Vous savez que vous devriez « faire quelque chose » pour la cybersécurité. Vous l'avez peut-être même inscrit sur une liste, quelque part, depuis un moment.
Mais entre l'antivirus, la sauvegarde, le pare-feu et les dix prestataires qui vous promettent la tranquillité, vous ne savez pas par où commencer. Et tant qu'on ne sait pas par où commencer en cybersécurité quand on est une PME, on ne commence pas. C'est humain, et c'est exactement le piège.
Le réflexe qui coûte cher : acheter avant de comprendre
Quand le sujet devient pressant (un concurrent qui se fait pirater, un client qui demande un questionnaire de sécurité, une tentative d'arnaque évitée de justesse), le premier réflexe est souvent d'acheter. Un nouvel outil, un abonnement, un boîtier. On se sent rassuré : on a « fait quelque chose ».
Sauf que dépenser avant de comprendre, c'est comme acheter une alarme sans savoir quelle porte reste ouverte. Vous protégez peut-être très bien une chose qui ne risquait rien, pendant que la vraie faille reste béante. Sur le terrain, on voit régulièrement des entreprises très bien équipées sur un point précis et totalement exposées ailleurs, simplement parce que personne n'a pris le temps de regarder l'ensemble.
La cybersécurité utile ne commence pas par un produit. Elle commence par une question simple : qu'est-ce que j'ai à perdre, et qu'est-ce qui peut me le faire perdre.
Par où commencer en cybersécurité quand on est une PME
La bonne porte d'entrée porte un nom un peu technique, mais le principe est limpide : l'analyse des risques. Il s'agit de répondre, dans l'ordre, à trois questions.
Qu'est-ce qui est vraiment important pour mon entreprise ? Vos données clients, votre comptabilité, vos plans, votre messagerie, votre site qui prend les commandes. Tout n'a pas la même valeur.
Qu'est-ce qui pourrait leur arriver ? Un ransomware qui chiffre vos fichiers, un employé qui part avec ses accès toujours actifs, une facture trafiquée payée à un escroc, une panne sans sauvegarde. Ce sont des scénarios concrets, pas des concepts abstraits.
Et si ça arrivait, ce serait grave à quel point ? C'est le croisement des deux : un risque probable et grave passe devant un risque rare et bénin. Vous obtenez une liste de priorités, et donc un plan.
Cette logique c'est le cœur de la norme internationale ISO/IEC 27005 et du NIST Cybersecurity Framework, qui résume tout en cinq verbes : identifier, protéger, détecter, répondre, récupérer. En Suisse, l'Office fédéral de la cybersécurité (NCSC) publie d'ailleurs des recommandations dans le même esprit pour les PME. Le problème, pour une PME, c'est que ces référentiels peuvent vite paraître lourds quand on n'a ni RSSI ni service informatique dédié.
MEHARI : une méthode gratuite pour structurer la démarche
C'est là qu'une ressource mérite d'être connue : MEHARI. C'est une méthode d'analyse et de gestion des risques, mise à disposition gratuitement par le CLUSIF, l'association française de référence en sécurité de l'information. Elle est ouverte, documentée, et compatible avec la norme ISO 27005.
Concrètement, MEHARI ne se contente pas de dire « analysez vos risques ». Elle fournit un cadre, une base de connaissances et des questions structurées qui vous prennent par la main : quels actifs, quelles menaces, quelles vulnérabilités, quel niveau de gravité. Vous n'avez pas besoin d'être expert pour entrer dans la démarche. Vous avez besoin d'accepter de vous poser les bonnes questions, dans le bon ordre.
MEHARI repose d'ailleurs sur une règle simple : ne jamais sous-évaluer un risque. On considère toujours le pire scénario plausible, et on ne tient compte que des effets réellement maîtrisés des mesures déjà en place. La méthode s'appuie sur des bases de connaissances prêtes à l'emploi (scénarios de risque types, dispositifs de sécurité, questionnaires d'évaluation), ce qui évite justement de partir d'une page blanche.
Et une fois un risque évalué, la démarche pose clairement les options : le réduire (abaisser sa probabilité ou son impact), l'éviter (supprimer l'activité qui l'expose), le transférer (assurance, prestataire) ou l'accepter en connaissance de cause. C'est cette logique de décision, et pas l'achat d'un outil, qui structure une vraie démarche de sécurité.
Soyons honnêtes sur ses limites. MEHARI reste une méthode complète, pensée à l'origine pour des organisations d'une certaine taille ; une TPE de cinq personnes n'a pas besoin d'aller dans son moindre détail. Elle n'est pas non plus la seule option : d'autres cadres, comme le NIST CSF, conviennent bien à une montée en maturité progressive. Mais comme point de départ gratuit, structuré et sérieux, MEHARI fait très bien le travail.
Pourquoi cette approche change tout pour une PME
Commencer par les risques plutôt que par les outils a trois effets très concrets.
Vous dépensez mieux. Au lieu de dépenser dans des outils qui rassurent, vous investissez sur ce qui protège vraiment. Souvent, les premières mesures qui ressortent ne coûtent presque rien : désactiver les comptes des employés partis, activer la double authentification, vérifier que les sauvegardes se restaurent réellement.
Vous reprenez la main. Une liste de priorités transforme un nuage anxiogène en plan d'action lisible, que vous pouvez présenter à votre comité de direction ou à votre prestataire.
Vous êtes prêt quand on vous le demande. De plus en plus de clients, d'assureurs et de partenaires exigent des preuves de maturité cyber. En Suisse, la nLPD a aussi renforcé les obligations autour des données personnelles. Avoir formalisé ses risques, c'est pouvoir répondre sereinement.
Un exemple concret : une PME de 30 personnes
Prenons une PME : un bureau d'ingénierie de 30 personnes, sans informaticien interne. Le gérant sait qu'il faudrait s'en occuper, mais ne sait pas par où commencer.
En suivant une démarche de type MEHARI, on liste d'abord ce qui compte vraiment. Très vite, deux actifs ressortent : les plans des projets clients (des années de travail) et la messagerie, par laquelle transitent les factures. Ensuite, les scénarios : un ransomware qui chiffrerait le serveur de plans, et une fraude par usurpation de la messagerie.
Le croisement est sans appel. Les deux risques sont à la fois probables et graves.
Résultat : avant d'acheter quoi que ce soit, trois priorités émergent. Une sauvegarde testée et hors ligne pour les plans. Une protection sérieuse de la messagerie, double authentification comprise. Une procédure simple de vérification des changements de coordonnées bancaires.
Aucune de ces mesures n'est un gadget hors de prix. Elles sortent directement de l'analyse, pas d'un argumentaire commercial. C'est toute la différence entre dépenser et investir.
Ce qu'on recommande chez Logexia
Commencez petit, mais commencez. Une première analyse, même imparfaite, vaut infiniment mieux qu'un plan parfait jamais lancé. Une demi-journée à cartographier vos risques majeurs change déjà la donne.
Servez-vous d'une méthode existante plutôt que d'improviser. MEHARI ou un cadre équivalent vous évite d'oublier des pans entiers du sujet et vous donne un langage commun avec vos interlocuteurs techniques.
Faites-en un document vivant. Les risques évoluent, votre entreprise aussi. Une révision une fois par an suffit dans la plupart des PME.
Distinguez l'analyse de l'accompagnement. La méthode structure la réflexion ; elle ne remplace pas le regard de quelqu'un qui a vu passer des incidents réels. C'est précisément là qu'un partenaire apporte de la valeur. Il transforme une liste de risques en mesures concrètes et réalistes pour votre contexte.
Conclusion
La cybersécurité ne commence pas par une dépense, elle commence par une question : qu'est-ce que j'ai à perdre, et qu'est-ce qui peut me le faire perdre. Une méthode gratuite comme MEHARI suffit à transformer cette question en plan d'action. Le plus dur n'a jamais été de savoir quoi acheter. C'est de savoir par où commencer. Et ça, vous pouvez le faire dès maintenant !