Un programme concret de 6 mois pour mettre votre entreprise à l'abri des cyberattaques — sans jargon, sans bullshit, avec des solutions chiffrées par taille d'entreprise.
Cher dirigeant,
En 20 ans à accompagner des PME et ETI dans la sécurisation de leur système d'information, j'ai vu défiler des dizaines de cas de cyberattaques. Et j'ai constaté une chose : il n'y a aucune fatalité. Les entreprises qui s'effondrent après un ransomware ne sont pas celles qui ont eu "pas de chance" — ce sont celles qui n'avaient pas pris les bonnes mesures, dans le bon ordre, au bon moment.
Ce guide n'est ni un cours académique, ni un catalogue de produits. C'est ce que je dirais à un ami dirigeant qui m'appellerait un dimanche soir en demandant : « Christophe, par quoi je commence ? »
10 actions. Pas 50. Pas une liste exhaustive ANSSI. Les 10 qui ont le meilleur rapport effort/protection pour une PME française en 2026. Pour chacune : pourquoi elle est critique, comment la mettre en œuvre, combien elle coûte (par taille d'entreprise) et la solution concrète que je recommande.
Le pari de ce guide est simple : si vous mettez en œuvre ces 10 actions dans les 6 prochains mois, vous diviserez par 10 votre exposition au risque cyber. Pas zéro — il n'existe pas de sécurité totale — mais suffisamment pour qu'une attaque devienne un incident gérable plutôt qu'une catastrophe.
Je suis disponible si vous souhaitez en parler. Mon métier est d'aider les dirigeants comme vous à dormir tranquilles.
Ce guide est conçu pour être lu en 20 minutes ou consulté action par action. Chaque fiche est présentée sur une seule page et suit le même gabarit : pourquoi, comment, combien, indicateurs, pièges, solution recommandée.
Parcourez les 10 fiches en lecture en diagonale pour identifier vos points faibles évidents.
Faites le test en ligne sur mederi-consulting.fr/evaluation-cyber.html pour objectiver votre score sur 100.
Avec la checklist de la la checklist en fin de guide, cochez ce qui est déjà fait, planifiez le reste sur 6 mois.
Suivez le calendrier J→M+6 le calendrier en fin de guide. Une action par mois, plus 4 actions accélérées au début.
| Mention | Signification |
|---|---|
| TPE | 1 à 10 utilisateurs |
| PME | 10 à 100 utilisateurs |
| ETI | 100 à 1000 utilisateurs |
| Tarifs | Indicatifs HT au mois ou à l'année, hors mise en œuvre |
| Délai | Temps pour passer de "rien" à "opérationnel" |
Selon Microsoft, l'authentification multifacteur (MFA) bloque 99,9% des tentatives automatisées de compromission de compte. C'est, sans exception, l'action ayant le meilleur ratio effort/impact en cybersécurité.
Concrètement : même si un attaquant connaît votre mot de passe (fuite, phishing, force brute), il est arrêté net devant le second facteur. Sans MFA, un seul mot de passe fuité (et il y en a des milliards dans la nature) suffit à compromettre votre messagerie, votre cloud, votre VPN, vos outils métier.
| TPE (1-10) | PME (10-100) | ETI (100+) |
|---|---|---|
| Gratuit via Microsoft 365 Basic. Authenticator gratuit. | 0 à 3€/utilisateur/mois selon licences déjà souscrites. | 3 à 6€/utilisateur/mois avec Conditional Access (Entra ID P1/P2). |
Une fois le MFA déployé, l'étape suivante est l'authentification sans mot de passe (Passkeys, Windows Hello for Business). Plus simple pour les utilisateurs, plus sûr techniquement. Mais c'est un objectif à 12-24 mois, pas une priorité immédiate.
Pensez aussi à l'accès conditionnel (Microsoft Entra Conditional Access) : "ce compte ne peut se connecter que depuis la France, en semaine, hors VPN inconnu". Cela complète le MFA en bloquant des contextes anormaux.
Microsoft Authenticator — gratuit, déjà inclus dans toutes les licences Microsoft 365 et Google Workspace, disponible sur iOS et Android. Compatibilité native avec la quasi-totalité des outils SaaS du marché (notifications push, codes TOTP). MEDERI vous accompagne pour le déploiement structuré sur l'ensemble de votre périmètre.
70% des PME touchées par un ransomware n'avaient pas de sauvegarde testée et restaurable. Et 60% des PME qui n'arrivent pas à restaurer leurs données ferment dans les 6 mois suivants. La sauvegarde n'est pas un sujet IT, c'est un sujet de survie d'entreprise.
Les ransomwares modernes ne se contentent plus de chiffrer les fichiers : ils recherchent activement les sauvegardes et les détruisent en premier. Un NAS connecté en partage SMB ? Chiffré. Une sauvegarde Cloud avec les mêmes credentials AD ? Effacée. La règle "3-2-1" classique ne suffit plus.
| TPE (1-10) | PME (10-100) | ETI (100+) |
|---|---|---|
| 50 à 150€/mois (sauvegarde managée Cloud, ~ 500 Go). | 150 à 800€/mois (sauvegarde locale + cloud, 2 à 20 To). | 800 à 3000€/mois (multi-sites, RTO/RPO strict). |
Une fois la sauvegarde fiable, pensez à la sauvegarde des SaaS : Microsoft 365, Google Workspace, Salesforce, ServiceNow… Ces éditeurs garantissent la disponibilité mais pas la récupération de vos données en cas de suppression accidentelle ou malveillante au-delà de leur courte fenêtre native (30 à 90 jours).
Considérez également un test annuel de "restauration totale" : remontez l'intégralité du SI sur un environnement isolé. C'est l'équivalent de l'exercice incendie pour votre IT.
Télésauvegarde MEDERI — service de sauvegarde managée, hébergée en France, avec immuabilité native, isolation totale du SI client, console hors domaine AD, et test de restauration trimestriel inclus. Tarif PME : à partir de 150€/mois. Le seul service de sauvegarde qui vous garantit un rapport de test signé tous les 3 mois.
78% des nouvelles menaces ne sont détectées que par EDR comportemental (AV-Test 2025). Les antivirus traditionnels fonctionnent sur des signatures connues : ils détectent ce qu'on leur a déjà appris. Les ransomwares modernes utilisent des techniques "fileless" (sans fichier malveillant), du living-off-the-land (abus d'outils légitimes comme PowerShell, WMI), et changent leur empreinte à chaque variante.
L'EDR (Endpoint Detection & Response) observe en temps réel les comportements suspects : un Word qui lance PowerShell qui chiffre des fichiers en masse ? Bloqué. Un script qui essaie d'effacer les Shadow Copies ? Bloqué. Et si une menace passe, l'EDR permet le rollback automatique.
| TPE (1-10) | PME (10-100) | ETI (100+) |
|---|---|---|
| 6 à 10€/poste/mois (offre PME, sans SOC). | 5 à 8€/poste/mois (selon volume, avec console centralisée). | 4 à 6€/poste/mois + 1500-5000€/mois pour un SOC managé. |
L'évolution naturelle de l'EDR est le XDR (Extended Detection & Response) qui corrèle les signaux des postes, du réseau, du cloud et des identités. Pour une PME, ce n'est pas une priorité immédiate, mais pertinent quand on dépasse 100 postes ou en cas d'exigence client (ISO 27001, SOC 2).
Pour aller plus loin sans complexité, l'ajout d'un MDR (Managed Detection & Response) externalise l'analyse 24/7 des alertes. C'est l'équivalent d'une "garde médicale cyber" : votre EDR est lu en continu par des analystes humains.
SentinelOne Singularity — EDR/XDR autonome basé sur l'IA, avec rollback automatique en cas de ransomware (restauration des fichiers chiffrés en quelques secondes), couverture Windows / macOS / Linux, et console claire pour DSI PME. Partenaire MEDERI direct, déploiement, configuration et supervision possibles via notre service managé.
82% des compromissions initiales impliquent un facteur humain selon le DBIR 2025 de Verizon : phishing, clic sur pièce jointe, mot de passe faible, ingénierie sociale. Le maillon faible n'est pas votre firewall, c'est votre collaborateur fatigué qui clique le vendredi à 17h30 sur le mail "URGENT".
Bonne nouvelle : cette fragilité se corrige. Une campagne continue de phishing simulé fait baisser le taux de clic de 30% (état initial moyen) à 5% en 12 mois. Les meilleures pratiques transforment chaque collaborateur en premier capteur d'alerte.
| TPE (1-10) | PME (10-100) | ETI (100+) |
|---|---|---|
| 5 à 10€/utilisateur/mois (plateforme SaaS clé en main). | 3 à 6€/utilisateur/mois (volume + scénarios personnalisés). | 2 à 4€/utilisateur/mois + accompagnement annuel. |
Une fois le programme rodé, complétez par des exercices de social engineering plus avancés : appels téléphoniques simulés (vishing), SMS frauduleux (smishing), tentatives d'intrusion physique pour les sites sensibles.
Ajoutez aussi un volet juridique RH : clause "cybersécurité" dans le règlement intérieur, charte informatique, mention dans la fiche de poste pour les recrutements.
GoFish — plateforme française de simulation de phishing et e-learning cybersécurité, conforme RGPD, avec catalogue de scénarios pré-rédigés en français adaptés au contexte PME. MEDERI vous accompagne dans la conception des scénarios spécifiques à votre secteur, l'analyse des résultats, et la communication interne pour transformer la sensibilisation en culture.
62% des collaborateurs réutilisent leurs mots de passe entre comptes professionnels et personnels (NordPass 2025). Un seul mot de passe fuité via un site de e-commerce piraté = compromission en cascade de votre messagerie, ERP, banque. Le "credential stuffing" (test automatique de combos email/mot de passe sur tous les sites) est l'une des techniques d'attaque les plus rentables actuellement.
Il ne s'agit pas d'imposer des mots de passe de 20 caractères incompréhensibles (qui finiront sur post-it sous le clavier), mais de construire une politique réaliste assortie d'un gestionnaire.
| TPE (1-10) | PME (10-100) | ETI (100+) |
|---|---|---|
| KeePassXC : gratuit. Bitwarden Free : gratuit. | Specops Password Policy : 3-5€/utilisateur/an + Bitwarden Business : 3-5€/utilisateur/mois. | 1Password Business / Bitwarden Enterprise : 6-8€/utilisateur/mois. |
L'évolution naturelle est l'authentification sans mot de passe (Passkeys, Windows Hello for Business, FIDO2). Les standards arrivent à maturité en 2026 : c'est le sens de l'histoire. Plus de mot de passe à mémoriser, juste votre empreinte ou un PIN local sur votre appareil. Microsoft, Google, Apple, GitHub, Amazon supportent désormais nativement les Passkeys.
Pour les comptes admin, envisagez les clés physiques FIDO2 (YubiKey, Feitian) : impossibles à phisher, immuables, durables.
Specops Password Policy pour la politique technique sur Active Directory (vérification temps réel des mots de passe compromis, blocage des chaînes faibles, politique adaptée au contexte) + KeePassXC comme gestionnaire gratuit pour les utilisateurs (libre, open source, sans cloud obligatoire). MEDERI vous accompagne sur la mise en place et la formation des équipes.
91% des cyberattaques commencent par un email (Deloitte 2025). Phishing, fraude au président, pièces jointes piégées, liens vers de faux sites… L'email est le tapis de bombes que les attaquants déversent par millions chaque jour. Le filtrage natif d'Outlook ou Gmail attrape l'évident mais laisse passer le sophistiqué.
Un service de filtrage avancé en amont (passerelle de sécurité email — SEG) bloque jusqu'à 99% des menaces avant l'arrivée dans la boîte. Inspection des pièces jointes en bac-à-sable, analyse comportementale, détection de la fraude au président, réécriture d'URL : ce sont des défenses que votre messagerie ne peut pas faire seule.
| TPE (1-10) | PME (10-100) | ETI (100+) |
|---|---|---|
| 2 à 3€/boîte/mois (offre PME complète, sandboxing inclus). | 1 à 2€/boîte/mois (volume, fonctionnalités étendues). | 0,5 à 1€/boîte/mois + sandbox avancé en option. |
Pour les entreprises particulièrement exposées (santé, finance, défense, presse), ajoutez un SOC managé pour les emails qui investiguera les signalements en moins d'une heure, et procédera à la suppression rétroactive des emails malveillants dans toutes les boîtes touchées.
Pensez également à l'authentification BIMI (Brand Indicators for Message Identification) qui affiche votre logo officiel à côté de votre nom dans Gmail / Yahoo / Apple Mail — renforce la confiance et bloque l'usurpation visuelle.
MailInBlack — solution française de filtrage email (Aix-en-Provence), avec sandboxing automatique de toute pièce jointe ou URL, détection IA de la fraude au président, authentification "Visiblement Sûr" du destinataire, et conformité RGPD native. MEDERI accompagne la configuration DNS (SPF/DKIM/DMARC), le déploiement de la passerelle et la formation utilisateurs.
60% des cyberattaques exploitent une vulnérabilité corrigée depuis plus de 90 jours (Verizon DBIR 2025). Le patch existe, mais personne ne l'a déployé. Les attaquants exploitent en priorité les vulnérabilités publiquement connues car elles sont les mieux documentées et outillées.
Patcher est ingrat (aucune visibilité, aucune reconnaissance, sauf quand on rate), mais c'est l'hygiène de base. Ne pas patcher Windows ou un firewall, c'est l'équivalent de laisser sa porte ouverte la nuit en quartier touristique — pas une question de "si" on entre, mais "quand".
| TPE (1-10) | PME (10-100) | ETI (100+) |
|---|---|---|
| WSUS : gratuit (Windows Server). Microsoft Intune Cloud : à partir de 8€/utilisateur/mois. | WSUS + GPO : gratuit. Intune via M365 Business Premium : 19€/utilisateur/mois (tout inclus). | Solutions tierces (ManageEngine, Ivanti, Tanium) : 5 à 15€/poste/an. |
Une fois le processus rodé, ajoutez une solution de gestion des vulnérabilités (Tenable, Qualys, Rapid7) qui scanne en continu votre SI et priorise les failles à corriger selon leur criticité et leur exploitabilité réelle (KEV — Known Exploited Vulnerabilities).
Pour les applications développées en interne ou par des prestataires, mettez en place une politique de mise à jour contractuelle : votre éditeur doit s'engager sur des délais de correction (ex : 14 jours pour critique, 30 jours pour high, 90 jours pour medium).
WSUS (Windows Server Update Services) pour les environnements Windows on-premise : gratuit, intégré au domaine, gestion centralisée. Pour les environnements cloud/hybrides ou multi-plateformes, Microsoft Intune offre une gestion unifiée Windows / macOS / iOS / Android avec automatisation poussée. MEDERI met en place et supervise l'ensemble selon votre contexte.
Une entreprise française est attaquée toutes les 39 secondes en moyenne (CESIN 2025). 80% des attaques sont automatisées et opportunistes : des robots qui scannent Internet en permanence à la recherche de ports ouverts, services exposés, services Windows non patchés, anciens VPN. La box ISP fournie par votre opérateur ne fait pas le travail.
Un NGFW (Next-Generation Firewall) inspecte le trafic en profondeur : analyse SSL/TLS, prévention d'intrusion (IPS), filtrage Web, contrôle applicatif, anti-malware, géoblocage, segmentation réseau. C'est l'équivalent d'un agent de sécurité formé à la porte de votre entreprise, vs. un verrou de base.
| TPE (1-10) | PME (10-100) | ETI (100+) |
|---|---|---|
| Firebox T25 / T45 : 800-1500€ + 500-1000€/an souscriptions. | Firebox T80 / M270 / M390 : 2000-5000€ + 1500-4000€/an. | Firebox M590 / M690 et plus : 8000-25000€ + 5000-15000€/an. |
Le firewall reste la pierre angulaire, mais l'évolution est vers le SASE (Secure Access Service Edge) qui unifie firewall, VPN, accès Zero Trust, et sécurité cloud dans un même service. Pertinent quand vous avez beaucoup de télétravail et de SaaS.
Pour les usages spécifiques (industrie, OT, IoT), pensez à un firewall industriel séparé qui comprend les protocoles Modbus, OPC-UA, BACnet — un firewall IT ne suffit pas à protéger une chaîne de production.
WatchGuard Firebox — gamme de NGFW reconnue pour son rapport qualité/prix et sa facilité d'administration en environnement PME/ETI. WatchGuard est partenaire historique de MEDERI : déploiement clé en main, configuration sur-mesure, supervision continue, mise à jour des règles et des firmwares dans le cadre de notre service managé.
Le coût moyen d'une cyberattaque pour une PME française est de 40 000 € (CESIN 2025), mais peut atteindre plusieurs centaines de milliers d'euros en cas de paralysie. Une entreprise préparée réduit ce coût de 60%. Chaque heure gagnée pendant la première journée vaut plusieurs milliers d'euros. Et quand on n'est pas préparé, les premières 24 heures sont chaotiques : qui décide ? qui prévient les clients ? qui contacte la CNIL ? doit-on payer la rançon ?
La gestion de crise cyber ne s'improvise pas. Un PGC (Plan de Gestion de Crise) écrit, testé, et tenu à jour est ce qui sépare un incident gérable d'une catastrophe d'entreprise.
| TPE (1-10) | PME (10-100) | ETI (100+) |
|---|---|---|
| 3 000 à 5 000€ (PGC + 1 exercice tabletop). | 5 000 à 12 000€ (PGC + exercices + procédures). | 12 000 à 25 000€ + retainer 24/7 en option. |
Pour les PME exposées (santé, finance, OIV) ou les ETI, ajoutez un retainer 24/7 avec un prestataire cyber spécialisé. C'est l'équivalent d'un médecin de garde : vous payez quelques milliers d'euros par an pour garantir une intervention sous 2 heures, jour et nuit, en cas d'attaque.
Pensez aussi à la communication de crise : faire briefer 2-3 personnes (dirigeant + responsable communication) par un journaliste expérimenté. La maîtrise médiatique fait partie de la gestion de crise.
Accompagnement MEDERI personnalisé — nous co-rédigeons votre PGC à partir de notre modèle éprouvé, animons votre premier exercice de crise (tabletop avec scénario réaliste), et restons votre cellule de crise externe en cas d'incident. Notre numéro d'urgence cyber : 03.65.89.07.57 (24/7 en option). Tarif PME à partir de 5 000€ HT pour le PGC + 1 exercice annuel.
Les 9 actions précédentes posent les fondations techniques et opérationnelles. La gouvernance cyber, c'est ce qui les fait tenir dans le temps. Sans elle, les bonnes décisions s'érodent en 12-18 mois : départs, priorités changeantes, mises à jour oubliées, exemptions accumulées.
Les entreprises avec une gouvernance structurée détectent les incidents 47% plus vite (Ponemon Institute 2025) et limitent considérablement leur impact financier. La cybersécurité devient alors un sujet de COMEX, pas une checklist du DSI.
| TPE (1-10) | PME (10-100) | ETI (100+) |
|---|---|---|
| Pyla Essentials : 100-300€/mois. DSI temps partagé : 1 j/mois. | Pyla Pro : 300-800€/mois. DSI temps partagé : 2-3 j/mois. | Pyla Enterprise + RSSI à temps partagé : 2-5 j/mois. |
Une fois la gouvernance en place, visez progressivement une conformité reconnue : ISO 27001 (24-36 mois), HDS pour la santé, NIS2 pour les entités essentielles, SecNumCloud pour les hébergeurs. Ces certifications structurent l'entreprise et deviennent des arguments commerciaux puissants vis-à-vis des grands comptes.
Considérez aussi la cyber-assurance couplée à votre gouvernance : les meilleures polices exigent désormais MFA + EDR + sauvegardes immuables + PGC testé — autant d'éléments que vous aurez mis en place avec les 9 actions précédentes.
Plateforme Pyla — outil français de gouvernance, gestion des risques et conformité cyber adapté aux PME et ETI. Registre des actifs, des risques, des traitements, des incidents, suivi de la conformité NIS2/RGPD/ISO, génération automatique des preuves d'audit. MEDERI vous accompagne sur la mise en place (paramétrage, formation, premier comité cyber) et peut tenir le rôle de RSSI à temps partagé pour piloter dans la durée.
Cochez chaque case quand l'action est effectivement mise en œuvre — pas planifiée, pas commencée, mais opérationnelle et mesurée. L'objectif est d'arriver à 10/10 dans les 6 mois.
Comparez avec notre auto-diagnostic en ligne : mederi-consulting.fr/evaluation-cyber.html (3 minutes, score sur 100)
Voici un séquencement éprouvé. Les actions 1-3 sont prioritaires (les "quick wins" à fort impact). Les actions 4-7 suivent dans les 3 mois. Les actions 8-10 sont les fondations structurantes à finaliser dans le semestre.
Si vous lancez 3 actions en parallèle (MFA + Sauvegardes + EDR le premier mois), prévoyez au minimum 1 ETP IT à 25% ou un accompagnement externe pour ne pas s'épuiser. Ces 3 actions à elles seules réduisent 70% de votre exposition au risque cyber dans le premier mois.
NIS2 (loi du 30 avril 2025) · DORA (applicable depuis 17 janvier 2025) · RGPD (depuis 2018) · Cyber Resilience Act (déc. 2027) · Article 226-17 Code pénal (obligation de sécurité des données).
Vous avez maintenant la feuille de route. Reste à la mettre en œuvre.
MEDERI CONSULTING accompagne les dirigeants de PME et ETI des Hauts-de-France pour passer du diagnostic à l'exécution. Que vous démarriez à zéro ou que vous ayez déjà quelques fondations, nous adaptons notre intervention à votre maturité, votre budget et vos contraintes opérationnelles.
Réservez 30 minutes avec Christophe Moisan pour discuter de votre situation — sans engagement, sans facture.
📅 Bloquer un rendez-vous