Semaine 1
Installer un gestionnaire de mots de passe et activer la 2FA sur les 5 services critiques. Documenter les accès dans un coffre partagé.
Article · 7 mai 2026 · Sécurité informatique
7 risques informatiques courants en PME
Et comment les éviter sans investir une fortune
La majorité des sinistres informatiques en TPE et PME du Lot-et-Garonne ne viennent pas de hackers sophistiqués mais de pratiques quotidiennes mal cadrées. Voici les 7 risques les plus fréquents que nous rencontrons sur le terrain, et les contre-mesures simples à mettre en place avant qu'un incident n'arrive.
Pourquoi la sécurité informatique est encore un angle mort en PME
Trois constats partagés par les dirigeants que nous accompagnons.
Les TPE et PME du Lot-et-Garonne ont rarement un service informatique dédié. Le sujet est porté par le dirigeant ou un salarié motivé, en plus de son métier principal. Résultat : les bases sont parfois oubliées (mots de passe partagés, sauvegardes non testées), et l'arbitrage budgétaire favorise toujours le commercial ou la production sur la sécurité — jusqu'au jour où un poste est chiffré par un rançongiciel ou qu'un email frauduleux génère un virement de 18 000 € à un faux fournisseur.
La bonne nouvelle : 90 % de ces incidents sont évitables avec quelques actions simples, sans logiciel coûteux ni reconfiguration majeure. Voici les 7 risques que nous voyons le plus, par ordre de fréquence.
Risque #1 — Mots de passe partagés ou faibles
Le mot de passe noté sur un post-it sous le clavier, partagé en clair par email à un collègue, ou identique sur 5 services : c'est la situation la plus courante. Un seul de ces accès compromis (par fuite de base de données ou phishing) ouvre toute votre infrastructure.
Contre-mesures concrètes : déployez un gestionnaire de mots de passe (Bitwarden gratuit, 1Password, Dashlane), activez la double authentification (2FA) sur la messagerie, la banque, l'hébergement et la comptabilité, et changez les 5 mots de passe les plus critiques. Setup : 30 minutes. Coût : 0 à 36 €/an par utilisateur.
Risque #2 — Sauvegarde inexistante ou non testée
Le piège classique : "on a une sauvegarde, mais on n'a jamais essayé de restaurer".
Un disque dur externe branché en permanence n'est pas une sauvegarde — il sera chiffré en même temps que le poste en cas de rançongiciel. Une sauvegarde uniquement sur Dropbox ou OneDrive grand public ne respecte pas la règle 3-2-1 : 3 copies, 2 supports différents, 1 hors site. Et une sauvegarde qui n'a jamais été testée n'est pas une sauvegarde, c'est un acte de foi.
Contre-mesures concrètes : mettez en place une sauvegarde automatique vers un service externalisé chiffré (Backblaze B2, Wasabi, OneDrive pro avec versioning), planifiez un test de restauration tous les 3 mois (compter 30 minutes), et documentez la procédure de récupération dans un document accessible offline. Voir notre page sécurité et sauvegardes pour les détails techniques.
Risque #3 — Wi-Fi unique pour le pro et les clients
Très fréquent en commerce, restaurant, cabinet libéral ou atelier : un seul SSID pour les salariés, les clients et la caisse. Si un client connecté lance (volontairement ou non) un scan réseau, il a accès à votre serveur, votre NAS, et potentiellement à vos données comptables.
Contre-mesures concrètes : séparez les réseaux en deux SSID distincts (un "pro" avec accès interne, un "invités" isolé sur Internet seul). Mettez à jour le firmware du routeur tous les 6 mois — la majorité des failles routeurs proviennent de firmwares obsolètes. Désactivez le WPS (le bouton qui simplifie la connexion mais ouvre une porte aux attaques par PIN). Setup : 1 à 2 heures avec un routeur Pro Ubiquiti, MikroTik ou Mistral. Coût : 0 € (configuration sur matériel existant) à 250 € (nouveau routeur).
Risque #4 — Phishing et fraude au président
La cyberattaque qui coûte vraiment cher en 2026 n'est pas le rançongiciel : c'est le faux email.
Un email parfaitement écrit (parfois en IA générative) qui imite le PDG, demande à la comptabilité un virement urgent vers un IBAN inhabituel, en évoquant une "négociation confidentielle". Ce type de fraude — appelée "fraude au président" ou Business Email Compromise — touche régulièrement des PME du 47 et coûte en moyenne 35 000 € par incident.
Contre-mesures concrètes : instaurez une règle absolue de double validation par téléphone pour tout virement > 5 000 € vers un nouvel IBAN, formez l'équipe à reconnaître les signaux de phishing (urgence anormale, ton inhabituel, IBAN différent, pression à la confidentialité), et configurez SPF + DKIM + DMARC sur votre domaine pour bloquer les emails frauduleux usurpant votre identité. Coût : 0 € (formation) + 1 à 2 heures de configuration DNS.
Risque #5 — Une seule personne sait tout faire (bus factor de 1)
Quand le mot de passe du serveur, l'accès au site web, le contrat hébergement et la procédure de redémarrage de l'imprimante réseau ne sont connus que d'une seule personne, vous êtes en risque permanent. Si cette personne quitte l'entreprise, est en arrêt prolongé ou simplement en vacances, l'activité s'arrête au premier incident.
Contre-mesures concrètes : documentez par écrit (un simple document texte partagé sur le serveur ou dans un coffre-fort comme Bitwarden) les accès critiques, les procédures de base (redémarrer le serveur, restaurer une sauvegarde, contacter l'hébergeur) et les contrats fournisseurs. Désignez un binôme par sujet pour qu'au moins deux personnes connaissent chaque procédure. Mettez à jour la documentation tous les 6 mois.
Risque #6 — Mises à jour systématiquement reportées
"On verra plus tard, ça marche très bien comme ça". Sauf que.
90 % des cyberattaques en PME exploitent une faille pour laquelle un correctif existe depuis plus de 6 mois. Les rançongiciels qui ont touché plusieurs PME du Lot-et-Garonne ces deux dernières années auraient été stoppés net par des Windows à jour. Les mises à jour sont gênantes (redémarrages, lenteurs ponctuelles), mais leur absence est un risque massif.
Contre-mesures concrètes : activez les mises à jour automatiques sur Windows et macOS (en ciblant des plages horaires hors usage : déjeuner, soirée). Mettez à jour vos navigateurs (Chrome, Firefox, Edge) — désinstallez Internet Explorer et les anciens plugins (Flash, Java) qui n'ont plus de support. Vérifiez tous les 3 mois les firmwares routeurs, NAS, imprimantes pro. Coût : 0 €. Temps : 30 min initiales puis 15 min trimestrielles.
Risque #7 — Aucun plan en cas d'incident
Le poste comptable ne démarre plus à 8h45 alors qu'une échéance fournisseur tombe à 12h. Le serveur est chiffré par un rançongiciel un vendredi soir. Le site web e-commerce est hors ligne en pleine campagne soldée. Sans plan préparé à l'avance, ces situations génèrent panique, décisions précipitées et coût final multiplié.
Contre-mesures concrètes : formalisez un plan d'incident d'une page : qui appeler en premier, dans quel ordre redémarrer les systèmes, qui prévenir (clients, fournisseurs, banque, assurance, CNIL si données personnelles), où trouver les sauvegardes. Imprimez ce plan et conservez-en une copie offline. Faites un exercice blanc une fois par an pour vérifier qu'il fonctionne. Coût : 1 demi-journée de cadrage.
Récapitulatif : le plan d'action sur 30 jours
Ces 7 actions tiennent dans 5 demi-journées étalées sur un mois.
Semaine 2
Mettre en place une sauvegarde externalisée chiffrée. Tester une restauration. Configurer SPF, DKIM, DMARC sur le domaine email.
Semaine 3
Séparer le Wi-Fi pro/invités. Mettre à jour Windows, macOS, navigateurs et firmwares routeur. Désinstaller les plugins obsolètes.
Semaine 4
Rédiger le plan d'incident d'une page. Faire une revue rapide des accès critiques avec l'équipe. Programmer un exercice blanc à 6 mois.
Besoin d'un audit pour cadrer ces 7 points en 1 jour ?
MC Tech accompagne les TPE et PME du Lot-et-Garonne (47), de la Dordogne (24) et du Lot (46) sur ces sujets. Un audit court (1 à 2 jours) permet de chiffrer les risques actuels, prioriser les actions et chiffrer un plan de remédiation réaliste. Sur Agen, Villeneuve-sur-Lot, Marmande, Tonneins, Nérac, Fumel, Bergerac, Cahors et toutes communes proches.
À lire ensuite
Pour approfondir certains des risques mentionnés.