En cybersécurité, la première question d'une PME ne devrait pas être « quel logiciel de sécurité supplémentaire devons-nous acheter ? ». Les incidents que nous observons viennent presque toujours d'ailleurs : un accès jamais fermé, une zone que personne ne surveille, un prestataire au périmètre flou. Voici trois angles organisationnels à regarder avant le prochain achat. Et trois actions concrètes à lancer sans acheter de logiciel supplémentaire.
La fausse évidence des outils
Quand une PME décide de « faire quelque chose » pour sa sécurité, la réponse arrive vite : un antivirus plus perfectionné, un pare-feu nouvelle génération, parfois un outil de détection sur les postes (un EDR). Le réflexe est compréhensible. L'industrie de la cybersécurité propose d'abord ce qu'elle sait faire : des produits. Et acheter un logiciel donne le sentiment rassurant d'avoir agi.
Le problème n'est pas l'outil. C'est l'ordre des opérations. Empiler des logiciels sans personne pour les piloter ne protège pas mieux. Cela crée parfois un faux sentiment de sécurité : on se croit couvert parce qu'on a payé.
La vraie question vient avant l'achat. Qui pilote la sécurité ? Qui en est responsable ? Qui forme les équipes ? Dans la plupart des PME que nous accompagnons, ces trois réponses sont floues, alors que les logiciels, eux, sont déjà là.
Trois exemples, trois angles morts
- Direction : un dirigeant découvre, en posant simplement la question, que son ancien associé, parti depuis deux ans, a toujours accès à la messagerie de l'entreprise.
- Ressources humaines : un collaborateur licencié dont les accès n'ont jamais été désactivés. Il s'en est servi trois mois après son départ pour télécharger des données clients.
- Informatique : des comptes techniques, sans utilisateur humain, jamais audités. Leurs mots de passe n'ont pas changé depuis l'installation du système, il y a six ans. Aucun de ces trois cas n'est un problème d'outil. Les trois sont des problèmes d'organisation.
Reste à savoir où regarder. Trois angles reviennent presque à chaque fois.
Angle 1 : qui a vraiment accès à quoi ?
C'est l'angle mort le plus fréquent, et le plus simple à corriger. Dans presque toutes les organisations, il existe un écart entre les accès théoriques et les accès réels. Sur le papier, telle personne n'a plus rien. En pratique, son compte fonctionne encore.
Ces accès oubliés ont des visages connus : anciens collaborateurs, stagiaires partis, prestataires dont le mandat est terminé, mots de passe partagés que plus personne ne maîtrise. C'est exactement ce que cherchent la plupart des attaques : non pas forcer une porte blindée, mais entrer par une porte restée ouverte.
L'action ne demande pas d'outil particulier. Faites l'inventaire des accès : qui peut entrer où, et pourquoi. Une à deux semaines de travail avec la personne qui gère l'informatique, en interne ou chez votre prestataire, suffisent à révéler la majorité des angles morts.
Angle 2 : qui gère quoi, vraiment ?
Dans beaucoup de PME, la sécurité est partout et nulle part. La direction suppose que c'est géré : par la personne qui touche à l'informatique en interne, si elle existe, ou par le prestataire externe. La première fait ce qu'on lui demande. Le second s'en tient à son contrat, ni plus ni moins. Résultat : personne n'en répond vraiment.
Le scénario revient souvent dans nos mandats. La direction est convaincue que le prestataire couvre un sujet : le test des sauvegardes, les mises à jour de tous les appareils, la revue des accès. On pose la question au prestataire : ce n'est pas dans son contrat. Personne ne le faisait. La faille n'est pas technique, c'est une zone que chacun croyait être celle de l'autre.
Ce n'est pas un reproche aux prestataires : beaucoup font bien leur métier, dans le périmètre qu'on leur a fixé. Le sujet, c'est ce périmètre, et ce qu'il laisse dehors. D'où une question qu'on oublie presque toujours de poser : qui gère ce que le prestataire ne gère pas ?
La démarche utile n'est pas un document de plus. C'est de réunir tous ceux qui touchent à l'informatique : vous, la personne qui s'en occupe en interne si vous en avez une, votre prestataire. Puis de lister, sujet par sujet, qui fait quoi. Trois colonnes : ce qui est géré en interne, ce que gère le prestataire, ce que personne ne gère. Tant que la troisième colonne n'est pas vide, elle est votre vrai risque.
Angle 3 : vos collaborateurs sont-ils formés cette année ?
C'est l'investissement avec le meilleur rapport entre coût et protection. C'est aussi le plus négligé. Une formation de 2019 ne protège plus en 2026 : l'hameçonnage assisté par IA, les faux SMS bancaires, l'usurpation de fournisseur ou la voix clonée d'un dirigeant n'existaient pas, ou pas sous cette forme.
Une formation utile n'est pas un cours technique. Elle installe des réflexes : reconnaître une demande anormale, vérifier par un second canal, savoir quoi faire quand on doute, et à qui le dire sans craindre le ridicule. Le format se cale sur vos enjeux, d'une campagne de sensibilisation ciblée à une demi-journée par équipe, idéalement répétée chaque année. C'est rarement un exercice interne : il gagne à être animé par quelqu'un dont c'est le métier.
L'action est simple. Avant d'acheter le prochain logiciel de sécurité, planifiez la prochaine session de formation. Si la dernière remonte à plus de dix-huit mois, votre première ligne de défense n'est plus à jour.
Trois actions pour commencer cette semaine
Les deux premières ne coûtent que du temps. La troisième est un investissement, le mieux rentabilisé de votre dispositif.
- Cartographiez les accès. Qui a accès à quoi, et pourquoi ? Une journée avec la personne qui gère votre informatique, en interne ou chez votre prestataire, suffit à faire apparaître les angles morts.
- Clarifiez qui couvre quoi. Réunissez tous ceux qui touchent à l'informatique (vous, l'interne s'il existe, le prestataire) et notez sujet par sujet ce que chacun gère. Toute case que personne ne coche est un risque à traiter.
- Planifiez la prochaine formation. Si la dernière remonte à plus de dix-huit mois, votre première ligne de défense n'est plus à jour.
Aucun de ces trois points ne commence par l'achat d'un logiciel. Tout le reste, des outils aux contrats et aux audits, gagnera à reposer sur ces fondations. C'est le travail de fond de la sécurité de l'information, pas l'achat d'un énième produit. C'est, au fond, le même angle mort que pour l'IA en entreprise : vous ne savez pas toujours ce qui se passe déjà chez vous.
Aller plus loin : vous voulez poser ces fondations avant le prochain achat ? Notre évaluation de la gouvernance des données et nos formations sur-mesure les mettent en place avec vous. Demandez une évaluation.