NovaSec
Formation cybersécurité pour TPE/PME
Sécuriser son entreprise au quotidien
39 €
Version 1.0 — 2026 — ~17 pages
Sommaire
- Pourquoi les TPE/PME sont la cible n°1
- Les 3 piliers de la sécurité en entreprise
- Diagnostic de votre niveau de sécurité
- Les sauvegardes : votre bouée de sauvetage
- La sécurité des équipements
- La sécurité du réseau
- La sécurité des données
- La sécurité humaine (employés)
- Plan de réponse aux incidents
- Assurance cyber et aspects juridiques
- Budget sécurité pour TPE/PME
- Checklist de sécurité mensuelle
Pourquoi les TPE/PME sont la cible n°1
Contrairement à une idée reçue, les pirates ne s'attaquent pas qu'aux grandes entreprises. Les TPE/PME sont même les cibles préférées des cybercriminels :
- Moins protégées : pas de DSI, pas d'équipe sécurité, peu d'antivirus
- Moins formées : les employés n'ont pas reçu de sensibilisation
- Plus vulnérables : logiciels non mis à jour, mots de passe faibles
- Plus payantes : une TPE est prête à payer une rançon car elle ne peut pas se permettre l'arrêt
- Porte d'entrée : les pirates peuvent attaquer une petite entreprise pour remonter vers ses grands clients
Chiffres 2025-2026 :
- 60 % des TPE/PME françaises ont subi au moins une cyberattaque
- 43 % des attaques ciblent les TPE/PME
- 1,2 million € : coût moyen d'une attaque pour une PME (incluant rançon, perte d'exploitation, réputation)
- 67 % des dirigeants pensent "ne pas être une cible" — tort
Les 3 piliers de la sécurité en entreprise
| Pilier | Description | Exemple |
| 🔐 Technique | Outils, logiciels, pare-feu, antivirus, sauvegardes | Installer un pare-feu, mettre à jour Windows, sauvegarder sur un disque externe |
| 👤 Humain | Sensibilisation, formation, procédures | Former les employés au phishing, établir une charte informatique |
| 📋 Organisationnel | Processus, politique sécurité, plan de reprise | Écrire un Plan de Reprise d'Activité (PRA), faire des audits |
Un pire seul ne suffit pas. Vous pouvez avoir le meilleur antivirus du monde, si un employé donne son mot de passe par téléphone, vous êtes vulnérable.
Diagnostic de votre niveau de sécurité
Faites ce test rapide pour évaluer votre entreprise. Comptez 1 point pour chaque "oui" :
- Les mots de passe font au moins 12 caractères avec diversité
- La double authentification (2FA) est activée sur les comptes critiques
- Windows/Mac/Linux sont à jour sur tous les postes
- Un antivirus est installé et actif sur tous les postes
- Les sauvegardes se font automatiquement et sont testées
- Les employés ont été formés à la cybersécurité
- Un pare-feu est actif sur le réseau de l'entreprise
- Le WiFi utilise le chiffrement WPA2/WPA3 avec un mot de passe fort
- Un réseau invité séparé existe pour les clients/visiteurs
- Les accès sont révoqués immédiatement au départ d'un employé
- Un logiciel malveillant n'a pas été détecté dans les 6 derniers mois
- Un plan de réponse aux incidents existe (au moins sur papier)
| Score | Niveau | Action recommandée |
| 0-3 | Critique 🚨 | Vous êtes très exposé. Contactez un professionnel d'urgence. |
| 4-6 | Faible ⚠️ | Des bases sont en place mais il manque l'essentiel. |
| 7-9 | Moyen 👍 | Bonne base, quelques axes d'amélioration. |
| 10-12 | Fort ✅ | Votre entreprise est bien protégée. Continuez ainsi. |
Les sauvegardes : votre bouée de sauvetage
La sauvegarde est la mesure de sécurité la plus importante. Si tout le reste échoue (ransomware, incendie, vol, panne), une bonne sauvegarde vous permet de repartir.
La règle du 3-2-1
- 3 copies de vos données
- Sur 2 supports différents
- Dont 1 hors site (physiquement ailleurs)
Application de la règle 3-2-1
- Copie 1 : sur le disque dur du serveur (données originales)
- Copie 2 : sur un disque dur externe branché une fois par semaine
- Copie 3 : sur un cloud (Backblaze, iDrive, pCloud) ou chez un tiers de confiance
Que sauvegarder ?
- Documents comptables et factures
- Base de données client
- Fichiers de production (devis, contrats, rapports)
- Sites web et bases de données associées
- Emails professionnels (export PST ou sauvegarde Exchange/365)
- Configuration des logiciels métiers
- Mots de passe (export du gestionnaire de mots de passe)
Plan de sauvegarde recommandé
| Fréquence | Type | Support |
| Quotidienne | Sauvegarde incrémentielle | Disque réseau (NAS) ou cloud |
| Hebdomadaire | Sauvegarde complète | Disque dur externe |
| Mensuelle | Sauvegarde complète | Cloud / hors site |
| Trimestrielle | Test de restauration | Vérifier que ça fonctionne |
Ne faites pas l'erreur classique : brancher un disque dur de sauvegarde en permanence. Un ransomware le chiffrera aussi. Débranchez-le après la sauvegarde, ou utilisez un NAS avec snapshots immutables.
La sécurité des équipements
Postes de travail (PC, Mac)
- Mises à jour automatiques : activez Windows Update / macOS Software Update
- Antivirus : Windows Defender est suffisant pour une TPE bien configuré, sinon Bitdefender ou ESET
- Contrôle de compte utilisateur : pas de droits administrateur pour les postes de travail
- Verrouillage automatique : écran verrouillé après 5 minutes d'inactivité (Win+L)
- Chiffrement du disque : BitLocker (Windows Pro) ou FileVault (Mac) activé
- Applications : n'installez que les logiciels nécessaires, supprimez ceux inutilisés
Smartphones et tablettes
- Code PIN ou biométrie obligatoire
- Chiffrement du téléphone activé
- Pas de jailbreak/root
- Mises à jour du système et des applications
- Ne pas télécharger d'applications hors des stores officiels
- Effacement à distance configuré (Find My iPhone / Localiser mon appareil)
- VPN obligatoire sur WiFi public
Serveurs et NAS
- Accès SSH/RDP protégé par mot de passe fort et 2FA
- Désactiver les accès root distants
- Pare-feu : bloquer tout sauf les ports nécessaires
- Mises à jour régulières du système d'exploitation et des applications
- Snapshots immutables sur le NAS (protège contre les ransomwares)
- Journalisation des connexions (logs) : conservez-les au moins 6 mois
La sécurité du réseau
WiFi professionnel
| Élément | Recommandation |
| Chiffrement | WPA3 si possible, sinon WPA2 (pas de WEP) |
| Mot de passe WiFi principal | 16+ caractères, complexe |
| Réseau invité | Obligatoire pour clients et visiteurs |
| Réseau IoT | Séparé pour les imprimantes, caméras, objets connectés |
| Admin box | Changer le mot de passe par défaut de la Freebox/Livebox/Bbox |
| WPS | Désactivé (vulnérable) |
VPN (Virtual Private Network)
Si vos employés se connectent depuis l'extérieur (télétravail, déplacement), un VPN est indispensable pour chiffrer la connexion. Solutions adaptées aux TPE :
- WireGuard : simple, moderne, rapide (gratuit)
- OpenVPN : plus configurable, très sécurisé (gratuit)
- Tailscale : basé sur WireGuard, très simple à configurer (gratuit pour petits effectifs)
- NordLayer : solution payante clé en main pour PME
La sécurité des données
Classification des données
Toutes les données de l'entreprise n'ont pas la même valeur. Classez-les :
| Niveau | Exemples | Protection |
| Public | Site web, plaquette commerciale | Aucune restriction |
| Interne | Procédures, organigramme, notes de service | Accès à tous les employés |
| Confidentiel | Fiches de paie, comptabilité, fichiers clients | Accès restreint aux personnes concernées |
| Secret | Mots de passe, clés API, données bancaires | Accès très restreint + coffre-fort |
Protection selon le type de données
- Données clients : chiffrement, accès restreint, conservation limitée (RGPD)
- Données comptables : sauvegarde quotidienne, accès au comptable uniquement
- Données bancaires : jamais stockées en clair, jamais par email
- Emails : chiffrement de bout en bout si possible, archivage obligatoire
- Mots de passe : uniquement dans un gestionnaire de mots de passe, jamais dans un fichier Excel
La sécurité humaine (employés)
Former et sensibiliser
- Session d'accueil : inclure la cybersécurité dans le parcours d'intégration
- Formation annuelle : 1h par an, en groupe (ces formations NovaSec peuvent être utilisées)
- Phishing simulé : envoyez de faux e-mails de phishing à vos équipes pour les entraîner
- Affiches : mettez des posters de sensibilisation dans la salle de pause
- Newsletter interne : partagez une astuce sécurité par mois
Charte informatique
Toute entreprise devrait avoir une charte que les employés signent. Points essentiels :
- Usage du matériel et d'Internet à titre professionnel uniquement
- Obligation de verrouiller sa session en quittant son poste
- Interdiction d'installer des logiciels non autorisés
- Règle des mots de passe (12+ caractères, gestionnaire, 2FA)
- Procédure en cas d'incident (qui contacter, quoi faire)
- Respect des données personnelles (RGPD)
- Sanctions en cas de non-respect
Départ d'un employé
Procédure à suivre impérativement :
- Révoquer tous les accès (email, SaaS, CRM, serveur, VPN)
- Récupérer le matériel (PC, téléphone, badge)
- Changer les mots de passe partagés que l'employé connaissait
- Faire un backup de ses emails et documents (si besoin métier)
- Supprimer son compte utilisateur dans les 24h
Plan de réponse aux incidents
Même avec toutes les précautions, une attaque peut arriver. Avoir un plan prêt permet de réduire le temps de réaction de 80 % et les dégâts.
Les 5 étapes
| Étape | Action | Qui |
| 1. Détection | Identifier l'incident : email suspect, fichier chiffré, panne, vol | Employé / direction |
| 2. Confinement | Débrancher le PC du réseau, couper le WiFi, désactiver le compte | Employé + responsable |
| 3. Éradication | Nettoyer le PC, réinstaller, restaurer les sauvegardes | Professionnel (NovaSec) |
| 4. Rétablissement | Remettre l'activité en route, vérifier l'intégrité des données | Professionnel + direction |
| 5. Retour d'expérience | Analyser ce qui s'est passé, corriger, améliorer | Direction |
Contacts d'urgence à avoir
- NovaSec (support cybersécurité) — tel et email à définir
- Support informatique : votre prestataire habituel
- Assureur : numéro de l'assurance cyber
- CNIL : en cas de fuite de données personnelles (+ de 48h pour notifier)
- Police / Gendarmerie : plateforme cybermalveillance.gouv.fr
- Banque : opposition carte / compte en cas de fraude
Assurance cyber et aspects juridiques
Assurance cyber
De plus en plus d'assureurs proposent des contrats spécifiques pour couvrir les risques cyber :
- Frais de réponse à incident : expertise, avocat, notification RGPD
- Perte d'exploitation : compensation financière pendant l'arrêt
- Rançon : certains contrats couvrent le paiement de rançon (déconseillé mais parfois couvert)
- Atteinte à la réputation : communication de crise
- Responsabilité civile : si vos clients sont impactés par une fuite chez vous
Conseil : Comparez les offres de Groupama, MAIF, AXA, Hiscox. Le prix pour une TPE est généralement de 200 à 800 €/an. Vérifiez que le contrat inclut bien un support d'urgence disponible 24h/24.
RGPD et conformité
- Registre des traitements obligatoire (même pour une TPE)
- Déclaration des violations de données à la CNIL sous 72h
- Information des personnes concernées en cas de fuite
- Nomination d'un DPO (délégué à la protection des données) si votre cœur de métier implique du traitement de données à grande échelle
- Respect du droit à l'effacement ("droit à l'oubli")
Budget sécurité pour TPE/PME
Exemple de budget annuel pour une TPE de 3-5 personnes :
| Poste | Coût/an estimé |
| Antivirus + sécurité des postes | 100-300 € |
| Gestionnaire de mots de passe (équipe) | 60-240 € |
| VPN professionnel | 0-300 € |
| Sauvegarde cloud | 100-400 € |
| NAS + disques (si sauvegarde locale) | 300-800 € (investissement unique) |
| Formation employés | 200-600 € |
| Audit sécurité NovaSec | 199-799 € |
| Assurance cyber | 200-800 € |
| Total estimé | 1 000-3 500 €/an |
Rapporté au coût d'une attaque (8 000-15 000 € minimum), c'est un investissement rentable. 1 € investi en cybersécurité = 5 € économisés en cas d'attaque.
Checklist de sécurité mensuelle
- Mises à jour Windows/macOS installées sur tous les postes
- Mises à jour des logiciels métiers vérifiées
- Sauvegarde du mois testée (restauration d'au moins 1 fichier)
- Antivirus : signature à jour, scan rapide effectué
- Vérification du stockage NAS/disque externe
- Ajout/suppression d'employés : accès vérifiés
- Charte informatique : nouveaux employés formés
- Revue des mots de passe faibles (via le gestionnaire)
- Vérification que le WiFi invité est toujours actif
- Aucun incident signalé non résolu
Le mot de la fin : La cybersécurité en entreprise n'est pas une option ni un projet ponctuel. C'est un processus continu. Commencez par les bases (mots de passe, sauvegardes, mises à jour) et améliorez progressivement. Chaque mois, faites un petit pas de plus. Et n'oubliez pas : NovaSec est là pour vous accompagner à chaque étape.
Formation NovaSec – Tous droits réservés – 2026 – Version 1.0