Cette formation est protégée. Veuillez saisir le mot de passe reçu lors de votre achat.
Formation cybersécurité pour TPE/PME
Guide complet de cybersécurité
49 €
Version 1.0 — 2026 — ~25 pages
Le guide ultime pour protéger votre entreprise : synthèse des 5 formations NovaSec, avec plan d'action priorisé, feuille de route 12 mois, lexique et ressources.
En tant que dirigeant de TPE/PME, vous avez déjà 1 000 choses à gérer. La cybersécurité ne devrait pas être un casse-tête supplémentaire. Voici l'essentiel à retenir :
| Menace | Probabilité | Impact | Solution rapide |
|---|---|---|---|
| Phishing (email piégé) | Très élevée | Vol identifiants, rançongiciel | Sensibilisation + 2FA (Formation n°1) |
| Mot de passe faible | Élevée | Compte piraté, fuite de données | Gestionnaire + 2FA (Formation n°2) |
| Absence de sauvegarde | Moyenne | Perte définitive des données | Sauvegarde 3-2-1 (Formation n°3) |
C'est la porte d'entrée de tout votre système informatique. Voici les règles d'or :
| Service | 2FA obligatoire ? |
|---|---|
| Email principal (Gmail, Outlook, ProtonMail) | OUI — dès maintenant |
| Banque en ligne | OUI — dès maintenant |
| Gestionnaire de mots de passe | OUI — dès maintenant |
| Hébergement / nom de domaine | OUI — dès maintenant |
| Réseaux sociaux (LinkedIn, Facebook, X) | OUI |
| SaaS métier (CRM, facturation, comptabilité) | OUI |
| Administration WordPress / site web | OUI |
Les éditeurs publient des mises à jour pour corriger des failles de sécurité. Ne pas les installer, c'est laisser une porte ouverte aux pirates.
| Logiciel | Fréquence de mise à jour | Configuration |
|---|---|---|
| Windows 10/11 | Mensuelle (Patch Tuesday) | Mises à jour automatiques activées |
| macOS | Quelques fois par an | Mises à jour automatiques activées |
| Navigateurs (Chrome, Firefox, Edge) | Toutes les 2-4 semaines | Mise à jour automatique (vérifier paramètres) |
| Antivirus | Quotidienne (définitions) | Mise à jour automatique |
| Applications métiers | Variable | Vérifier manuellement chaque mois |
| Smartphone (iOS/Android) | Mensuelle | Mise à jour automatique activée |
Pour les serveurs : un antivirus avec protection en temps réel est recommandé. Windows Defender peut suffire sur un petit serveur. Pour les serveurs Linux, utilisez ClamAV (gratuit, open source).
La sauvegarde est la mesure de cybersécurité la plus importante. Si tout le reste échoue, elle vous permet de tout récupérer.
Application concrète pour une TPE :
| Données | Support | Fréquence |
|---|---|---|
| Documents comptables, factures, devis | Cloud + disque externe | Quotidienne |
| Base de données client | Cloud | Quotidienne |
| Site web (fichiers + BDD) | Cloud (UpdraftPlus) | Hebdomadaire |
| Emails professionnels | Export PST / Sauvegarde 365 | Mensuelle |
| Configuration logiciels métiers | Cloud | À chaque modification |
| Mots de passe (export gestionnaire) | Hors ligne (clé USB chiffrée) | Mensuelle |
Une sauvegarde que vous ne testez pas n'est pas une sauvegarde. C'est un vœu pieux. Tous les 3 mois, testez la restauration d'au moins un fichier. Une fois par an, testez la restauration complète d'un poste.
| Action | Détail |
|---|---|
| Chiffrement WPA3 (ou WPA2 minimum) | Vérifier dans l'interface de votre box/Fritzbox |
| Mot de passe WiFi : 16+ caractères | Généré par votre gestionnaire de mots de passe |
| Réseau invité | Les clients et visiteurs n'ont pas accès à votre réseau interne |
| Mot de passe administrateur de la box | Changer le mot de passe par défaut (admin/admin, freebox/freebox) |
| WPS | Désactiver (permet de connecter un appareil avec un code PIN de 8 chiffres crackable) |
Si vos employés se connectent depuis l'extérieur :
La sécurité humaine est le maillon le plus important (et le plus faible). Un employé bien formé est votre meilleure défense.
| Fréquence | Action | Durée |
|---|---|---|
| À l'embauche | Session d'accueil : mots de passe, phishing, procédures | 30 min |
| Tous les 6 mois | Formation cybersécurité (utilisez les formations NovaSec) | 1h |
| Tous les mois | Astuce sécurité par email (newsletter interne) | 2 min |
| 2x par an | Test de phishing simulé | — |
| 1x par an | Rappel de la charte informatique (à faire signer) | 15 min |
Si votre entreprise a un site web :
Même avec toutes les précautions, une attaque peut arriver. Voici la procédure à suivre, étape par étape.
| Contact | Numéro / Site |
|---|---|
| NovaSec | Contact@NovaSec81.gmail.com |
| Opposition bancaire (carte) | Appeler votre banque (voir au dos de la carte) |
| CNIL (notifier une fuite) | cnil.fr |
| Cybermalveillance.gouv.fr | cybermalveillance.gouv.fr — assistance et signalement |
| Signal Spam (phishing) | signal-spam.fr |
| Police / Gendarmerie | 17 (urgence) ou pre-plainte-en-ligne.gouv.fr |
| Terme | Définition simple |
|---|---|
| 2FA (double authentification) | Deuxième vérification (code SMS, appli) en plus du mot de passe |
| Antivirus | Logiciel qui détecte et bloque les programmes malveillants |
| Backdoor | Porte dérobée laissée par un pirate pour revenir sur un système |
| Botnet | Réseau d'ordinateurs infectés, contrôlés à distance par un pirate |
| Brute force | Attaque qui essaie toutes les combinaisons de mots de passe possibles |
| BYOD (Bring Your Own Device) | Politique qui autorise les employés à utiliser leur matériel personnel |
| Chiffrement | Transformation des données en code illisible sans la clé de déchiffrement |
| Cloud | Stockage de données sur des serveurs distants (Google Drive, OneDrive, Dropbox) |
| CMS | Système de gestion de contenu (WordPress, Joomla, Drupal) — permet de créer un site web |
| Credential stuffing | Réutilisation de mots de passe volés pour accéder à d'autres comptes |
| DDoS (déni de service) | Attaque qui submerge un site de requêtes pour le rendre inaccessible |
| DNS | Annuaire qui traduit un nom de domaine (google.fr) en adresse IP |
| Exploit | Programme ou technique qui profite d'une faille de sécurité |
| Firewall (pare-feu) | Barrière qui filtre les connexions entrantes et sortantes |
| FOVI | Faux Ordre de Virement International (arnaque au président) |
| Hameçonnage | Phishing en français |
| IP (adresse) | Numéro d'identification unique d'un appareil sur Internet |
| Keylogger | Logiciel espion qui enregistre tout ce que vous tapez au clavier |
| Malware | Logiciel malveillant (virus, ver, trojan, ransomware) |
| NAS (Network Attached Storage) | Disque dur relié au réseau, accessible par tous les postes |
| Pare-feu | Voir Firewall |
| Phishing | Email frauduleux imitant un organisme de confiance pour voler des données |
| PRA (Plan de Reprise d'Activité) | Procédure pour redémarrer l'activité après une catastrophe |
| Ransomware (rançongiciel) | Logiciel qui chiffre vos fichiers et demande une rançon |
| RGPD | Règlement européen sur la protection des données personnelles |
| Root | Super-administrateur sur Linux (accès total au système) |
| Rootkit | Malware caché profondément dans le système, difficile à détecter |
| RDP (Remote Desktop Protocol) | Protocole Microsoft pour prendre le contrôle d'un PC à distance |
| SIM swapping | Vol de numéro de téléphone pour intercepter les SMS (dont codes 2FA) |
| Smishing | Phishing par SMS |
| Snapshot | Instantanné d'un système à un moment donné (permet de restaurer) |
| Sniffing | Interception de données sur un réseau (WiFi public notamment) |
| Social engineering | Manipulation psychologique pour obtenir des informations ou un accès |
| Spam | Email non sollicité (publicité, arnaque) |
| Spear phishing | Phishing ciblé (personnalisé pour une personne ou entreprise spécifique) |
| SQL injection | Attaque qui injecte du code SQL dans un champ de saisie pour voler des données |
| SSH | Protocole sécurisé pour administrer un serveur à distance |
| SSL/TLS | Protocole de chiffrement pour les connexions HTTPS (le cadenas dans le navigateur) |
| SSO (Single Sign-On) | Un seul mot de passe pour accéder à plusieurs services (Google, Microsoft) |
| Trojan (cheval de Troie) | Logiciel qui se fait passer pour un programme légitime mais qui est malveillant |
| VPN | Réseau privé virtuel : chiffre la connexion entre votre PC et un serveur distant |
| Vishing | Phishing par téléphone (voix) |
| Vulnérabilité | Faille de sécurité dans un logiciel ou un système |
| WAF (Web Application Firewall) | Pare-feu spécialisé pour les applications web (WordPress, sites) |
| Whaling | Phishing ciblant les dirigeants (grosses prises = "baleines") |
| WiFi public | Réseau non sécurisé (hôtel, café, aéroport) — ne jamais faire d'opérations sensibles sans VPN |
| Worm (ver) | Malware qui se propage automatiquement (sans intervention humaine) |
| XSS (Cross-Site Scripting) | Injection de code JavaScript dans une page web pour voler les visiteurs |
| Zero-day | Faille inconnue de l'éditeur, pas encore corrigée (la plus dangereuse) |
| Zero Trust | Stratégie de sécurité : ne faire confiance à personne, vérifier tout le temps |
Si vous ne deviez faire que 10 choses, dans cet ordre :
| Ressource | URL | Utilité |
|---|---|---|
| Cybermalveillance.gouv.fr | cybermalveillance.gouv.fr | Assistance et signalement pour les particuliers et entreprises |
| Signal Spam | signal-spam.fr | Signaler un email de phishing ou un spam |
| CNIL | cnil.fr | Notifier une fuite de données, registre des traitements |
| Have I Been Pwned | haveibeenpwned.com | Vérifier si votre email ou mot de passe a fuité |
| ANSSI | ssi.gouv.fr | Guides et recommandations officielles de cybersécurité |
| Bitwarden | bitwarden.com | Gestionnaire de mots de passe gratuit et open source |
| Cloudflare | cloudflare.com | CDN + pare-feu gratuit pour votre site |
| VirusTotal | virustotal.com | Analyser un fichier suspect avec 70+ antivirus |
| Have I Been Sold | haveibeensold.app | Vérifier si vos données personnelles sont en vente |
| NovaSec | Contact@NovaSec81.gmail.com | Votre partenaire cybersécurité pour TPE/PME |
Voici les documents que vous devriez avoir dans votre entreprise :
Formation NovaSec – Tous droits réservés – 2026 – Version 1.0