sont corrigées en quelques heures par les éditeurs, mais exploitées dans les jours qui suivent par les attaquants. Un poste pas à jour depuis 3 mois, c'est une porte ouverte.

Ce que doit faire votre prestataire : politique de patch management automatisée, avec déploiement sous 7 jours pour les correctifs critiques.

5. Filtrage email anti-phishing

Le vecteur d'attaque n°1 reste l'email. Un bon filtre anti-phishing bloque les tentatives avant qu'elles n'arrivent dans la boîte du collaborateur.

Solutions courantes : Microsoft Defender for Office 365, Barracuda, Proofpoint, Mailinblack. La plupart des solutions cloud intègrent un filtre de base.

Ce qu'il faut vérifier : les emails de phishing qui passent quand même doivent pouvoir être signalés facilement (bouton « Signaler comme phishing » dans Outlook).

6. Gestion des droits et comptes

Qui a accès à quoi ? Si tout le monde a accès à tout, vous avez un problème. Un stagiaire n'a pas besoin d'accéder aux contrats clients.

Le minimum : comptes nominatifs (pas de « admin partagé »), droits au niveau nécessaire (principe du moindre privilège), désactivation immédiate des comptes des partants.

J'ai vu un cabinet d'avocats du 8ème où l'ancien associé parti 6 mois plus tôt avait toujours accès à la messagerie. Il ne s'était rien passé, mais imaginez le scénario inverse.

7. Sensibilisation des utilisateurs

La technologie ne peut pas tout. Si un collaborateur donne son mot de passe par téléphone à quelqu'un qui se fait passer pour le support IT, c'est game over.

Le minimum : une session de sensibilisation annuelle (1-2 heures) + des rappels réguliers (phishing simulé, newsletter interne). Certains prestataires proposent des plateformes comme KnowBe4 ou Cofense.

Checklist sécurité minimale PME 2024

  • EDR/antivirus managé sur tous les postes et serveurs
  • MFA activé sur messagerie, VPN, cloud
  • Sauvegardes externalisées (règle 3-2-1)
  • Tests de restauration trimestriels documentés
  • Mises à jour automatiques (OS, Office, firmwares)
  • Filtrage anti-phishing sur messagerie
  • Gestion des droits (comptes nominatifs, moindre privilège)
  • Sensibilisation annuelle des utilisateurs

Ce qui est « nice to have » mais pas obligatoire

Certains prestataires vous vendent des options « premium » qui ne sont pas indispensables pour une PME standard :

  • SIEM/SOC externalisé : analyse des logs en temps réel 24/7. Utile si vous avez des données très sensibles. Overkill pour un cabinet d'archi de 20 personnes.
  • Tests de pénétration annuels : bien, mais pas critique si vous n'avez pas de site web transactionnel ou d'API exposée.
  • Assurance cyber dédiée : à considérer, mais vérifiez d'abord que les bases sont couvertes.
  • VPN zéro trust / SASE : tendance 2024, mais complexe à mettre en œuvre. Privilégiez un bon VPN classique bien configuré.

(Nuance importante : si vous êtes dans la santé, la finance ou le juridique avec des données très sensibles, le « nice to have » devient « fortement recommandé ». Ça dépend vraiment de votre contexte.)

Combien ça coûte réellement ?

Pour une PME de 30 postes à Paris, voici une estimation réaliste :

Composant Coût mensuel estimé
EDR managé (type Defender for Business) 90-180€ (3-6€/poste)
MFA 0€ (inclus Microsoft 365)
Sauvegarde cloud externalisée 150-300€
Filtrage email avancé 60-150€
Sensibilisation (plateforme type KnowBe4) 50-100€
Total estimé 350-730€/mois

Soit environ 12 à 25€/poste/mois pour une sécurité de base correcte. Si votre prestataire vous propose moins cher, posez des questions sur ce qui est réellement inclus. S'il propose beaucoup plus cher, demandez une justification détaillée.

Les questions à poser à votre prestataire

  1. « Quelle solution EDR/antivirus déployez-vous ? » — Il doit pouvoir nommer un produit précis, pas juste « un antivirus ».
  2. « Le MFA est-il activé sur tous nos comptes cloud ? » — La réponse doit être oui. Sans hésitation.
  3. « Où sont stockées nos sauvegardes externalisées ? » — Datacenter identifié, en France de préférence.
  4. « Quand avez-vous testé la dernière restauration complète ? » — Il doit pouvoir vous montrer un rapport.
  5. « Quel est votre délai de déploiement des correctifs critiques ? » — Moins de 72h pour les failles exploitées activement.

Mon conseil

Exigez un rapport de sécurité mensuel avec l'état de chaque composant : antivirus à jour, dernière sauvegarde réussie, mises à jour déployées. Un prestataire sérieux le fait automatiquement.

En résumé

La sécurité informatique en 2024, c'est pas du luxe. C'est de l'hygiène de base. Les 7 points que j'ai listés ne sont pas optionnels — ils sont le strict minimum pour éviter de finir dans les 43% de PME attaquées chaque année.

Mon prochain RDV avec votre prestataire ? Posez les questions listées ci-dessus. S'il bafouille ou se vexe, c'est un signal. Un bon prestataire sait répondre à ces questions en 5 minutes, preuves à l'appui.

Samir Khelifi

Samir Khelifi

22 ans dans l'IT parisien. A commencé technicien réseau chez un petit MSP du 10ème en 2001, grimpé jusqu'à directeur technique. A géré l'IT de 180+ PME parisiennes (cabinets d'avocats, agences, startups, médecins). Parti en 2019 après un burn-out : trop de clients mal conseillés par les commerciaux, trop de promesses intenables, trop de nuits à éteindre des incendies causés par des décisions commerciales débiles.

Article mis à jour le

Sources et références

Votre prestataire assure-t-il le minimum ?

Consultez mes autres guides pour auditer votre contrat et détecter les red flags.

Détecter les red flags Pièges contractuels

Respect de votre vie privee

Nous utilisons des cookies pour personnaliser le contenu et analyser notre trafic. Vous pouvez choisir d'accepter ou de refuser ces cookies.

Politique de confidentialite

Respect de votre vie privee

Nous utilisons des cookies pour personnaliser le contenu et analyser notre trafic. Vous pouvez choisir d'accepter ou de refuser ces cookies.

Politique de confidentialite