Cybersécurité TPE : par où commencer en 2026 ?

La cybersécurité dans une TPE ressemble souvent à un chantier intimidant : trop d’enjeux, trop de jargon, trop d’outils proposés, et un budget contraint. Pourtant, l’écrasante majorité des risques se couvre avec 10 actions simples, accessibles à toute structure, même sans expert interne. Cet article les détaille avec un budget réaliste, en lien direct avec ce qu’attend la directive NIS2, mais utile bien au-delà.

Le constat de départ

Les statistiques sectorielles 2025 sont éloquentes : plus de 60% des TPE françaises ont subi au moins une tentative d’attaque informatique dans les 12 derniers mois. 30% ont subi un incident significatif (compromission, ransomware, fraude au président, fuite de données). Dans 80% des cas, l’incident aurait pu être évité par une mesure de sécurité élémentaire non mise en place.

Le sujet ne relève donc pas du « confort » mais de la survie de l’entreprise : un ransomware peut paralyser une activité plusieurs semaines et coûter 50 à 200 k€ entre coût technique, perte de chiffre d’affaires, frais de communication et impact image. Pour une TPE, c’est souvent un choc existentiel.

La bonne nouvelle est qu’on peut drastiquement réduire le risque avec un effort limité. Voici les dix actions à prioriser.

Action 1 — Déployer la MFA partout où c’est possible

L’authentification multifactorielle est sans conteste l’investissement avec le meilleur ROI sécurité. Microsoft estime qu’elle bloque plus de 99% des compromissions de comptes.

Concrètement : activer la MFA sur Microsoft 365 ou Google Workspace, sur les comptes administrateurs de tous les services SaaS, sur les accès distants (VPN, RDP), sur les comptes bancaires en ligne, sur les outils de paie et de comptabilité.

Budget : 0 € (la MFA est incluse dans M365 et Google Workspace). 50-100 € de clés YubiKey si vous voulez sécuriser les comptes les plus critiques.

Effort : 2 à 4 semaines pour une TPE de 10 personnes, principalement de la communication et du support utilisateurs.

Détails dans notre article dédié : Déployer la MFA dans une PME.

Action 2 — Mettre en place des sauvegardes immuables

Une sauvegarde classique est inutile face à un ransomware moderne, qui chiffre aussi les sauvegardes accessibles. La sauvegarde immuable ne peut pas être modifiée ou supprimée pendant une période définie, même par un administrateur compromis.

Concrètement : sauvegarder quotidiennement vos données critiques (fichiers, bases de données, emails), en au moins 3 copies sur 2 supports différents avec 1 hors-site et 1 immuable. Tester la restauration au moins une fois par an.

Budget : 50 à 150 €/mois selon le volume (Backblaze B2, AWS S3 avec Object Lock, Datto, Veeam Cloud Connect).

Effort : 1 semaine de mise en place, 1 demi-journée annuelle de test.

Action 3 — Sécuriser la messagerie

L’email reste le vecteur principal des cyberattaques. Phishing, fraude au président, malware en pièce jointe : 90% des incidents commencent par un email.

Concrètement : activer SPF, DKIM et DMARC sur votre domaine (signaler les emails frauduleux usurpant votre domaine). Activer la protection anti-phishing native de Microsoft 365 ou Google Workspace. Sensibiliser les collaborateurs aux emails suspects.

Budget : 0 € (inclus dans M365 et Google Workspace). 5-10 €/mois/utilisateur pour un add-on de sécurité avancée.

Effort : 1-2 jours pour la configuration technique, sensibilisation continue.

Action 4 — Gérer les mots de passe avec un coffre-fort

Le mot de passe partagé en clair sur Excel ou collé sous le clavier est encore un grand classique. Un gestionnaire de mots de passe partagé d’équipe règle 80% du problème.

Concrètement : déployer Bitwarden (gratuit ou 3 €/mois/utilisateur), 1Password (8 €/mois/utilisateur), Dashlane ou équivalent. Migrer progressivement les mots de passe partagés vers le coffre. Activer la MFA sur le coffre.

Budget : 0 à 10 €/mois/utilisateur.

Effort : 1 semaine de migration progressive.

Action 5 — Mettre à jour systématiquement

Les vulnérabilités exploitées par les attaquants sont majoritairement déjà corrigées par les éditeurs. Le retard de mise à jour est la cause la plus fréquente d’exploitation.

Concrètement : configurer les mises à jour automatiques sur les postes de travail (Windows Update, macOS Auto Update). Activer les mises à jour automatiques sur les principaux logiciels (navigateurs, suite Office, antivirus). Mettre à jour mensuellement les sites web (WordPress, plugins, modules e-commerce).

Budget : 0 € en interne, 50-100 €/mois si externalisé pour les sites web.

Effort : 1 jour de configuration initiale, suivi mensuel.

Action 6 — Disposer d’un EDR ou antivirus moderne

L’antivirus classique est devenu insuffisant face aux menaces modernes. Un EDR (Endpoint Detection and Response) détecte les comportements anormaux, pas seulement les signatures connues.

Concrètement : activer Microsoft Defender for Endpoint (inclus dans certaines licences M365 Business), Bitdefender GravityZone, ESET, ou équivalent. Centraliser les alertes pour pouvoir réagir.

Budget : 0 à 10 €/mois/poste selon la solution.

Effort : 1-2 jours de déploiement.

Action 7 — Documenter une charte informatique

Une charte informatique signée par tous fixe les règles d’usage et engage juridiquement les collaborateurs en cas de manquement.

Concrètement : rédiger une charte de 4 à 8 pages couvrant l’usage des outils professionnels, la confidentialité, les comportements à éviter (clés USB, sites suspects, partage de mots de passe), la procédure de signalement d’incident. Faire signer à l’arrivée et lors de toute mise à jour.

Budget : 0 € en interne (modèles disponibles), 500 € si rédaction par un avocat ou un consultant.

Effort : 2-3 jours.

Action 8 — Sensibiliser les collaborateurs

Les attaques exploitent les humains autant que la technique. Un programme régulier de sensibilisation réduit drastiquement le risque.

Concrètement : 1 heure de sensibilisation collective annuelle sur le phishing, les mots de passe, l’usage du wifi public, les bonnes pratiques de mobilité. 1 à 2 exercices phishing simulés par an pour mesurer le niveau et adapter la formation. Pour les dirigeants : une formation cybersécurité spécifique de 4 à 8 heures par an (exigée par NIS2 d’ailleurs).

Budget : 200 à 500 €/an pour une plateforme de phishing simulé (Conscia, Phished, Hoxhunt) ou 0 € avec des outils gratuits.

Effort : 2-3 jours/an de pilotage.

Action 9 — Tracer et journaliser les accès

En cas d’incident, le premier réflexe d’un expert est de regarder les journaux. Sans journaux, on est aveugle.

Concrètement : activer la journalisation native des principaux services (M365, Google Workspace, plateforme cloud, CRM, ERP). Conserver au moins 6 mois (un an idéalement). Mettre en place quelques alertes simples : connexion depuis un nouveau pays, modification de règles d’envoi d’email, ajout d’un compte administrateur.

Budget : 0 à 50 €/mois selon le volume et les outils.

Effort : 2-3 jours.

Action 10 — Documenter une procédure d’incident

Quand un incident arrive, on n’a pas le temps d’inventer la marche à suivre. Une procédure d’une page suffit.

Concrètement : un document précisant qui prévient qui, dans quel ordre, avec quels contacts (assureur cyber, prestataire IT, expert en cas de besoin, ANSSI si NIS2). Une boîte mail dédiée aux signalements internes. Un test annuel sur un cas fictif.

Budget : 0 € en interne.

Effort : 1-2 jours de rédaction, 1 demi-journée annuelle de test.

Récapitulatif budget pour une TPE de 10 personnes

Voici ce que coûte la cybersécurité de base pour une TPE de 10 personnes en 2026.

Coûts récurrents :

• M365 Business Premium ou Google Workspace Business Plus : 12-25 €/utilisateur/mois (souvent déjà payé).
• Sauvegardes immuables : 50-100 €/mois.
• Gestionnaire de mots de passe : 0-30 €/mois.
• EDR/antivirus moderne : 0-100 €/mois (souvent inclus dans M365).
• Plateforme phishing : 200-500 €/an.

Total récurrent : environ 150-300 €/mois, soit 1 800-3 600 €/an.

Coûts ponctuels (première année) :

• Audit de cybersécurité (notre pré-audit à 299 € ou audit complet à 1 500 €).
• Formation dirigeant : 0 (en autoformation) à 500 €.
• Clés YubiKey pour comptes critiques : 100-200 €.

Total première année : environ 3 500-6 000 € pour avoir une posture défendable et conforme NIS2 niveau TPE.

Lien avec NIS2

Les dix actions ci-dessus couvrent 80-90% des exigences NIS2 pour une TPE concernée. Spécifiquement :

• Mesure 1 (politique de sécurité) : couverte par la charte informatique + une politique courte de 6-10 pages.
• Mesure 2 (gestion des risques) : couverte par un tableau d’analyse des risques de 10-15 lignes.
• Mesure 3 (gestion des incidents) : couverte par l’action 10.
• Mesure 4 (continuité) : couverte par l’action 2 + un PCA simple.
• Mesure 5 (chaîne d’appro) : couverte par un mini-questionnaire à vos fournisseurs critiques.
• Mesure 6 (sécurité des SI) : couverte par les actions 5 et 6.
• Mesure 7 (évaluation) : couverte par un mini-tableau de bord trimestriel.
• Mesure 8 (cyberhygiène et formation) : couverte par les actions 7 et 8.
• Mesure 9 (cryptographie) : couverte par HTTPS partout, chiffrement disque, sauvegardes chiffrées.
• Mesure 10 (RH et MFA) : couverte par l’action 1 + procédures arrivée/départ.

Pour démarrer concrètement la démarche NIS2, notre pré-audit à 299 € vous donne en 48h un état des lieux précis et un plan d’action priorisé sur ces dix actions, calibré pour votre contexte.

Conclusion

La cybersécurité d’une TPE en 2026 ne demande ni budget énorme, ni expert interne, ni outil sophistiqué. Elle demande dix actions concrètes, déployables en 3 à 4 mois, pour un budget total annuel de 1 800 à 3 600 €. C’est largement à la portée d’une structure de moins de 50 personnes, et l’investissement se rentabilise au premier incident évité.

La conformité NIS2 vient s’ajouter naturellement à cette base : une fois les dix actions en place, le passage à un dispositif NIS2 conforme demande surtout de la formalisation documentaire et un audit pour démontrer la démarche.

Pour aller plus loin : notre pré-audit à 299 €, le guide NIS2 PME 2026, et l’article sur le déploiement de la MFA en PME.