Le plan cyber “version 2026” marque surtout un changement de posture : on arrête de parler uniquement de technologies, et on parle davantage d’organisation, de réflexes et de capacité à encaisser une attaque.

Ce qui évolue pour les PME

• La cybersécurité est présentée comme un sujet de continuité d’activité. L’objectif n’est pas d’être parfait, mais de continuer à travailler même si un incident arrive.
• L’État pousse une logique de montée en maturité par paliers. En clair : un socle simple d’abord, puis on renforce.
• Le discours met davantage l’accent sur l’écosystème : fournisseurs, sous-traitants, hébergeurs, prestataires IT. Pour une PME, c’est crucial, car une grande partie du risque vient des accès externes et des dépendances.

Ce que ça veut dire en “problèmes terrain”

Si vous avez déjà vécu l’un de ces sujets, vous êtes pile dans la cible :

• un poste bloqué par un rançongiciel (logiciel qui chiffre vos fichiers et demande une rançon),
• une boîte mail piratée avec envoi de faux RIB,
• un compte Microsoft 365 ou Google Workspace compromis,
• une sauvegarde inutilisable le jour où il faut restaurer,
• un prestataire qui garde des accès “par habitude” sans traçabilité.

Ce que vous devez retenir

Le plan met en avant une idée simple : les mesures les plus efficaces sont souvent basiques, mais elles demandent de la discipline. La bonne question n’est pas “est-ce qu’on a un antivirus ?”, mais “est-ce qu’on peut détecter vite, stopper la propagation, et redémarrer proprement ?”.

Voici 5 mesures “haut rendement” adaptées à une PME non experte. Elles ne demandent pas de projets lourds, mais elles exigent des choix clairs et un minimum de suivi.

1) Mettre l’authentification forte partout où c’est possible

L’authentification forte (souvent appelée MFA ou double facteur) ajoute une preuve en plus du mot de passe. C’est une barrière simple contre le piratage de comptes.

• À faire en priorité sur les mails, l’accès distant, l’administration, la compta.
• À demander à votre prestataire : une liste des comptes critiques et le statut MFA de chacun.

2) Sauvegarder “pour restaurer”, pas “pour cocher la case”

Une sauvegarde qui ne se restaure pas ne sert à rien.

• À faire : isoler au moins une copie (pas accessible comme un simple dossier réseau), et tester une restauration.
• À demander : quand a eu lieu le dernier test de restauration et quel est le résultat.

3) Réduire les droits et fermer les accès inutiles

Beaucoup d’attaques deviennent graves parce que tout le monde a trop de droits.

• À faire : comptes séparés (utilisateur / admin), suppression des comptes orphelins, revue des accès prestataires.
• À demander : une revue des comptes avec “qui a accès à quoi” et pourquoi.

4) Mettre à jour vite les systèmes exposés

Les failles connues et non corrigées restent un point d’entrée classique.

• À faire : prioriser les serveurs, pare-feu (routeur sécurisé), VPN, outils de prise en main.
• À demander : un calendrier de mises à jour et une procédure d’urgence en cas de faille critique.

5) Préparer un plan d’incident simple

Pas un classeur. Une fiche pratique.

• À faire : qui décide, qui coupe, qui appelle, où sont les sauvegardes, comment communiquer.
• À demander : un scénario “poste chiffré” et un scénario “mail piraté”, avec actions heure par heure (sans promesse de délai chiffré).

Ces 5 mesures ne remplacent pas tout, mais elles réduisent fortement les incidents les plus fréquents et limitent les dégâts quand ça arrive.

Quand on parle de “label”, l’idée n’est pas de faire joli sur un site web. Pour une PME, un label utile sert à trois choses : structurer vos priorités, rassurer vos clients, et cadrer vos prestataires.

À quoi sert un label dans la vraie vie

• Avoir un référentiel simple : une liste de pratiques attendues, compréhensible, sans dépendre d’un consultant qui “réinvente la roue”.
• Rendre vos exigences contractuelles : vous pouvez demander à un fournisseur ou à un prestataire IT de respecter un socle (exemple : MFA, sauvegardes testées, journalisation).
• Faciliter les réponses aux questionnaires clients : de plus en plus de donneurs d’ordres demandent des preuves de mesures cyber, même aux PME.

Ce que vous devez vérifier avant de vous lancer

• Le label est-il adapté à votre taille, ou est-ce une usine à gaz ?
• Quelles preuves sont attendues (documents, captures, procédures) ?
• Qui est responsable en interne (même à temps partiel) ?

Comment éviter l’effet “dossier”

Le piège classique : produire des documents, sans que la réalité suive.

• Faites l’inverse : partez de vos outils actuels (messagerie, postes, sauvegardes, accès distants) et formalisez ce qui existe réellement.
• Demandez à votre prestataire un état des lieux lisible : ce qui est en place, ce qui manque, et ce qui est risqué.

Même si vous ne visez pas un label tout de suite, raisonner “comme si” vous le visiez est une bonne méthode pour prioriser. Et si vous êtes en Franche-Comté, ce travail sert aussi à mieux cadrer vos partenaires locaux et à éviter les mauvaises surprises lors d’un audit client.

On peut faire mieux sans acheter tout de suite un nouvel outil. Le plus rentable, au début, c’est d’utiliser des ressources gratuites et de standardiser vos pratiques.

Ressources publiques à exploiter

• Guides et recommandations officielles : pratiques de mots de passe, sauvegardes, gestion des mises à jour, réaction à incident.
• Documents de sensibilisation : affiches, mémos, supports pour rappeler les réflexes (pièces jointes, liens, demandes urgentes de paiement).

Outils “gratuits” déjà inclus dans vos abonnements

Souvent, vous payez déjà des fonctions de sécurité dans vos suites mail et bureautiques, sans les activer correctement.

• À vérifier : MFA activée, alertes de connexion suspecte, règles de transfert mail, durcissement des accès administrateur.
• À demander : un “tour de contrôle” de votre messagerie (Microsoft 365 ou équivalent) avec une liste d’actions à appliquer.

La méthode simple : 3 listes

Pour avancer vite, faites trois listes, même sur un tableur.

1. Ce qui est critique : messagerie, sauvegardes, accès distant, compta.
2. Qui a des droits élevés : admin, prestataires, comptes partagés.
3. Ce qui est exposé à Internet : VPN, outils de prise en main, services hébergés.

Ensuite, vous appliquez les mesures prioritaires section par section. Une PME n’a pas besoin d’un SOC (centre de supervision) complexe pour démarrer. Elle a besoin de visibilité, de discipline, et d’une capacité à réagir sans improviser.

Votre rôle n’est pas de devenir expert. Votre rôle est de décider, d’arbitrer, et de demander les bonnes preuves.

Ce que vous pouvez lancer dès maintenant

• Nommer un responsable (même à temps partiel) pour centraliser les sujets : qui a accès, où sont les sauvegardes, quelles priorités.
• Demander un état des lieux de risque orienté “activité” : qu’est-ce qui peut arrêter la production, la vente, la facturation.
• Mettre sous contrôle les accès prestataires : qui se connecte, comment, et comment on coupe l’accès si besoin.

Les questions utiles à poser à votre prestataire IT

1. Quelles sont nos trois plus grosses surfaces d’attaque aujourd’hui (mail, postes, accès distant, autre) ?
2. Pouvons-nous restaurer un fichier et un poste de travail si nécessaire ? Comment le prouve-t-on ?
3. Quels comptes ont des droits admin, et pourquoi ?
4. Quel est notre plan si un compte mail est piraté ?
5. Quelles mesures nous rapprochent de NIS2, même si nous ne sommes pas formellement concernés ?

Point de vigilance : la sous-traitance

Même si vous externalisez l’informatique, la responsabilité business reste chez vous. Le bon réflexe : exiger des éléments vérifiables (captures, journaux, rapports de sauvegarde, liste des comptes), pas seulement des “oui c’est fait”.

Ce cadre vous évite les angles morts. Et si vous pilotez une PME avec plusieurs sites ou une équipe terrain, ce sont souvent ces basiques qui font la différence entre un incident gérable et un arrêt complet. À Belfort comme ailleurs, on voit les mêmes scénarios : le mail d’abord, puis la propagation, puis la panique faute de plan.

Voici une checklist en 5 étapes, pensée pour avancer sans jargon et sans gros projet. L’idée : vous pouvez la faire valider en interne, puis la confier à votre prestataire avec des livrables clairs.

Étape 1 — Cartographier le minimum vital

• Listez vos outils critiques : messagerie, fichiers, ERP/gestion, compta, accès distant.
• Identifiez où sont les données clients et les données RH.
• Notez qui “administre” quoi (interne ou prestataire).

Étape 2 — Verrouiller les comptes

• Activez l’authentification forte sur les comptes critiques.
• Supprimez les comptes inutilisés.
• Interdisez les comptes partagés quand c’est possible, ou encadrez-les (mot de passe géré, responsable nommé).

Étape 3 — Sécuriser la restauration

• Vérifiez qu’il existe une sauvegarde isolée.
• Testez une restauration (un fichier puis un poste).
• Documentez où trouver la procédure et qui décide.

Étape 4 — Mettre sous contrôle l’exposition Internet

• Listez les services accessibles depuis l’extérieur (VPN, prise en main, serveur, cloud).
• Exigez un plan de mises à jour priorisé sur ces éléments.
• Limitez les accès prestataires à ce qui est nécessaire, avec traçabilité.

Étape 5 — Préparer la réponse à incident

• Rédigez une fiche “qui fait quoi” (dirigeant, prestataire, référent interne).
• Préparez deux scénarios : mail piraté, poste chiffré.
• Prévoyez un canal de communication de secours si la messagerie est indisponible.

Si vous faites ces 5 étapes, vous aurez déjà un socle solide : moins d’angles morts, une meilleure capacité à réagir, et une base concrète pour discuter label et préparation NIS2.