J'ai une question que je pose souvent aux dirigeants de PME que je rencontre : "Si quelqu'un voulait accéder à vos données clients ce soir, combien de temps ça lui prendrait ?" La plupart ne savent pas répondre. Certains me disent "on a un antivirus". Quelques-uns me disent "on a un pare-feu".
En général, la réponse réelle est : pas longtemps.
Les PME parisiennes ne sont pas des cibles par hasard. Elles le sont parce qu'elles sont à la fois intéressantes — données clients, accès bancaires, propriété intellectuelle — et peu protégées. C'est une combinaison que les attaquants connaissent très bien.
Pourquoi les PME sont plus ciblées que les grands groupes
La logique est simple. Un grand groupe a une équipe sécurité dédiée, des outils onéreux, des audits réguliers. Attaquer une grande entreprise bien protégée, c'est long, incertain, et risqué. Attaquer 50 PME peu protégées en parallèle, c'est plus efficace pour un attaquant.
Les chiffres le confirment. Selon l'ANSSI, les PME et ETI représentent une part croissante des incidents de sécurité traités chaque année en France. Et contrairement aux grands groupes, une PME touchée par un ransomware n'a souvent ni les ressources ni le temps pour absorber le choc.
À Paris, le contexte aggrave les choses. Les bureaux changent souvent. Les équipes sont mixtes — salariés, prestataires, freelances qui passent. Les connexions Wi-Fi en espace de coworking sont partagées. Et les recrutements vont vite, ce qui veut dire des accès créés en urgence, rarement révoqués avec la même rigueur.
Les vecteurs d'attaque qu'on voit le plus souvent
Le phishing d'abord — de loin le plus courant. Un email qui ressemble à une notification Microsoft 365, un lien qui pointe vers une fausse page de connexion. Le salarié entre ses identifiants. L'attaquant a accès à la messagerie, aux fichiers partagés, parfois au réseau entier si le même mot de passe est réutilisé ailleurs.
On a repris un client l'année dernière dont un comptable avait cliqué sur ce type de lien. L'attaquant avait eu accès à la messagerie pendant onze jours avant que quelqu'un ne remarque quelque chose d'anormal dans les envois. Onze jours d'emails lus, de pièces jointes téléchargées, de contacts collectés.
Le ransomware ensuite. Un fichier téléchargé, une pièce jointe ouverte, et tous les fichiers de l'entreprise se retrouvent chiffrés. L'attaquant demande une rançon pour la clé de déchiffrement. Sans sauvegarde externe récente et testée, les options sont limitées.
Et les accès non révoqués — un vecteur qu'on sous-estime. Un ancien salarié dont le compte Microsoft 365 est encore actif six semaines après son départ. Un prestataire externe qui a toujours ses accès alors que la mission est terminée. Ces portes ouvertes ne font pas de bruit jusqu'au jour où quelqu'un les pousse.
Ce qu'un socle de sécurité minimal implique concrètement
Il ne s'agit pas d'installer un outil miracle. La sécurité d'une PME repose sur quelques mesures qui, combinées, éliminent l'essentiel des risques courants.
L'authentification multi-facteurs sur tous les comptes critiques — Microsoft 365, Google Workspace, VPN, outils bancaires. C'est la mesure avec le meilleur rapport effort/protection qui existe. Un attaquant qui a votre mot de passe ne peut rien faire sans le second facteur. C'est gratuit à activer, ça prend vingt minutes, et la plupart des PME ne l'ont pas fait sur l'ensemble de leurs comptes.
La gestion des accès — savoir qui a accès à quoi, et révoquer immédiatement quand quelqu'un part. C'est ce que permet un MDM couplé à un annuaire centralisé. Quand un salarié quitte l'entreprise, une procédure déclenche la coupure de tous ses accès en quelques minutes, pas en quelques semaines.
Les mises à jour de sécurité appliquées rapidement. La majorité des attaques exploitent des failles connues, pour lesquelles un correctif existe déjà — mais n'a pas été appliqué. Un parc supervisé avec un MDM pousse les mises à jour automatiquement, sans que les salariés aient à faire quoi que ce soit.
Les sauvegardes externes, testées. Pas juste configurées — testées. Une sauvegarde qui n'a jamais été restaurée en test n'est pas une sauvegarde. C'est une illusion de sécurité.
Ce que Cynera met en place
On ne vend pas de la peur. On met en place des choses concrètes qui réduisent réellement l'exposition.
Sur chaque parc qu'on prend en charge, on s'assure que le MFA est actif sur tous les comptes critiques, que les mises à jour sont pilotées centralement, que les accès sont liés au cycle de vie des salariés — onboarding et offboarding inclus — et que les appareils mobiles sont sous MDM avec effacement à distance possible.
Ce n'est pas de la cybersécurité de grand groupe. C'est le socle qui fait que vous n'êtes plus la cible la plus facile du quartier. Et dans la plupart des cas, c'est suffisant pour écarter l'essentiel des attaques opportunistes qui visent les PME.
Si vous ne savez pas où en est votre entreprise sur ces points, l'audit de parc qu'on propose gratuitement répond à cette question en deux jours.