En Suisse, une PME sur trois a déjà été victime d'une cyberattaque. Pourtant, la majorité de ces incidents auraient pu être évités grâce à des mesures simples et peu coûteuses. Voici les cinq erreurs les plus fréquentes que nous constatons chez nos clients, avec des solutions concrètes pour chacune.
Erreur n°1 : Des mots de passe faibles et pas de MFA
Le risque
Les mots de passe simples (nom de l'entreprise + année, « 123456 », date de naissance) sont la première porte d'entrée des cybercriminels. Un mot de passe de 8 caractères sans complexité peut être cassé en quelques minutes par un outil automatisé. Sans authentification multifacteur (MFA), un seul mot de passe compromis donne accès à l'ensemble d'un compte.
Exemple concret
En 2025, une entreprise de construction dans le canton de Vaud a vu sa boîte email professionnelle compromise via un mot de passe réutilisé. Les attaquants ont intercepté une facture et modifié l'IBAN. Le client a payé sur le mauvais compte. L'argent n'a jamais été récupéré.
La solution
- Imposez des mots de passe d'au moins 12 caractères avec un mélange de majuscules, minuscules, chiffres et caractères spéciaux.
- Déployez un gestionnaire de mots de passe (Bitwarden, 1Password) pour toute l'entreprise.
- Activez le MFA sur tous les comptes critiques : messagerie, ERP, banque en ligne, accès VPN. Privilégiez une application d'authentification (Microsoft Authenticator, Authy) plutôt que les SMS.
Erreur n°2 : Pas de stratégie de sauvegarde fiable
Le risque
Beaucoup de PME pensent être protégées parce qu'elles « font des sauvegardes ». Mais une sauvegarde sur le même réseau que les données de production est inutile en cas de ransomware : le logiciel malveillant chiffre tout, sauvegardes comprises. Sans sauvegarde hors site et testée, une attaque ransomware peut paralyser votre entreprise pendant des semaines.
Exemple concret
Un garage automobile de la région de Bâle a été victime d'un ransomware en janvier 2025. Ses sauvegardes étaient sur un NAS connecté au réseau local : elles ont été chiffrées en même temps que les données. Le garage a perdu 3 ans de données clients et comptables. Les pertes en productivité, reconstruction des données et dommages à la réputation ont été considérables.
La solution
- Appliquez la règle du 3-2-1 : 3 copies de vos données, sur 2 supports différents, dont 1 hors site (cloud ou coffre externe).
- Utilisez des sauvegardes immuables (impossibles à modifier ou supprimer pendant une période définie).
- Testez vos restaurations au moins une fois par trimestre. Une sauvegarde qu'on ne peut pas restaurer ne sert à rien.
- Automatisez le processus et surveillez les alertes en cas d'échec.
Erreur n°3 : Aucune formation des collaborateurs
Le risque
Plus de 90% des cyberattaques commencent par un email de phishing. Vos collaborateurs sont la première ligne de défense, mais aussi le maillon le plus vulnérable si on ne les forme pas. Un clic sur un lien frauduleux ou une pièce jointe infectée suffit à compromettre l'ensemble du réseau.
Exemple concret
Une fiduciaire à Neuchâtel a été compromise lorsqu'une collaboratrice a ouvert un fichier Excel joint à un email imitant parfaitement un client existant. Le fichier contenait une macro malveillante qui a installé un logiciel espion. Pendant deux semaines, les attaquants ont eu accès aux données fiscales de dizaines de clients avant que l'intrusion ne soit détectée.
La solution
- Organisez des formations de sensibilisation au moins deux fois par an. Abordez le phishing, les pièces jointes dangereuses, les arnaques par téléphone et les clés USB inconnues.
- Lancez des campagnes de phishing simulé pour tester les réflexes de vos équipes et identifier les personnes à risque.
- Mettez en place une procédure claire : que faire en cas de doute sur un email ? Qui contacter ? Ne jamais punir un signalement, même si c'est un faux positif.
Erreur n°4 : Des logiciels et systèmes non mis à jour
Le risque
Chaque logiciel contient des failles de sécurité. Lorsqu'un éditeur publie un correctif (patch), les cybercriminels analysent immédiatement la faille corrigée pour l'exploiter sur les systèmes non mis à jour. Le délai entre la publication d'un patch et les premières attaques est souvent de quelques heures à quelques jours.
Exemple concret
La vulnérabilité Log4Shell (fin 2021) a été exploitée massivement dans les jours suivant sa divulgation. En Suisse, plusieurs PME utilisant des serveurs non patchés ont vu leurs systèmes compromis. En 2025, des variantes de cette attaque touchent encore des entreprises dont les serveurs n'ont jamais été mis à jour.
La solution
- Activez les mises à jour automatiques sur tous les postes de travail (Windows, macOS, navigateurs).
- Maintenez un inventaire de vos logiciels et systèmes avec leurs versions. Identifiez rapidement les composants vulnérables.
- Planifiez une fenêtre de maintenance mensuelle pour les serveurs et équipements réseau.
- Remplacez les logiciels en fin de vie (Windows Server 2012, Office 2016, etc.) qui ne reçoivent plus de correctifs de sécurité.
Erreur n°5 : Aucun plan de réponse aux incidents
Le risque
Même avec les meilleures protections, aucune entreprise n'est à l'abri d'un incident de sécurité. Sans plan de réponse, la panique prend le dessus : qui décide de couper le réseau ? Qui prévient les clients ? Qui contacte la police ? Chaque minute perdue dans la confusion aggrave les dégâts.
Exemple concret
Une entreprise de logistique zurichoise a subi une attaque ransomware un vendredi soir. Sans procédure définie, personne n'a su réagir pendant le week-end. Lorsque l'équipe IT est intervenue le lundi, le malware avait eu 60 heures pour se propager et chiffrer l'ensemble des serveurs, y compris les sauvegardes locales. Une réaction rapide le vendredi soir aurait limité les dégâts à un seul serveur.
La solution
- Rédigez un plan de réponse aux incidents simple et clair : qui fait quoi, dans quel ordre, avec quels outils.
- Définissez une chaîne de contact d'urgence : responsable IT, direction, prestataire de sécurité, assurance cyber, autorités (NCSC).
- Préparez des procédures d'isolation : comment déconnecter un poste ou un serveur compromis sans couper toute l'activité.
- Testez votre plan au moins une fois par an avec un exercice de simulation.
Statistique alarmante : selon le Centre national pour la cybersécurité (NCSC), le nombre de cyberincidents signalés en Suisse a augmenté de 30% en 2025. Les PME sont les cibles privilégiées car elles sont souvent moins protégées que les grandes entreprises.
Par où commencer ?
Vous n'avez pas besoin de tout résoudre en un jour. Voici un ordre de priorité pragmatique :
- Activez le MFA sur tous les comptes email et critiques (1 jour).
- Vérifiez vos sauvegardes : sont-elles hors site et testées ? (1 semaine).
- Planifiez une formation de sensibilisation pour vos équipes (1 mois).
- Auditez vos mises à jour et corrigez les systèmes obsolètes (1 mois).
- Rédigez votre plan de réponse aux incidents (2 mois).
Chacune de ces étapes est accessible, même avec un budget limité. Et chacune réduit considérablement votre surface d'attaque. La cybersécurité n'est pas une destination, c'est un processus continu. Mais il faut bien commencer quelque part.