Formation payante

Cette formation est protégée. Veuillez saisir le mot de passe reçu lors de votre achat.

Mot de passe incorrect.

NovaSec

Formation cybersécurité pour TPE/PME

Guide complet de cybersécurité

49 €

Version 1.0 — 2026 — ~25 pages

Le guide ultime pour protéger votre entreprise : synthèse des 5 formations NovaSec, avec plan d'action priorisé, feuille de route 12 mois, lexique et ressources.

Sommaire

Le cyber-risque expliqué simplement

En tant que dirigeant de TPE/PME, vous avez déjà 1 000 choses à gérer. La cybersécurité ne devrait pas être un casse-tête supplémentaire. Voici l'essentiel à retenir :

Les 3 menaces principales

MenaceProbabilitéImpactSolution rapide
Phishing (email piégé)Très élevéeVol identifiants, rançongicielSensibilisation + 2FA (Formation n°1)
Mot de passe faibleÉlevéeCompte piraté, fuite de donnéesGestionnaire + 2FA (Formation n°2)
Absence de sauvegardeMoyennePerte définitive des donnéesSauvegarde 3-2-1 (Formation n°3)
Le saviez-vous ? La cybersécurité n'est pas un coût, c'est un investissement. En moyenne, 1 € dépensé en prévention évite 5 € de pertes en cas d'attaque. Une TPE qui investit 1 000 €/an dans sa sécurité se protège contre un risque moyen de 8 000 à 15 000 €.

Pilier 1 : Mots de passe et accès

C'est la porte d'entrée de tout votre système informatique. Voici les règles d'or :

La politique de mots de passe (à appliquer partout)

La double authentification (2FA) — activer partout

Service2FA obligatoire ?
Email principal (Gmail, Outlook, ProtonMail)OUI — dès maintenant
Banque en ligneOUI — dès maintenant
Gestionnaire de mots de passeOUI — dès maintenant
Hébergement / nom de domaineOUI — dès maintenant
Réseaux sociaux (LinkedIn, Facebook, X)OUI
SaaS métier (CRM, facturation, comptabilité)OUI
Administration WordPress / site webOUI

Checklist mensuelle des accès

Pilier 2 : Mises à jour et antivirus

Les mises à jour : votre bouclier automatique

Les éditeurs publient des mises à jour pour corriger des failles de sécurité. Ne pas les installer, c'est laisser une porte ouverte aux pirates.

LogicielFréquence de mise à jourConfiguration
Windows 10/11Mensuelle (Patch Tuesday)Mises à jour automatiques activées
macOSQuelques fois par anMises à jour automatiques activées
Navigateurs (Chrome, Firefox, Edge)Toutes les 2-4 semainesMise à jour automatique (vérifier paramètres)
AntivirusQuotidienne (définitions)Mise à jour automatique
Applications métiersVariableVérifier manuellement chaque mois
Smartphone (iOS/Android)MensuelleMise à jour automatique activée

Antivirus

Pour les serveurs : un antivirus avec protection en temps réel est recommandé. Windows Defender peut suffire sur un petit serveur. Pour les serveurs Linux, utilisez ClamAV (gratuit, open source).

Pilier 3 : Sauvegardes

La sauvegarde est la mesure de cybersécurité la plus importante. Si tout le reste échoue, elle vous permet de tout récupérer.

La règle 3-2-1

Application concrète pour une TPE :

Que sauvegarder ?

DonnéesSupportFréquence
Documents comptables, factures, devisCloud + disque externeQuotidienne
Base de données clientCloudQuotidienne
Site web (fichiers + BDD)Cloud (UpdraftPlus)Hebdomadaire
Emails professionnelsExport PST / Sauvegarde 365Mensuelle
Configuration logiciels métiersCloudÀ chaque modification
Mots de passe (export gestionnaire)Hors ligne (clé USB chiffrée)Mensuelle

Test de restauration

Une sauvegarde que vous ne testez pas n'est pas une sauvegarde. C'est un vœu pieux. Tous les 3 mois, testez la restauration d'au moins un fichier. Une fois par an, testez la restauration complète d'un poste.

Erreur fatale n°1 : brancher le disque de sauvegarde en permanence sur le serveur. Un ransomware le chiffrera aussi → adieu les sauvegardes. Débranchez-le ou utilisez un NAS avec snapshots immutables.

Pilier 4 : Réseau et équipements

WiFi professionnel

ActionDétail
Chiffrement WPA3 (ou WPA2 minimum)Vérifier dans l'interface de votre box/Fritzbox
Mot de passe WiFi : 16+ caractèresGénéré par votre gestionnaire de mots de passe
Réseau invitéLes clients et visiteurs n'ont pas accès à votre réseau interne
Mot de passe administrateur de la boxChanger le mot de passe par défaut (admin/admin, freebox/freebox)
WPSDésactiver (permet de connecter un appareil avec un code PIN de 8 chiffres crackable)

VPN pour le télétravail

Si vos employés se connectent depuis l'extérieur :

Sécurité des postes de travail

Pilier 5 : Sensibilisation des équipes

La sécurité humaine est le maillon le plus important (et le plus faible). Un employé bien formé est votre meilleure défense.

Programme de sensibilisation minimal

FréquenceActionDurée
À l'embaucheSession d'accueil : mots de passe, phishing, procédures30 min
Tous les 6 moisFormation cybersécurité (utilisez les formations NovaSec)1h
Tous les moisAstuce sécurité par email (newsletter interne)2 min
2x par anTest de phishing simulé
1x par anRappel de la charte informatique (à faire signer)15 min

Les 5 règles à connaître absolument

  1. Ne cliquez pas sans vérifier. Survolez les liens, regardez l'expéditeur, prenez 5 secondes.
  2. Ne donnez jamais votre mot de passe. Ni par téléphone, ni par email, ni à un collègue.
  3. Verrouillez votre poste quand vous vous levez (même pour aller aux toilettes).
  4. Signalez tout comportement suspect à votre responsable ou à NovaSec.
  5. Mettez à jour vos logiciels quand le système vous le propose.

Pilier 6 : Sites web et WordPress (si applicable)

Si votre entreprise a un site web :

Les 10 actions essentielles

  1. HTTPS obligatoire : votre site doit être en https:// (certificat SSL gratuit avec Let's Encrypt)
  2. Mises à jour automatiques : activez-les pour WordPress (ou votre CMS)
  3. Extensions minimales : moins vous en avez, moins vous avez de failles
  4. Extensions à jour : supprimez celles qui ne sont plus mises à jour depuis 6 mois+
  5. Comptes utilisateurs : pas de compte "admin", pas de mot de passe faible
  6. 2FA sur l'administration : obligatoire (Wordfence, WP 2FA)
  7. Sauvegardes automatiques : UpdraftPlus ou extension similaire
  8. Pare-feu applicatif (WAF) : Cloudflare (gratuit) ou Wordfence
  9. Limitation de connexion : bloquer après 5 tentatives échouées
  10. Scan de malware régulier : Wordfence fait ça automatiquement
Rappel : Voir la formation dédiée "Sécuriser WordPress" pour le guide complet. Si votre site est fait avec un autre CMS (Wix, Shopify, Jimdo), vérifiez les options de sécurité proposées par la plateforme.

Pilier 7 : Réponse aux incidents

Même avec toutes les précautions, une attaque peut arriver. Voici la procédure à suivre, étape par étape.

Procédure d'urgence (les 30 premières minutes)

  1. Isoler l'équipement touché : débranchez le câble réseau, coupez le WiFi
  2. Couper les accès distants : désactivez le VPN, RDP, TeamViewer
  3. Prévenir le dirigeant : informe immédiatement votre chef d'entreprise
  4. Contacter NovaSec (ou votre prestataire sécurité) pour prendre la main
  5. Changer les mots de passe des comptes critiques (email, banque, hébergement)
  6. Ne pas éteindre le PC : les experts ont besoin des logs en mémoire

Fuite de données personnelles (RGPD)

  1. Identifier la nature et l'ampleur de la fuite
  2. Contenir la fuite (corriger la faille, couper l'accès)
  3. Notifier la CNIL sous 72h (obligation légale) via leur formulaire en ligne
  4. Informer les personnes concernées (clients, employés)
  5. Documenter l'incident pour l'analyse post-mortem

Contacts d'urgence à afficher

ContactNuméro / Site
NovaSecContact@NovaSec81.gmail.com
Opposition bancaire (carte)Appeler votre banque (voir au dos de la carte)
CNIL (notifier une fuite)cnil.fr
Cybermalveillance.gouv.frcybermalveillance.gouv.fr — assistance et signalement
Signal Spam (phishing)signal-spam.fr
Police / Gendarmerie17 (urgence) ou pre-plainte-en-ligne.gouv.fr

Lexique de la cybersécurité (50 termes)

TermeDéfinition simple
2FA (double authentification)Deuxième vérification (code SMS, appli) en plus du mot de passe
AntivirusLogiciel qui détecte et bloque les programmes malveillants
BackdoorPorte dérobée laissée par un pirate pour revenir sur un système
BotnetRéseau d'ordinateurs infectés, contrôlés à distance par un pirate
Brute forceAttaque qui essaie toutes les combinaisons de mots de passe possibles
BYOD (Bring Your Own Device)Politique qui autorise les employés à utiliser leur matériel personnel
ChiffrementTransformation des données en code illisible sans la clé de déchiffrement
CloudStockage de données sur des serveurs distants (Google Drive, OneDrive, Dropbox)
CMSSystème de gestion de contenu (WordPress, Joomla, Drupal) — permet de créer un site web
Credential stuffingRéutilisation de mots de passe volés pour accéder à d'autres comptes
DDoS (déni de service)Attaque qui submerge un site de requêtes pour le rendre inaccessible
DNSAnnuaire qui traduit un nom de domaine (google.fr) en adresse IP
ExploitProgramme ou technique qui profite d'une faille de sécurité
Firewall (pare-feu)Barrière qui filtre les connexions entrantes et sortantes
FOVIFaux Ordre de Virement International (arnaque au président)
HameçonnagePhishing en français
IP (adresse)Numéro d'identification unique d'un appareil sur Internet
KeyloggerLogiciel espion qui enregistre tout ce que vous tapez au clavier
MalwareLogiciel malveillant (virus, ver, trojan, ransomware)
NAS (Network Attached Storage)Disque dur relié au réseau, accessible par tous les postes
Pare-feuVoir Firewall
PhishingEmail frauduleux imitant un organisme de confiance pour voler des données
PRA (Plan de Reprise d'Activité)Procédure pour redémarrer l'activité après une catastrophe
Ransomware (rançongiciel)Logiciel qui chiffre vos fichiers et demande une rançon
RGPDRèglement européen sur la protection des données personnelles
RootSuper-administrateur sur Linux (accès total au système)
RootkitMalware caché profondément dans le système, difficile à détecter
RDP (Remote Desktop Protocol)Protocole Microsoft pour prendre le contrôle d'un PC à distance
SIM swappingVol de numéro de téléphone pour intercepter les SMS (dont codes 2FA)
SmishingPhishing par SMS
SnapshotInstantanné d'un système à un moment donné (permet de restaurer)
SniffingInterception de données sur un réseau (WiFi public notamment)
Social engineeringManipulation psychologique pour obtenir des informations ou un accès
SpamEmail non sollicité (publicité, arnaque)
Spear phishingPhishing ciblé (personnalisé pour une personne ou entreprise spécifique)
SQL injectionAttaque qui injecte du code SQL dans un champ de saisie pour voler des données
SSHProtocole sécurisé pour administrer un serveur à distance
SSL/TLSProtocole de chiffrement pour les connexions HTTPS (le cadenas dans le navigateur)
SSO (Single Sign-On)Un seul mot de passe pour accéder à plusieurs services (Google, Microsoft)
Trojan (cheval de Troie)Logiciel qui se fait passer pour un programme légitime mais qui est malveillant
VPNRéseau privé virtuel : chiffre la connexion entre votre PC et un serveur distant
VishingPhishing par téléphone (voix)
VulnérabilitéFaille de sécurité dans un logiciel ou un système
WAF (Web Application Firewall)Pare-feu spécialisé pour les applications web (WordPress, sites)
WhalingPhishing ciblant les dirigeants (grosses prises = "baleines")
WiFi publicRéseau non sécurisé (hôtel, café, aéroport) — ne jamais faire d'opérations sensibles sans VPN
Worm (ver)Malware qui se propage automatiquement (sans intervention humaine)
XSS (Cross-Site Scripting)Injection de code JavaScript dans une page web pour voler les visiteurs
Zero-dayFaille inconnue de l'éditeur, pas encore corrigée (la plus dangereuse)
Zero TrustStratégie de sécurité : ne faire confiance à personne, vérifier tout le temps

Feuille de route 12 mois

Mois 1 : Les bases urgentes

Mois 2 : Structure

Mois 3 : Formation

Mois 4 : Approfondissement

Mois 5 : Réseau et équipements

Mois 6-8 : Consolidation

Mois 9-12 : Maintenance

Plan d'action priorisé (les 10 actions immédiates)

Si vous ne deviez faire que 10 choses, dans cet ordre :

  1. 🔴 2FA sur l'email principal — 10 min — gratuit. C'est le compte qui permet de réinitialiser tous les autres.
  2. 🔴 Gestionnaire de mots de passe — 30 min — gratuit (Bitwarden). Générez des mots de passe forts uniques.
  3. 🔴 Sauvegarde cloud — 1h — 5-15 €/mois. Vos données les plus critiques doivent être sauvegardées automatiquement.
  4. 🔴 Mises à jour — 30 min — gratuit. Vérifiez Windows, macOS, navigateurs, antivirus, logiciels métiers.
  5. 🔴 Antivirus actif — 15 min — gratuit. Windows Defender est bon, mais vérifiez qu'il est bien activé.
  6. 🔴 Changer les mots de passe par défaut — 20 min — gratuit. Box, imprimante, NAS, caméras.
  7. 🟡 Formation des employés (30 min) — 30 min — utilisez les formations NovaSec. C'est votre meilleure protection.
  8. 🟡 Charte informatique — 1h — gratuit. 1 page signée par tous.
  9. 🟡 Réseau WiFi invité — 15 min — gratuit. Séparez le réseau employés du réseau clients.
  10. 🟡 Plan de réponse aux incidents — 1h — gratuit. 1 page avec la procédure d'urgence et les contacts.

Ressources et contacts utiles

RessourceURLUtilité
Cybermalveillance.gouv.frcybermalveillance.gouv.frAssistance et signalement pour les particuliers et entreprises
Signal Spamsignal-spam.frSignaler un email de phishing ou un spam
CNILcnil.frNotifier une fuite de données, registre des traitements
Have I Been Pwnedhaveibeenpwned.comVérifier si votre email ou mot de passe a fuité
ANSSIssi.gouv.frGuides et recommandations officielles de cybersécurité
Bitwardenbitwarden.comGestionnaire de mots de passe gratuit et open source
Cloudflarecloudflare.comCDN + pare-feu gratuit pour votre site
VirusTotalvirustotal.comAnalyser un fichier suspect avec 70+ antivirus
Have I Been Soldhaveibeensold.appVérifier si vos données personnelles sont en vente
NovaSecContact@NovaSec81.gmail.comVotre partenaire cybersécurité pour TPE/PME

Annexe : modèles de documents

Voici les documents que vous devriez avoir dans votre entreprise :

NovaSec vous accompagne — Audit, formation, maintenance et assistance. Vous n'êtes pas seul face à la cybersécurité. Contactez-nous pour un diagnostic gratuit de votre entreprise.

Formation NovaSec – Tous droits réservés – 2026 – Version 1.0