La sécurité informatique pour PME n'est plus une option réservée aux grandes entreprises : c'est devenu une nécessité vitale pour toute structure, y compris les artisans, cabinets et commerces de la région d'Yverdon et de Suisse romande. Selon les données publiées par l'Office fédéral de la cybersécurité (OFCS / NCSC), près de 65 000 signalements de cyberincidents ont été enregistrés en Suisse en 2025, et une PME suisse sur trois a déjà été victime d'une cyberattaque. Face à ces chiffres, beaucoup de dirigeants se sentent dépassés et ne savent tout simplement pas par où commencer. Cet article vous propose une feuille de route claire, hiérarchisée et adaptée au contexte légal suisse.
Par où commencer ? Réalisez d'abord un état des lieux de votre parc informatique, puis sécurisez vos sauvegardes (règle 3-2-1), protégez vos accès avec des mots de passe forts et l'authentification à deux facteurs, maintenez vos systèmes à jour et formez vos employés au phishing. Ces cinq fondamentaux couvrent la majorité des risques pour une PME.
1. L'audit : connaître son système avant de le protéger
On ne protège bien que ce que l'on connaît. La première étape de toute démarche de sécurité informatique pour PME consiste à dresser un inventaire complet : combien de postes, de serveurs, de smartphones professionnels, quels logiciels, quelles données sensibles, et où sont-elles stockées (locales, cloud, hébergeur) ? Cet état des lieux permet d'identifier les points faibles avant qu'un attaquant ne les exploite.
Un audit structuré examine les comptes utilisateurs et leurs droits, les accès distants (VPN, bureau à distance), les services exposés sur Internet, ainsi que la conformité à la nouvelle loi sur la protection des données (nLPD), entrée en vigueur en septembre 2023. Pour une analyse approfondie, consultez notre guide complet sur l'audit de cybersécurité en entreprise suisse, qui détaille la méthodologie étape par étape.
Pourquoi l'audit est-il prioritaire ?
Sans cartographie, vous investissez à l'aveugle. Beaucoup de PME achètent un antivirus coûteux tout en laissant un serveur sans mise à jour depuis trois ans, ou un compte administrateur partagé par toute l'équipe. L'audit révèle ces incohérences et permet de prioriser les dépenses là où le risque est réel.
2. Les sauvegardes : votre dernier rempart
Si une seule mesure devait être appliquée immédiatement, ce serait la sauvegarde. En cas de ransomware, de panne matérielle, de vol ou d'incendie, une sauvegarde fiable est ce qui permet à votre entreprise de redémarrer. La référence du secteur est la règle 3-2-1 :
- 3 copies de vos données importantes ;
- sur 2 supports différents (par exemple un disque local et un cloud) ;
- dont 1 copie hors site (déconnectée ou externalisée), à l'abri d'un sinistre physique ou d'un chiffrement par rançongiciel.
Une sauvegarde n'a de valeur que si elle est testée régulièrement : une restauration qui échoue le jour J ne vaut rien. Pour mettre en place une stratégie robuste, suivez notre guide pour sauvegarder ses données efficacement. Et si vous voulez comprendre pourquoi les sauvegardes hors ligne sont cruciales, lisez notre dossier sur que faire face à un ransomware.
3. Mots de passe, gestionnaire et authentification à deux facteurs
Les identifiants volés représentent l'une des principales portes d'entrée des cyberattaques. Le NCSC place le vol de données d'accès parmi les incidents les plus signalés en Suisse. Trois mesures simples réduisent drastiquement ce risque :
- Des mots de passe longs et uniques pour chaque service. Découvrez comment créer un mot de passe sécurisé facile à retenir.
- Un gestionnaire de mots de passe (comme Bitwarden ou KeePass) pour que vos collaborateurs n'aient plus à mémoriser des dizaines de codes ni à les noter sur un post-it.
- L'authentification à deux facteurs (2FA) sur tous les services critiques : messagerie, banque en ligne, accès distants, outils cloud. Même si un mot de passe fuite, le 2FA bloque l'attaquant.
4. Mises à jour et correctifs
La majorité des attaques exploitent des failles déjà connues et corrigées par les éditeurs. Ne pas appliquer les mises à jour, c'est laisser la porte ouverte. Activez les mises à jour automatiques pour les systèmes d'exploitation (Windows, macOS), les navigateurs, les logiciels métiers et surtout les équipements réseau (routeurs, pare-feu, NAS), souvent oubliés. Les appareils en fin de vie, qui ne reçoivent plus de correctifs, doivent être remplacés ou isolés.
5. Antivirus, EDR et protection des postes
L'antivirus traditionnel reste utile, mais il montre ses limites face aux menaces modernes. Les solutions EDR (Endpoint Detection and Response) vont plus loin : elles détectent les comportements suspects, isolent automatiquement un poste compromis et offrent une visibilité centralisée. Pour une PME, un EDR managé par un prestataire local représente un excellent compromis entre coût et niveau de protection.
6. Former les employés au phishing
La technologie ne suffit pas : l'humain reste le maillon le plus ciblé. Le hameçonnage (phishing) demeure l'une des techniques d'attaque les plus répandues en Suisse romande. Des e-mails imitant la Poste, les banques ou l'administration fiscale piègent chaque jour des collaborateurs. La sensibilisation régulière, voire des campagnes de phishing simulé, transforme vos employés en première ligne de défense. Consultez notre analyse des arnaques de phishing en Suisse en 2026 pour reconnaître les signaux d'alerte les plus courants.
7. Sécuriser le réseau WiFi
Un réseau WiFi mal configuré offre un accès direct à vos données. Utilisez le chiffrement WPA3 (ou WPA2 au minimum), changez les mots de passe par défaut des équipements, et créez un réseau invité séparé pour les visiteurs et les objets connectés. Notre guide dédié explique comment sécuriser son réseau WiFi en quelques étapes.
8. Préparer un plan de réponse aux incidents
La question n'est pas de savoir si un incident surviendra, mais quand. Un plan de réponse définit à l'avance : qui prévenir, quelles données isoler, comment communiquer, et comment restaurer l'activité. En Suisse, certaines infrastructures critiques ont l'obligation légale de signaler les cyberattaques au NCSC depuis le 1er avril 2025. Même sans obligation, signaler un incident aide la communauté et accélère votre prise en charge.
9. L'assurance cyber
De plus en plus d'assureurs suisses proposent des polices « cyber » couvrant les frais de remédiation, la perte d'exploitation, les rançons éventuelles et l'accompagnement juridique. Ce n'est pas un substitut aux mesures techniques, mais un filet de sécurité financier. Attention : la plupart des assureurs exigent désormais un niveau minimal de protection (sauvegardes, 2FA, EDR) pour vous couvrir.
Tableau récapitulatif : par où commencer ?
| Mesure de sécurité | Priorité | Coût indicatif (PME) |
|---|---|---|
| Audit / état des lieux | Très haute | 500 - 2 000 CHF |
| Sauvegardes 3-2-1 | Très haute | 20 - 100 CHF / mois |
| Gestionnaire de mots de passe + 2FA | Très haute | 0 - 5 CHF / utilisateur / mois |
| Mises à jour automatiques | Haute | Gratuit (temps interne) |
| Antivirus / EDR | Haute | 3 - 10 CHF / poste / mois |
| Formation anti-phishing | Haute | 200 - 1 000 CHF / an |
| Sécurisation WiFi | Moyenne | Gratuit à faible |
| Plan de réponse aux incidents | Moyenne | 500 - 1 500 CHF |
| Assurance cyber | Moyenne | Variable selon CA |
Questions fréquentes
Combien coûte la sécurité informatique pour une PME ?
Le budget dépend de la taille et du secteur, mais une PME de 5 à 15 postes peut atteindre un bon niveau de protection pour quelques centaines de francs par mois. Les mesures les plus efficaces (sauvegardes, 2FA, mises à jour, formation) sont souvent peu coûteuses voire gratuites.
Une petite entreprise est-elle vraiment une cible ?
Oui. Selon le NCSC, une PME suisse sur trois a déjà subi une cyberattaque. Les pirates ciblent volontairement les petites structures car elles sont moins protégées que les grandes entreprises, tout en disposant de données et de moyens financiers exploitables.
Quelle est la première mesure à mettre en place ?
La sauvegarde fiable et testée selon la règle 3-2-1. C'est le filet de sécurité qui permet de redémarrer après un ransomware, une panne ou un vol. Aucune autre mesure ne remplace une sauvegarde hors ligne et restaurable.
La nLPD impose-t-elle des obligations de sécurité ?
Oui. La nouvelle loi suisse sur la protection des données (nLPD), en vigueur depuis septembre 2023, exige des mesures techniques et organisationnelles adaptées pour protéger les données personnelles. En cas de violation présentant un risque élevé, l'entreprise doit l'annoncer au Préposé fédéral (PFPDT).
Faut-il un prestataire externe ou gérer en interne ?
Pour la plupart des PME sans service informatique dédié, un partenaire local externalisé est plus économique et plus fiable. Il assure la veille, les mises à jour, la supervision des sauvegardes et l'intervention rapide en cas d'incident, sans coût de recrutement interne.
Vous ne savez pas par où commencer concrètement ? Cyberclinique accompagne les PME de la région d'Yverdon et de toute la Suisse romande dans la sécurisation de leur système informatique, de l'audit initial au plan de réponse aux incidents. Contactez-nous pour un premier diagnostic sans engagement et établissons ensemble votre feuille de route de cybersécurité.