CHECKLIST
20 points de contrôle cybersécurité pour PME/ETI
Évaluez votre posture de sécurité en 20 minutes. Identifiez vos vulnérabilités critiques et priorisez vos actions de remédiation.
Recevez la checklist cybersécurité en PDF
Entrez votre email pour recevoir cette checklist au format imprimable avec les recommandations détaillées.
Pourquoi la cybersécurité est critique pour les PME/ETI
43 % des cyberattaques ciblent les PME et ETI. Pourtant, la majorité d'entre elles n'ont ni RSSI dédié, ni politique de sécurité formalisée. Le résultat : des incidents qui coûtent en moyenne 130 000 euros et peuvent paralyser l'activité pendant plusieurs semaines.
Cette checklist de 20 points couvre les fondamentaux de la cybersécurité organisationnelle et technique. Elle ne remplace pas un audit complet, mais elle vous permet d'identifier rapidement vos angles morts et de prioriser vos investissements de sécurité. Chaque point non couvert représente un risque concret que vous pouvez quantifier et adresser.
Parcourez ces 20 points avec votre équipe IT. Pour chaque point, évaluez honnêtement votre niveau de couverture : complet, partiel ou absent. C'est cette honnêteté qui transforme une checklist en plan d'action.
1. Gouvernance & Organisation
1. Politique de sécurité formalisée
Votre entreprise dispose-t-elle d'une politique de sécurité des systèmes d'information (PSSI) écrite, validée par la direction et communiquée à l'ensemble des collaborateurs ? Ce document fondateur définit les règles, les responsabilités et les sanctions. Sans PSSI, la sécurité repose sur des pratiques informelles qui varient d'un collaborateur à l'autre.
2. Responsable sécurité identifié
Une personne est-elle explicitement responsable de la sécurité informatique, même à temps partiel ? Ce rôle peut être internalisé (RSSI, DSI) ou externalisé (RSSI as a Service). L'essentiel est qu'une personne nommée porte la responsabilité, suive les indicateurs et rende compte à la direction.
3. Programme de sensibilisation
Vos collaborateurs reçoivent-ils une formation régulière aux risques cyber ? Le phishing représente 80 % des vecteurs d'attaque initiaux. Un programme efficace inclut des sessions trimestrielles, des campagnes de phishing simulé et des rappels contextuels. La sensibilisation n'est pas un événement annuel : c'est une pratique continue.
4. Classification des données
Avez-vous identifié et classifié vos données selon leur sensibilité (publique, interne, confidentielle, secrète) ? Sans classification, vous ne pouvez pas appliquer des mesures de protection proportionnées. Les données clients, les secrets commerciaux et les données financières ne nécessitent pas le même niveau de protection.
5. Plan de continuité et de reprise (PCA/PRA)
Disposez-vous d'un plan documenté qui définit comment maintenir ou reprendre l'activité après un incident majeur ? Le PCA/PRA doit spécifier les RTO (temps de reprise) et RPO (perte de données acceptable) pour chaque système critique. Un plan non testé est un plan qui ne fonctionne pas : organisez un exercice au moins une fois par an.
2. Protection technique
6. Authentification multi-facteurs (MFA)
Le MFA est-il activé sur tous les accès critiques : messagerie, VPN, applications métier, consoles d'administration cloud ? Le mot de passe seul ne suffit plus. Le MFA bloque 99,9 % des attaques par compromission de compte. Privilégiez les applications d'authentification (TOTP) ou les clés physiques (FIDO2) plutôt que les SMS.
7. Pare-feu et filtrage réseau
Vos réseaux sont-ils protégés par un pare-feu correctement configuré, avec des règles régulièrement revues ? Les règles par défaut "autoriser tout" doivent être remplacées par une approche "deny by default". Vérifiez que les flux sortants sont également filtrés pour limiter l'exfiltration de données en cas de compromission.
8. Antivirus / EDR sur tous les endpoints
Tous vos postes de travail et serveurs sont-ils équipés d'une solution de protection endpoint (antivirus nouvelle génération ou EDR) ? Les solutions EDR (Endpoint Detection and Response) offrent une visibilité et une capacité de réponse bien supérieures aux antivirus traditionnels. Assurez-vous que les signatures et les agents sont à jour sur 100 % du parc.
9. Chiffrement des données sensibles
Vos données sensibles sont-elles chiffrées au repos (disques, bases de données) et en transit (TLS 1.2+ systématique) ? Le chiffrement est votre dernière ligne de défense : même en cas de vol de données, le chiffrement rend les données inexploitables. Vérifiez également le chiffrement des sauvegardes et des supports amovibles.
10. Segmentation réseau
Votre réseau est-il segmenté pour isoler les systèmes critiques (serveurs de production, bases de données) des postes utilisateurs et du réseau invité ? La segmentation limite la propagation latérale en cas d'intrusion. Un attaquant qui compromet un poste utilisateur ne doit pas pouvoir accéder directement aux serveurs de production.
3. Détection & Réponse
11. Journalisation centralisée
Les logs de vos systèmes critiques (serveurs, pare-feu, applications, Active Directory) sont-ils centralisés dans un SIEM ou un outil de log management ? Sans journalisation centralisée, vous ne pouvez ni détecter une intrusion en cours, ni investiguer après un incident. Conservez les logs au minimum 12 mois pour les besoins d'investigation.
12. Monitoring en temps réel
Disposez-vous d'alertes automatisées sur les événements de sécurité critiques : tentatives de connexion échouées massives, modifications de comptes administrateurs, accès inhabituels ? Le temps moyen de détection d'une intrusion est de 207 jours. Un monitoring actif réduit ce délai à quelques heures et limite considérablement l'impact.
13. Plan de réponse aux incidents
Avez-vous un plan documenté qui définit qui fait quoi en cas d'incident de sécurité ? Le plan doit couvrir la détection, le confinement, l'éradication, la reprise et les leçons apprises. Il doit inclure les coordonnées des parties prenantes (direction, juridique, communication, prestataires), les critères d'escalade et les obligations de notification (CNIL, ANSSI).
14. Tests d'intrusion réguliers
Faites-vous réaliser des tests d'intrusion (pentest) au moins une fois par an sur vos actifs exposés (applications web, API, infrastructure) ? Les pentests révèlent les vulnérabilités que les scans automatisés ne détectent pas. Faites appel à des prestataires qualifiés (certification PASSI) et assurez-vous que les vulnérabilités identifiées sont corrigées dans un délai défini.
15. Veille vulnérabilités
Suivez-vous activement les alertes de sécurité (CERT-FR, CVE) concernant les technologies que vous utilisez ? Une vulnérabilité critique publiée un vendredi et non patchée le lundi est une fenêtre d'attaque de 72 heures. Mettez en place un processus de veille et de qualification des vulnérabilités avec des SLA de remédiation selon la criticité.
4. Conformité & Continuité
16. Conformité RGPD
Avez-vous nommé un DPO (ou un référent), tenu un registre des traitements, et mis en place les procédures de notification en cas de violation de données ? Le RGPD impose des obligations strictes avec des sanctions pouvant atteindre 4 % du chiffre d'affaires mondial. Au-delà de la conformité, ces pratiques structurent votre gestion des données personnelles.
17. Sauvegardes 3-2-1
Appliquez-vous la règle 3-2-1 : 3 copies de vos données, sur 2 supports différents, dont 1 hors site ? Les sauvegardes doivent être testées régulièrement (restauration effective, pas uniquement vérification de l'intégrité). Face aux ransomwares, assurez-vous qu'au moins une copie est immuable ou déconnectée du réseau (air-gapped).
18. Mises à jour automatiques
Disposez-vous d'un processus de gestion des patchs qui garantit l'application rapide des mises à jour de sécurité sur l'ensemble du parc ? Les vulnérabilités non patchées représentent le deuxième vecteur d'attaque le plus exploité. Définissez des SLA : patchs critiques sous 72 heures, patchs importants sous 30 jours, patchs modérés au prochain cycle.
19. Gestion des accès (IAM)
Appliquez-vous le principe du moindre privilège : chaque utilisateur n'a accès qu'aux ressources strictement nécessaires à son rôle ? Revoyez les droits d'accès trimestriellement, désactivez les comptes des collaborateurs partis sous 24 heures, et supprimez les comptes génériques. Les comptes à privilèges élevés doivent être inventoriés et audités.
20. Audits réguliers
Réalisez-vous des audits de sécurité réguliers (au moins annuels) couvrant les aspects organisationnels, techniques et de conformité ? Les audits permettent de mesurer l'efficacité de vos mesures de sécurité et d'identifier les écarts par rapport aux bonnes pratiques. Ils peuvent être internes ou externes, mais doivent aboutir à un plan d'action concret avec des échéances.
Besoin d'un accompagnement pour renforcer votre posture de cybersécurité ?