Centre opérationnel de sécurité avec écrans de supervision réseau
Sécurité28 octobre 20247 min de lecture

Checklist cybersécurité PME : MFA, firewall, mises à jour

Les essentiels de la cybersécurité accessibles à toute PME, hiérarchisés par priorité et fondés sur les recommandations officielles de l'ANSSI et du CERT-FR.

Tous les articles
MFAFirewallPatch managementCybersécuritéPMEANSSICERT-FR

La cybersécurité n'est pas réservée aux grandes entreprises. Selon le rapport annuel de l'ANSSI, les PME représentent une cible de plus en plus attractive pour les attaquants, précisément parce qu'elles sont perçues comme moins protégées. Cette checklist couvre les fondamentaux classés par priorité d'impact.

1. Authentification multifacteur (MFA)

L'activation du MFA est le levier de protection le plus efficace par rapport à son coût de déploiement. Selon les recherches Microsoft, le MFA bloque plus de 99,9 % des attaques automatisées sur les comptes compromis par phishing ou credential stuffing.

  • Activer le MFA sur Microsoft 365, Google Workspace et tous les accès distants (VPN, RDP, SSH)
  • Préférer une application d'authentification (Microsoft Authenticator, Google Authenticator) plutôt que le SMS
  • Activer les politiques de conformité des appareils via Microsoft Intune ou Entra ID
  • Auditer les comptes sans MFA : Portail Microsoft Entra ID → Utilisateurs → Méthodes d'authentification

2. Pare-feu et segmentation réseau

Un pare-feu nouvelle génération (NGFW) filtre le trafic entrant et sortant, détecte les comportements anormaux et bloque les communications vers des serveurs de commande et contrôle. La segmentation en VLAN réduit la propagation latérale en cas de compromission.

  • Déployer un NGFW avec inspection applicative (Fortinet, Palo Alto, Sophos, pfSense+)
  • Créer des VLAN distincts : production, invités Wi-Fi, IoT, serveurs
  • Bloquer les accès RDP exposés directement sur Internet — utiliser un VPN ou un bastion SSH
  • Activer la journalisation des connexions et conserver les logs au minimum 90 jours
À retenir
  • Le port RDP (3389) exposé sur Internet est l'un des vecteurs d'attaque les plus utilisés par les ransomwares.
  • Un VLAN invité mal configuré peut donner accès à votre réseau de production via du pivoting.
  • Les IoT (imprimantes, caméras, bornes Wi-Fi) sont des cibles récurrentes — isolez-les dans un VLAN dédié.

3. Gestion des correctifs (patching)

La majorité des attaques exploitent des vulnérabilités pour lesquelles un correctif existait depuis plusieurs semaines au moment de l'incident. Le patching régulier est une mesure d'hygiène fondamentale recommandée par le CERT-FR.

  • Appliquer les correctifs critiques (CVSS ≥ 9) sous 72h sur tous les systèmes exposés
  • Utiliser Windows Update for Business ou WSUS pour centraliser les mises à jour Windows
  • Auditer les logiciels tiers (navigateurs, Java, Adobe) — souvent plus exposés que l'OS
  • Désinstaller les logiciels inutilisés : chaque application est une surface d'attaque potentielle
Impact PME
  • Le coût moyen d'une attaque ransomware pour une PME française est estimé à 50 000 € (rançon exclue), selon l'ANSSI.
  • Les trois vecteurs principaux d'entrée : phishing (41 %), RDP exposé (24 %), vulnérabilité non corrigée (20 %).
  • Déployer MFA + NGFW + patching régulier couvre statistiquement 85 % des vecteurs d'attaque courants.

4. Sensibilisation des utilisateurs

L'humain reste le maillon le plus sollicité par les attaquants. Un clic sur un email de phishing peut compromettre en quelques secondes un système parfaitement configuré. La sensibilisation doit être régulière, pratique et mesurée.

  • Former tous les collaborateurs au phishing — simulation trimestrielle recommandée par l'ANSSI
  • Rappeler les règles de base : ne jamais communiquer son mot de passe, vérifier l'expéditeur
  • Mettre en place une procédure de signalement interne des emails suspects (bouton ou adresse dédiée)
  • Documenter la procédure à suivre en cas d'incident — à qui appeler, quoi faire, quoi ne pas faire
Actions recommandées
  • Activer le MFA sur tous les comptes Microsoft 365 ou Google Workspace cette semaine
  • Vérifier qu'aucun port RDP n'est accessible depuis Internet (scan Shodan ou rapport pare-feu)
  • Lancer un audit des mises à jour en retard sur postes et serveurs via votre outil de gestion
  • Planifier une session de sensibilisation phishing avec vos équipes ce trimestre
  • Vérifier les exigences de votre assurance cyber — certaines couvrent uniquement si MFA actif
Besoin d'aller plus loin ?

Transformons ces conseils en plan d'action concret pour votre structure.

Réponse humaine, locale, sans engagement.

Demander un audit
Besoin d'aide ? Bobby vous guide.