Tous les articles · Pillier cybersécurité

Cybersécurité TPE 2026 : le guide complet pour dormir tranquille

En 2024, 43 % des cyberattaques visaient des TPE. Coût moyen d'un incident pour une TPE française : 38 000 €. Voici le guide pour atteindre un niveau de sécurité sérieux sans embaucher un RSSI ni dépenser plus de 50 € par mois.

Pourquoi les TPE sont les premières cibles

Pas parce qu'elles ont le plus de valeur, mais parce qu'elles ont le moins de défenses. Les attaquants utilisent des scripts automatisés qui scannent Internet. Une TPE sans MFA, sans gestionnaire de mots de passe et sans sauvegarde séparée est le profil idéal pour un ransomware à 20-50 k€ de rançon.

Bonne nouvelle : 80 % des attaques sont stoppées avec 10 actions simples. Pas besoin d'EDR, de SOC ou d'analyse comportementale. Juste de l'hygiène de base, faite proprement.

Les 10 actions prioritaires en ordre d'impact

1. Activer MFA/2FA partout — messagerie, banque, facturation, cloud. Procédure détaillée. Réduit le risque vol de compte de 99 %.
2. Installer un gestionnaire de mots de passe — Bitwarden, 1Password ou Proton Pass. Comparatif. Élimine la réutilisation et les post-it.
3. Mettre en place la sauvegarde 3-2-1 — 3 copies, 2 supports différents, 1 hors site. Guide pratique. La seule défense efficace contre les ransomwares.
4. Activer les mises à jour automatiques sur tous les postes. Routine mensuelle. Bloque 60 % des failles exploitées.
5. Former l'équipe au phishing en 30 minutes. Les 3 signaux à reconnaître. Le maillon humain est la 1^re porte d'entrée.
6. Sécuriser le WiFi avec un réseau invité séparé. Méthode. Évite la propagation latérale.
7. Mettre en place une charte informatique. Template prêt à signer. Couvre la responsabilité juridique.
8. Tenir un registre des incidents. Obligation RGPD pour notification CNIL en 72 h.
9. Souscrire une assurance cyber uniquement si données sensibles ou panier client > 50 k€. Quand c'est utile.
10. Préparer un plan de réponse à incident simple : qui appeler, comment isoler, comment communiquer.

Budget réaliste pour une TPE de 1 à 20 salariés

• Gestionnaire de mots de passe : 3-5 €/utilisateur/mois → 60-100 €/mois pour 20 personnes.
• Sauvegarde cloud sécurisée : 10-30 €/mois selon volume.
• Antivirus / EDR léger : 5-15 €/poste/mois (Bitdefender, ESET, Sophos).
• Formation équipe : 0-200 € (souvent inclus dans les abonnements ou via OPCO).
• Total mensuel réaliste : 80-200 €/mois pour une vraie hygiène cyber.

À comparer au coût d'un incident moyen : 38 000 €. Le ROI cyber est l'un des meilleurs investissements TPE.

Le RGPD pour TPE en 5 minutes

Le RGPD s'applique à toute TPE qui traite des données personnelles (presque toutes). Obligations minimales :

• Tenir un registre des traitements (modèle simple disponible dans notre checklist RGPD TPE).
• Avoir une politique de confidentialité sur le site web.
• Notifier la CNIL en cas de violation grave dans les 72 h.
• Désigner un DPO seulement si traitement à grande échelle de données sensibles.

Que faire en cas d'incident

1. Isoler : déconnecter le poste touché du réseau sans l'éteindre.
2. Documenter : prendre des photos d'écran, noter l'heure exacte des symptômes.
3. Appeler : ton prestataire IT, ou le 17 si données sensibles compromises. cybermalveillance.gouv.fr aide gratuitement.
4. Notifier : CNIL dans les 72 h si données personnelles touchées.
5. Communiquer : prévenir les clients impactés. Tu as 5 modèles dans notre guide ransomware.

Les erreurs qui ouvrent la porte aux attaquants

• Réutiliser le même mot de passe sur plusieurs services — une fuite sur l'un compromet tous les autres.
• Sauvegarder sur le même réseau que le serveur — un ransomware chiffre les deux.
• Garder les accès des anciens collaborateurs — backdoor humaine.
• Cliquer "Activer macros" sur une pièce jointe Excel — Emotet et 80 % des virus passent par là.
• Penser que "on est trop petits pour intéresser un attaquant" — les attaques sont automatisées, taille zéro pertinence.

Aller plus loin

• Checklist cybersécurité TPE gratuite — 10 actions en moins d'une heure.
• Pack Cyber TPE Express 49 € — charte, procédures, registre, modèles email prêts à signer.