Dossier central · 30 jours
Plan cyber 30 jours pour TPE, PME et associations
Un plan cyber sur 30 jours : inventaire, accès, sauvegardes, mises à jour, messagerie, réponse à incident et preuves de contrôle.
Une PME ne dispose pas toujours d’un RSSI, d’un centre opérationnel de sécurité ou d’une équipe capable de surveiller chaque alerte. Elle possède pourtant des données clients, une messagerie, des comptes bancaires, des outils de production et parfois des accès distants qui concentrent un risque réel. Le plan utile doit donc rester lisible par la direction et exécutable par la personne qui administre le système.
Ce dossier transforme le résultat du Test Cyber officiel de l’ANSSI en ordre de travail sur quatre semaines. Il ne promet pas une sécurité absolue et ne remplace pas une analyse de risque. Il sert à produire des contrôles observables : une liste d’actifs, des responsables, des tests datés et une procédure d’escalade. Chaque mesure doit laisser une preuve simple, faute de quoi elle risque de n’exister que dans les intentions.
Repère pratique
Jours 1 à 7 — Cartographier les activités qui ne peuvent pas s’arrêter
L’inventaire technique n’est pas la première colonne d’un tableur ; c’est la carte de ce qui fait tourner l’entreprise. Listez les ventes, la facturation, la paie, la production, le support et les échanges avec les partenaires. Pour chaque activité, identifiez l’application, le compte administrateur, le fournisseur, la personne capable de décider et la durée d’arrêt supportable. Ce travail révèle vite les dépendances oubliées : une boîte mail partagée, un poste ancien qui pilote une machine, un nom de domaine géré par un prestataire ou un logiciel dont personne ne possède plus le contrat.
Ajoutez ensuite les actifs qui portent ces activités : postes, serveurs, services cloud, routeurs, smartphones, sauvegardes et comptes à privilèges. Un inventaire imparfait mais maintenu vaut mieux qu’une cartographie ambitieuse abandonnée. La date de vérification et le nom du responsable doivent apparaître sur chaque ligne. Une fois cette base posée, les achats de sécurité peuvent être reliés à un besoin réel plutôt qu’à une peur vague.
- Activité métier et durée maximale d’arrêt
- Application, données et fournisseur associés
- Compte administrateur et moyen de récupération
- Responsable métier et responsable technique
- Dernière date de vérification
Repère pratique
Jours 8 à 14 — Protéger les identités avant de multiplier les logiciels
La messagerie et les comptes d’administration ouvrent la plupart des portes utiles à un attaquant. Activez l’authentification multifacteur sur la messagerie, les outils financiers, les consoles cloud, le registraire du domaine et les accès distants. Privilégiez les méthodes résistantes au phishing quand elles sont disponibles. Séparez les comptes du quotidien des comptes administrateurs et interdisez le partage d’identifiants : il empêche d’attribuer une action et rend le départ d’un salarié difficile à traiter proprement.
Le cycle de vie compte autant que le mot de passe. Formalisez l’arrivée, le changement de poste et le départ : droits minimaux, groupe d’appartenance, matériel confié, révocation et transfert des données. Vérifiez chaque trimestre les comptes inactifs et les exceptions. Un coffre de mots de passe d’entreprise peut réduire les réutilisations et documenter la propriété des accès sans diffuser les secrets par courriel ou messagerie instantanée.
- MFA sur les comptes critiques
- Compte administrateur distinct du compte courant
- Revue trimestrielle des comptes et groupes
- Procédure de départ exécutée le jour même
- Aucun secret dans les documents partagés
Repère pratique
Jours 15 à 21 — Prouver que les sauvegardes restaurent vraiment
Une sauvegarde n’est pas une assurance tant qu’une restauration n’a pas abouti. Définissez les données couvertes, la fréquence, la durée de conservation et la personne qui reçoit les échecs. Conservez une copie séparée du système principal, avec des droits d’écriture limités. La règle dite 3-2-1 reste un repère utile : plusieurs copies, sur des supports ou systèmes distincts, dont une hors de portée d’un incident touchant l’environnement courant.
Planifiez un test de restauration sur un échantillon représentatif : un fichier, une boîte mail, une base et, si nécessaire, une machine complète. Mesurez le temps réel, notez les dépendances manquantes et corrigez la procédure. Le compte rendu doit indiquer ce qui a été restauré, depuis quelle date, par qui et en combien de temps. Cette preuve simple vaut davantage qu’un tableau de bord vert jamais confronté à une panne.
Repère pratique
Jours 22 à 30 — Installer les mises à jour sans casser la production
Les correctifs réduisent l’exposition, mais une mise à jour non préparée peut interrompre un service critique. Classez les actifs selon leur exposition et leur importance, puis définissez une cadence. Les navigateurs, systèmes exposés à Internet, outils de télémaintenance et solutions de sécurité méritent un traitement rapide. Les serveurs métiers demandent souvent une validation sur un groupe pilote et une fenêtre de retour arrière.
Le tableau de suivi doit montrer les versions attendues, les exceptions, leur justification et une date de fin. Les machines qui ne peuvent plus recevoir de correctifs ne doivent pas disparaître dans une note : isolez-les, réduisez leurs flux, surveillez leurs accès et préparez leur remplacement. La page consacrée à WSUS et PowerShell détaille un exemple pour les environnements Windows.
Repère pratique
Avant la fin du mois — Préparer une réponse à incident de deux pages
Sous pression, une procédure courte et testée est plus utile qu’un classeur exhaustif. La première page doit contenir les contacts, les critères d’escalade, les moyens de communication de secours et les décisions que seule la direction peut prendre. La seconde décrit les premiers gestes : préserver les preuves, isoler sans effacer, changer les accès depuis un poste sain, contacter les prestataires et consigner chaque action avec une heure.
Organisez un exercice sur table : messagerie compromise, ordinateur chiffré ou fournisseur indisponible. L’objectif n’est pas de piéger l’équipe, mais de trouver les numéros manquants, les accès impossibles et les décisions non attribuées. Une procédure devient crédible lorsque les participants peuvent l’utiliser sans demander où elle se trouve ni qui possède le mot de passe du service de secours.
Repère pratique
Après 30 jours — Installer le tableau de bord minimal de la direction
La direction n’a pas besoin d’un flux d’alertes techniques. Elle doit voir les risques résiduels et les engagements qui dérivent. Un tableau mensuel peut suivre le taux de MFA sur les comptes critiques, les actifs sans correctifs, le dernier test de restauration, les départs traités à temps, les incidents ouverts et les exceptions dépassant leur date. Chaque indicateur doit avoir un propriétaire et déclencher une action lorsqu’il sort de la limite définie.
Cette discipline crée un langage commun entre métier et technique. Elle permet aussi de juger un prestataire sur des preuves : compte rendu de restauration, liste des actifs, délais de correction et journal des changements. Le but n’est pas de donner une note flatteuse, mais de rendre visibles les décisions qui protègent réellement la continuité de l’entreprise.
Questions d’exploitation
Questions fréquentes
Par quelle mesure commencer avec un petit budget ?
Commencez par l’inventaire des activités critiques, le MFA sur la messagerie et les consoles, puis un vrai test de restauration. Ces actions réduisent plusieurs risques sans exiger un nouvel empilement d’outils.
Un antivirus suffit-il pour une PME ?
Non. Il peut détecter certains comportements, mais il ne remplace ni la gestion des accès, ni les sauvegardes, ni les correctifs, ni la préparation d’un incident.
À quelle fréquence faut-il tester les sauvegardes ?
La fréquence dépend de la criticité et du rythme de changement. Un test trimestriel constitue un point de départ courant ; les activités très sensibles exigent souvent des contrôles plus rapprochés.
Vérification
Sources et documentation
Ces références permettent de vérifier les recommandations, les valeurs par défaut et le support des outils. Contrôlez toujours la version qui correspond à votre environnement.