Cybersécurité : les PME ne sont pas prêtes. Et ça se paiera.
Il suffit de parler avec cinq dirigeants de PME pour comprendre : la cybersécurité reste un concept flou, lointain, presque abstrait. Tant qu’aucun rançongiciel ne vient figer l’écran de Chantal à la compta, on continue comme avant.

Il suffit de parler avec cinq dirigeants de PME pour comprendre : la cybersécurité reste un concept flou, lointain, presque abstrait. Tant qu’aucun rançongiciel ne vient figer l’écran de Chantal à la compta, on continue comme avant.
Mais “comme avant” est terminé.
Les attaques, aujourd’hui, ne visent pas “les grosses boîtes”. Elles visent les vulnérables. Et quand on voit l’état des réseaux, des mots de passe, des pratiques numériques dans certaines structures… faut pas chercher très loin.
Personne n’est trop petit pour se faire flinguer
Arrêtons avec le mythe du “on n’intéresse personne”.
Ce n’est pas vous qu’on attaque. C’est votre surface exposée.
Un port RDP mal fermé, un Excel oublié dans un cloud public, une VM jamais patchée.
C’est comme laisser la porte ouverte et espérer qu’aucun voleur ne passe.
Les groupes criminels ne font pas du ciblage chirurgical. Ils automatisent.
Ils scannent, ils testent, ils entrent.
Et quand ils voient que vous avez ni MFA, ni backup, ni plan B…
Ils chiffrent tout. Puis ils attendent.
Le vrai problème, c’est pas la technique. C’est le déni.
Dans beaucoup de PME, on est encore au niveau Windows 7, Outlook 2013 et motdepasse123.
Pas par bêtise. Par fatigue. Par manque de temps. Par épuisement.
Parce que quand t’as dix personnes, que tu gères les RH, les clients, les fournisseurs, les nouvelles réglementations dont seule la France a le secret, les nouvelles taxes et le redressement URSSAF, la cybersécurité passe après.
Et pourtant, c’est ce qui peut tout arrêter.
L’informaticien n’est pas le pompier
“On a un prestataire.”
Super. Et lui, il bosse pour combien de clients ? 40 ? 60 ?
Vous croyez qu’il va sauter sur son clavier à 3h du mat’ quand tout est paralysé ?
La sécurité, c’est pas un abonnement.
C’est une culture. Une gouvernance. Un truc qui part du dirigeant.
Et tant que la cybersécurité est reléguée en bas de l’organigramme, elle ne protège rien.
Pas de budget ? Pas une excuse.
Non, vous n’avez pas 500k à mettre dans un SOC. On le sait.
Mais c’est pas une raison pour faire zéro.
Le problème, c’est pas l’argent. C’est l’inertie.
Y’a des trucs de base qui coûtent trois fois rien :
- Une vraie politique de mots de passe (et non, pas sauvegardés dans le navigateur).
- Des sauvegardes déconnectées et testées.
- Une double authentification sur les comptes pro.
- Un PC qui ne sert pas à aller sur des sites douteux pendant la pause clope.
- Un plan simple : si on se fait avoir, on fait quoi ?
Et l’IA dans tout ça ?
Elle est déjà là. Chez les attaquants.
Elle automatise le phishing, rédige les e-mails, contourne les filtres.
Vous pensez qu’un mail mal écrit avec “VIREMENT URGENT” c’est dépassé ?
Maintenant, ils écrivent comme vos clients.
Et bientôt, ce sera votre voix qu’ils imiteront.
Ou celle de votre DG.
Si vous pensez que “l’IA, c’est pour plus tard”, vous êtes déjà à la bourre.
Faites un pas. Maintenant.
Je ne dis pas qu’il faut transformer votre PME en bunker.
Je dis qu’il faut commencer. Bouger. Agir.
Pas parce que l’ANSSI vous le dit.
Pas parce que c’est tendance.
Mais parce que vous n’aurez pas de deuxième chance.
Et surtout, parce que dans le monde de demain, les entreprises qui ne savent pas se protéger n’inspireront plus confiance.
Pas à leurs clients.
Pas à leurs partenaires.
Pas aux assureurs.
Et encore moins aux attaquants, qui eux, n’attendent qu’une chose : que vous ne fassiez rien.
La bonne nouvelle, c’est que vous n’avez pas besoin d’un plan parfait.
Vous avez besoin d’un premier mouvement.
Bloquer une demi-journée, mettre autour de la table votre DAF, votre “informaticien” et un vrai spécialiste, faire la liste des 10 trucs à corriger en priorité et les traiter un par un. Pas en 2030.
Ce trimestre.
Après ça, vous respirerez mieux. Et surtout, vous enverrez enfin un message clair : chez vous, on ne joue plus avec le feu.
Questions fréquentes
Pourquoi une petite entreprise serait-elle visée par une cyberattaque ?
Parce que les groupes criminels ne font pas de ciblage chirurgical : ils automatisent, scannent et testent. Ce n'est pas l'entreprise qui est visée mais sa surface exposée, comme un port RDP mal fermé ou une machine jamais mise à jour.
Le principal frein à la cybersécurité dans les PME est-il le budget ?
Non. Le problème n'est pas l'argent mais l'inertie et le déni. Des mesures de base coûtent très peu : politique de mots de passe, sauvegardes déconnectées et testées, double authentification, et un plan d'action simple en cas d'incident.
Avoir un prestataire informatique suffit-il à se protéger ?
Non. Un prestataire gère souvent des dizaines de clients et ne peut pas tout couvrir. La sécurité est une culture et une gouvernance qui doivent partir du dirigeant, pas un simple abonnement.
En quoi l'IA change-t-elle la menace pour les PME ?
L'IA est déjà utilisée par les attaquants pour automatiser le phishing, rédiger des e-mails crédibles et contourner les filtres. Les messages frauduleux imitent désormais le ton des clients, voire la voix des dirigeants.
Par où commencer concrètement ?
Bloquer une demi-journée ce trimestre, réunir le DAF, l'informaticien et un vrai spécialiste, lister les dix points à corriger en priorité et les traiter un par un. L'essentiel est de faire un premier mouvement, pas d'avoir un plan parfait.
Sources & méthodologie

Être en cybersécurité
Une feuille de route cyber en clair, pour tout le monde, pas seulement les experts.
