Ne pensez pas que votre PME est trop petite pour intéresser les hackers, bien au contraire.
Points clés :
- Quels risques ? Vol de données, interruption d’activité, perte de confiance clients, amendes RGPD/LPD, ressources limitées et menaces en constante évolution.
- Est-ce que toutes les PME sont concernées ? Oui, souvent parce qu’elles sont moins protégées.
- Quelles actions simples et prioritaires ? Former les équipes, durcir les mots de passe, mettre à jour tout le parc, installer un antivirus sérieux, activer le 2FA, assurer des sauvegardes fiables, contrôler strictement les accès.
Pourquoi la sécurité informatique est un enjeu critique pour les PME ?
Parce que le risque est réel
Une idée reçue est que les cyberattaques concernent uniquement les grands groupes. C’est totalement faux. Parlons chiffres :
- 1 PME sur 3 a déjà été victime d’une cyberattaque, selon l’Office fédéral de la cybersécurité (OFCS), et le risque augmente encore.
- La Suisse est le 4ᵉ pays le plus ciblé par les ransomwares, d’après le Cyberthreats Report H1 2025 d’Acronis. Les cas ont progressé de 70% par rapport à 2024 et 2023.
Parce qu’une PME suisse doit respecter des obligations légales
Les PME collectent et stockent une quantité importante de données sensibles, y compris :
- des informations personnelles des clients,
- des données financières,
- des informations propriétaires.
La protection de ces données est primordiale pour maintenir la confiance des clients et se conformer aux réglementations sur la protection des données, comme le RGPD (Règlement Général sur la Protection des Données) ou la nLPD.
💡 Comment supprimer chaque année, de façon fiable et conforme, les données sensibles de milliers de clients, collaborateurs et prospects ? C’est l’objet de notre cas client disponible ici.
Parce qu’une cyberattaque peut interrompre l’activité
Voici concrètement ce qui peut se passer :
- messagerie inaccessible ;
- fichiers chiffrés ;
- logiciel métier bloqué ;
- production ralentie ou arrêtée ;
- commandes retardées ;
- support client indisponible ;
- équipes mobilisées en urgence.
Parce qu’une cyberattaque coûte très cher
Le coût d’une cyberattaque ne se limite pas à la réparation informatique. Pour une PME, il peut entraîner :
- Une perte de chiffre d’affaires.
- L’atteinte à la réputation.
- La perte de clients ou d’opportunités.
- La perte ou la compromission de données.
- Le temps utilisé en interne : direction, équipes IT, administratif, commercial, juridique, RH et support client peuvent être mobilisés pendant plusieurs jours ou semaines. Ce temps passé à gérer la crise n’est pas consacré au business normal.
- Les frais juridiques et de conformité : en cas de données personnelles ou sensibles concernées, l’entreprise peut devoir documenter l’incident, informer certaines parties, consulter des experts juridiques, répondre à des demandes clients ou démontrer les mesures prises.
Et bien entendu, les coûts informatiques à proprement parler :
- Coûts de remise en service.
- Coût du renforcement en urgence de la sécurité.
Après l’incident, il faut souvent analyser l’attaque, nettoyer les postes, restaurer les sauvegardes, réinstaller des systèmes, changer des accès, vérifier l’intégrité des données et parfois faire intervenir des spécialistes externes.
Toutes les PME sont-elles concernées par les risques informatiques ?
Oui. 99% des entreprises suisses sont des PME. Nous vous laissons réfléchir à la probabilité qui en découle !
Aujourd’hui, les cybercriminels peuvent industrialiser leurs campagnes. Une PME isolée n’est pas forcément ciblée personnellement au départ : elle peut simplement apparaître dans une liste de systèmes vulnérables ou répondre à une campagne automatisée.
Voici les raisons principales qui font des PME une cible de choix :
1️⃣ Les PME sont plus numérisées qu’avant, donc leur surface d’attaque a augmenté. Plus il y a d’outils, de comptes, de prestataires et d’accès externes, plus il y a de portes potentielles.
2️⃣ Elles ont souvent moins de moyens cyber qu’un grand groupe : une grande entreprise a plus souvent des équipes sécurité, des procédures, de la surveillance, des audits, des sauvegardes testées, une gestion stricte des accès. Une PME a rarement le même niveau de défense. Pour un attaquant, cela peut représenter un meilleur rapport effort / gain.
3️⃣ Les attaques sont devenues plus automatisées : les cybercriminels n’ont pas besoin de sélectionner chaque PME une par une. Ils peuvent scanner Internet pour trouver des serveurs exposés, des failles connues, des mots de passe faibles ou des accès mal protégés.
💡C’est important : une PME n’est pas toujours ciblée parce qu’elle est connue. Elle peut être attaquée parce qu’elle est détectable et vulnérable.
4️⃣ Les données des PME ont de la valeur : même une petite entreprise peut détenir des données clients, des accès bancaires ou des secrets métier. Ces données peuvent être volées, revendues, utilisées pour du chantage ou exploitées pour préparer d’autres attaques.
5️⃣ Les attaquants cherchent le rendement : une PME peut payer moins qu’un grand groupe, mais elle est souvent plus facile et plus rapide à attaquer. À grande échelle, cela peut être rentable. C’est le même principe qu’une fraude en masse : beaucoup de petites cibles, un taux de réussite faible mais suffisant, et un coût d’attaque réduit.
Quelles sont les cyberattaques les plus fréquentes contre les PME ?
Phishing, usurpation d’identité et fraude au paiement
Le phishing, c’est la technique de base : un cybercriminel essaie de piéger quelqu’un avec un message frauduleux. Le but est souvent de faire cliquer sur un lien, ouvrir une pièce jointe, entrer un mot de passe ou transmettre une information sensible.
La fraude au paiement, c’est souvent la conséquence business. L’attaquant cherche à faire partir de l’argent : fausse facture, changement frauduleux d’IBAN, faux ordre de virement, usurpation du dirigeant, faux fournisseur, etc.
C’est la fameuse “arnaque au Président” (CEO fraud), qui fait partie des méthodes d’escroquerie les plus fréquemment signalées à l’OFCS. En 2025, le nombre de cas a nettement augmenté, passant de 719 en 2024 à 971.
L’arnaque au président est une fraude dans laquelle un cybercriminel se fait passer pour un dirigeant, un supérieur hiérarchique ou parfois un avocat afin de pousser un collaborateur à effectuer un paiement urgent. C’est une attaque plus préparée, qui s’appuie sur des informations publiques : site web de l’entreprise, LinkedIn, registre du commerce, organigramme, noms des dirigeants, collaborateurs du service financier, périodes d’absence, etc.
Le mécanisme repose sur trois leviers :
- L’autorité : le message semble venir d’un dirigeant ou d’un tiers crédible.
- L’urgence : le paiement doit être fait immédiatement.
- La confidentialité : la victime est incitée à ne pas vérifier ou à ne pas en parler.
Les scénarios typiques sont :
- paiement urgent à un fournisseur étranger ;
- demande d’achat de cartes-cadeaux ou de bons ;
- faux mandat confidentiel ;
- intervention d’un prétendu avocat ;
- changement ou validation de coordonnées bancaires ;
💡La menace évolue : les attaquants utilisent désormais WhatsApp, les appels téléphoniques, les messages vocaux truqués et l’IA pour imiter le style ou la voix d’un dirigeant.
Ransomware et logiciels malveillants
Les logiciels malveillants, ou malwares, sont des programmes conçus pour nuire à l’entreprise : voler des données, espionner l’activité, prendre le contrôle d’un ordinateur, récupérer des mots de passe ou perturber le fonctionnement du système.
Le ransomware est un type particulier de logiciel malveillant. Son but est de bloquer l’accès aux fichiers ou aux systèmes de l’entreprise, souvent en les chiffrant, puis de réclamer une rançon pour les débloquer.
Exemple
Un collaborateur ouvre une pièce jointe infectée ou télécharge un faux logiciel. Le programme s’installe sur son poste, se propage éventuellement au réseau, puis chiffre des fichiers partagés. Résultat : l’entreprise ne peut plus accéder à certains documents ou outils de travail.
Vol ou fuite de données
La fuite de données, c’est quand ces informations se retrouvent exposées ou accessibles sans autorisation. Cela peut venir d’une cyberattaque, mais aussi d’une erreur humaine ou d’une mauvaise configuration.
Mots de passe compromis
Un mot de passe compromis, c’est un mot de passe qui n’est plus secret. Autrement dit, quelqu’un d’autre que la personne autorisée peut l’utiliser pour accéder à un compte.
Le risque, pour une PME, c’est qu’un attaquant puisse entrer dans un compte légitime sans “pirater” techniquement le système. Il se connecte avec le bon identifiant et le bon mot de passe, ce qui peut rendre l’attaque plus difficile à détecter.
💡Un exemple récent illustre l’ampleur du problème : plus de 149 millions d’identifiants volés ont été découverts dans une base de données accessible publiquement. Les données comprenaient notamment des adresses e-mail, des noms d’utilisateur, des mots de passe et des URL de connexion. Des services suisses figuraient également parmi les informations concernées.
Vulnérabilités non corrigées dans les logiciels et les équipements
C’est possible parce qu’un logiciel contient du code, et ce code peut comporter des erreurs, qui elles-mêmes créent des failles de sécurité.
Exemple :
Une PME utilise un VPN pour se connecter à distance à son réseau. Cet outil est accessible depuis Internet. Un jour, une faille est découverte dans ce VPN. L’éditeur publie un correctif. À partir de ce moment-là, deux éléments existent :
- la mise à jour qui corrige la faille ;
- l’information qu’une faille existe.
Les cybercriminels peuvent alors chercher sur Internet les entreprises qui utilisent encore l’ancienne version vulnérable. Si la PME n’a pas installé le correctif, son VPN reste exposé.
Ce n’est donc pas forcément une attaque très sophistiquée. L’attaquant peut simplement scanner Internet pour trouver des systèmes vulnérables connus.
Autre exemple :
Une PME a un site WordPress avec un plugin de formulaire. Le plugin contient une faille. Si le plugin n’est pas mis à jour, un attaquant peut parfois l’exploiter pour injecter du code, récupérer des données ou prendre le contrôle du site.
Donc le problème n’est pas “les mises à jour”. Quand une faille devient connue, les systèmes non corrigés deviennent des cibles faciles à repérer. C’est pour ça que les mises à jour de sécurité sont importantes.
Accès distants mal sécurisés
Depuis le télétravail et les outils cloud, beaucoup d’entreprises ont ouvert des accès à distance (un moyen de se connecter aux outils de l’entreprise sans être physiquement dans les bureaux) parfois dans l’urgence, sans toujours les revoir ensuite.
Or, plus une entreprise permet de se connecter à distance, plus elle doit contrôler fortement qui se connecte, depuis où, avec quels droits et avec quelles protections.
Exemple
Une PME utilise un VPN pour permettre aux collaborateurs de travailler depuis chez eux. Si ce VPN est protégé uniquement par un mot de passe simple, sans double authentification, un attaquant qui récupère ce mot de passe peut se connecter comme s’il était un salarié. Une fois connecté, il peut parfois accéder aux fichiers, aux serveurs, aux applications métier ou préparer une autre attaque.
Les bonnes pratiques essentielles pour réduire les risques
Sensibilisez et formez en continu vos collaborateurs
La formation continue des employés est essentielle pour créer une culture de sécurité au sein de l’entreprise. Si une PME ne dispose pas d’un expert dédié à la sécurité informatique, l’appel à un prestataire spécialisé peut se justifier.
💡Le rapport Verizon DBIR 2025 indique que l’élément humain reste impliqué dans environ 60% des violations de données, et que l’implication de tiers dans les violations est passée de 15% à 30%, ce qui va bien dans le sens “erreur / accès / prestataire” plutôt que “attaque ultra sophistiquée uniquement”.
Exemples
- Ateliers lors desquels des experts externes expliquent les dernières menaces et les bonnes pratiques.
- Session dédiée à la reconnaissance des e-mails de phishing.
Renforcez la gestion des mots de passe
Une PME doit mettre en place des règles simples et applicables au quotidien :
- utiliser un mot de passe unique pour chaque compte ;
- éviter les comptes partagés ;
- supprimer rapidement les accès des anciens collaborateurs ;
- changer immédiatement un mot de passe en cas de doute : phishing, fuite de données ou connexion suspecte ;
- activer l’authentification à deux facteurs sur les comptes critiques. Découvrez comment nos équipes ont protégé les applications critiques d’une entreprise de transport suisse.
💡Le conseil Qim info : utilisez un gestionnaire de mots de passe pour générer et stocker des mots de passe longs, uniques et difficiles à deviner, sans avoir à les mémoriser manuellement.
Mettez à jour les logiciels et les équipements
Dans une PME, personne ne devrait se demander “qui s’en occupe ?” ou “est-ce que c’est à moi de le faire ?”.
Désignez un responsable, en interne ou chez votre prestataire de support IT, pour suivre les mises à jour des ordinateurs, serveurs, logiciels, outils métiers, VPN et équipements réseau. Son rôle est de s’assurer que les correctifs importants sont identifiés, planifiés et appliqués.
💡 Le conseil Qim info : planifiez des mises à jour régulières et traitez en priorité les mises à jour critiques, notamment lorsqu’elles concernent un outil exposé à Internet ou un logiciel essentiel à l’activité.
👉Découvrez comment nos équipes ont géré une migration de serveurs Windows.
Sauvegardez les données et testez la restauration
Le message utile est simple : une sauvegarde ne sert à rien si elle est incomplète, inaccessible ou impossible à restaurer.
Identifiez les données indispensables à votre activité et sauvegardez-les régulièrement, sur un support ou un environnement séparé du système principal.
💡 Le conseil Qim info : Vous pouvez mettre en place la règle 3-2-1-1-0 : 3 copies de vos données, 2 supports différents, 1 copie de sauvegarde hors site, 1 copie hors ligne, 0 erreur.
👉 Consultez notre guide détaillé sur la sauvegarde des données.
Contrôlez les accès selon les rôles
Chaque collaborateur doit accéder uniquement à ce dont il a besoin pour travailler. Un commercial n’a pas forcément besoin des données RH, un développeur n’a pas besoin des comptes bancaires. C’est le principe de la gestion des identités et des accès, ou IAM (Identity and Access Management).
Concrètement, une PME doit :
- donner accès uniquement aux outils et données nécessaires ;
- limiter les droits administrateur ;
- supprimer rapidement les accès des anciens collaborateurs ;
- revoir régulièrement les accès aux dossiers, applications et outils cloud ;
- encadrer les accès des prestataires externes.
Préparez un plan de réponse aux incidents
Un plan de réponse aux incidents, c’est simplement une fiche qui répond à la question : “Si on subit une cyberattaque, qui fait quoi, dans quel ordre, et qui doit être prévenu ?” L’idée n’est pas de créer un document compliqué, mais au contraire une fiche simple qui permet d’agir vite.
Ce que le plan doit préciser :
- qui prévenir en interne ;
- qui contacter côté prestataire IT ;
- quels accès couper en priorité ;
- comment isoler un poste suspect ;
- où trouver les sauvegardes ;
- qui communique avec les clients, partenaires ou autorités si nécessaire ;
- quelles preuves conserver : emails, captures, logs, horaires, comptes concernés.
Checklist de sécurité informatique pour PME
Cette checklist permet d’évaluer rapidement si les principales mesures de sécurité sont en place dans votre PME.
- Les comptes critiques sont protégés par une authentification à deux facteurs.
- Chaque collaborateur utilise des mots de passe uniques.
- Les accès des anciens collaborateurs sont supprimés rapidement.
- Les droits d’accès sont revus régulièrement.
- Les ordinateurs, logiciels, serveurs, VPN et équipements réseau sont mis à jour.
- Les mises à jour critiques sont traitées en priorité.
- La messagerie est protégée contre le phishing et les pièces jointes suspectes.
- Les données importantes sont sauvegardées régulièrement.
- La restauration des sauvegardes est testée.
- Les collaborateurs savent reconnaître une demande urgente ou inhabituelle.
- Une procédure existe en cas de compte compromis, ransomware ou fuite de données.
- Les contacts clés sont identifiés : direction, prestataire IT, assurance, conseil juridique si nécessaire.
Comment évaluer le niveau de sécurité informatique de votre PME ?
Évaluer la sécurité informatique d’une PME consiste à vérifier si les protections en place sont réellement adaptées aux risques de l’entreprise. L’objectif n’est pas seulement de lister les outils installés, mais de comprendre si les données, les accès, les sauvegardes, la messagerie, les postes et les équipements critiques sont correctement protégés.
Une première évaluation peut commencer par quelques questions simples :
- Qui a accès aux données sensibles ?
- Les comptes critiques sont-ils protégés par une authentification à deux facteurs ?
- Les sauvegardes sont-elles testées ?
- Les logiciels, VPN, serveurs et équipements réseau sont-ils à jour ?
- Les anciens collaborateurs ont-ils encore accès à certains outils ?
- Existe-t-il une procédure en cas de compte compromis, ransomware ou fuite de données ?
Mais cette auto-évaluation a ses limites. Certains risques ne sont pas visibles sans analyse plus approfondie. C’est là qu’un audit devient utile.
Comment Qim info accompagne les PME dans leur sécurité informatique
Nos équipes interviennent sur les principaux enjeux de cybersécurité : audit, gestion des risques, conformité nLPD/RGPD, sécurisation de l’infrastructure, protection des postes et des données, détection des incidents, sauvegardes, cloud, gestion des accès et sensibilisation des utilisateurs.
Avec plus de 20 ans d’expertise IT, plus de 250 clients accompagnés et une présence en Suisse romande et alémanique, Qim info aide les entreprises à sécuriser durablement leur système d’information, sans perdre de vue la continuité de leurs activités.