AccueilExpertiseCybersécurité PME
Guide · Cybersécurité PME

Cybersécurité pour PME en Belgique : pragmatique d'abord.

Les PME concentrent aujourd'hui plus de la moitié des cyberattaques en Belgique. Pourtant, peu disposent des moyens d'une grande entreprise. Voici une approche pragmatique, dimensionnée pour les structures de 10 à 250 collaborateurs.

Pourquoi les PME sont devenues la cible préférée

Les attaquants ont compris que les PME sont des cibles intéressantes : elles disposent souvent d'un trésor (données clients, propriété intellectuelle, comptes bancaires) sans avoir la maturité cyber des grandes entreprises. Le rapport effort/gain est meilleur.

Le CCB belge confirme : la grande majorité des incidents traités concerne des PME. Ransomware, fraude au virement, compromission de boîte mail, fuite de données : aucune PME n'est trop petite pour être attaquée.

Le coût moyen d'une cyberattaque pour une PME belge se situe entre 30 000 et 200 000 euros, en cumulant rançon éventuelle, perte d'activité, frais de remédiation et perte de confiance des clients. Pour beaucoup, c'est une menace existentielle.

L'erreur classique : viser ISO 27001 trop tôt

De nombreuses PME, sous pression de leurs clients ou de la réglementation, se lancent directement dans une démarche ISO 27001 sans avoir les fondamentaux. Le résultat est presque toujours décevant : projet long, coûteux, qui produit beaucoup de documents et peu de sécurité réelle.

L'approche pragmatique consiste à d'abord installer les fondamentaux qui couvrent 80% des risques pour 20% de l'effort, puis à structurer progressivement. La certification, si elle est nécessaire, vient en couronnement après deux ou trois ans, pas en démarrage.

Cette approche permet de prouver rapidement votre maturité (questionnaires fournisseurs, communication client) tout en construisant une sécurité réelle, pas une conformité de façade.

Les huit fondamentaux à mettre en place

Voici les huit mesures qui, mises en place correctement, couvrent la majorité des scénarios d'attaque ciblant les PME. Aucune n'est nouvelle, toutes sont essentielles.

  • Authentification multi-facteurs (MFA) partout : sur les comptes Microsoft 365 ou Google Workspace, le VPN, la banque en ligne, les outils SaaS critiques. La MFA bloque la majorité des compromissions de comptes.
  • EDR sur tous les endpoints : Microsoft Defender for Business, SentinelOne ou équivalent. Remplacer définitivement les antivirus traditionnels par une solution comportementale.
  • Sauvegardes 3-2-1 immuables : trois copies, deux supports différents, une copie hors site et immuable (pas modifiable, pas supprimable par un attaquant). Tester la restauration au moins deux fois par an.
  • Mises à jour automatiques : sur les postes, les serveurs, les routeurs, les firewalls. La majorité des compromissions exploite des vulnérabilités dont le patch est disponible depuis des mois.
  • Sensibilisation du personnel : programme régulier (mensuel idéalement), incluant des phishings simulés. L'humain est le maillon le plus exploité.
  • Gestion des accès : suppression rapide des accès des partants, principe du moindre privilège, revue périodique des accès administrateur.
  • Plan de réponse à incident documenté : qui appelle qui, quel prestataire de crise, quelles communications. Documenté avant l'incident, pas pendant.
  • Sauvegarde et confidentialité du e-mail : protection anti-phishing avancée, archivage légal, alertes sur fraude au virement.

Combien ça coûte vraiment

Pour une PME de 30 collaborateurs, la mise en place des huit fondamentaux représente un investissement initial de 15 000 à 30 000 euros (consultant, déploiement) et un coût récurrent annuel de 12 000 à 25 000 euros (licences EDR, MFA, sauvegarde immuable, sensibilisation).

Ramené par collaborateur et par mois, cela représente environ 35 à 70 euros. À comparer au coût moyen d'une attaque réussie (30 000 à 200 000 euros) et à l'impact business d'une indisponibilité d'une semaine.

Pour les structures qui ne peuvent pas investir un consultant en interne, le RSSI externalisé à 1 ou 2 jours par mois est généralement la solution la plus efficiente. Vous bénéficiez de la compétence senior pour quelques milliers d'euros par mois.

L'erreur fatale : la fausse bonne sauvegarde

Un sujet mérite une attention particulière : la sauvegarde. Elle est la dernière ligne de défense contre le ransomware. Et pourtant, dans la majorité des incidents que nous traitons, la sauvegarde n'a pas fonctionné.

Les trois erreurs les plus fréquentes : la sauvegarde sur un partage réseau (chiffré par le ransomware en même temps que les données), la sauvegarde non testée (qui ne fonctionne pas le jour J), la sauvegarde dont les identifiants sont stockés sur le poste compromis (l'attaquant les utilise pour effacer les sauvegardes).

Une sauvegarde efficace contre le ransomware doit être immuable (impossible à modifier ou supprimer pendant une période définie), déconnectée (pas de chemin d'accès depuis le SI principal), testée (restauration vérifiée au moins deux fois par an) et complète (incluant les données, mais aussi les configurations système).

Si un seul investissement doit être fait, c'est celui-là.

Questions fréquentes

FAQ Cybersécurité PME

Notre PME doit-elle être conforme NIS2 ?
Cela dépend de votre secteur et de votre taille. Les entreprises de plus de 50 personnes ou plus de 10 millions d'euros de CA dans des secteurs listés (NIS2 Annexes I et II) sont concernées. Beaucoup de PME tombent dans le périmètre.
Avons-nous vraiment besoin d'un RSSI ?
Pour une PME de moins de 50 personnes, un RSSI à temps plein n'est pas justifié. Mais avoir une compétence cyber en référence (RSSI externalisé, conseil) est nécessaire dès la première donnée client. L'absence totale de pilotage cyber n'est plus acceptable.
Le cloud (M365, Google Workspace) est-il plus sûr ?
Oui pour la majorité des PME. Microsoft et Google investissent massivement dans la sécurité de leurs plateformes. Mais cela ne dispense pas d'activer correctement les fonctions (MFA, gestion des accès, journalisation) ni de protéger les postes des utilisateurs.
Que faire si nous sommes attaqués maintenant ?
Activer immédiatement votre cellule de crise (même informelle) : isoler les machines compromises (sans les éteindre, pour préserver les preuves), couper la connexion Internet si nécessaire, contacter votre prestataire de réponse à incident, prévenir vos clients impactés. Ne payez jamais de rançon sans conseil expert.
Les aides régionales existent-elles ?
Oui. La Wallonie propose le Cyber Wal et Digital Wallonia. La Flandre propose Vlaio Cybersecurity. Bruxelles propose Hub.brussels. Ces aides peuvent couvrir une partie significative d'un audit ou d'un plan d'action initial.
Notre assureur cyber suffit-il ?
Non. L'assurance couvre une partie des pertes financières en cas d'incident, pas la prévention. Les assureurs imposent désormais des prérequis sécurité (MFA, EDR, sauvegardes) avant de couvrir, et excluent souvent les négligences manifestes. L'assurance complète un programme cyber, elle ne le remplace pas.
Pour aller plus loin

Guides et services associés

Conformité NIS2

Si votre PME est concernée par NIS2.

Lire

RSSI externalisé

Compétence senior à coût adapté à la PME.

Lire

Audit ISO 27001

Pour structurer votre démarche dans la durée.

Lire

Une question sur ce sujet ?

Échange gratuit de 30 minutes avec un consultant senior pour cadrer votre projet.

Réserver un échange