Checklist cybersécurité PME : 20 contrôles à faire

En 2026, la question n’est plus « serai-je attaqué ? » mais « suis-je prêt quand cela arrivera ? ». Pour un dirigeant de PME, évaluer sa posture cyber ne devrait pas demander d’audit à 10 000 € : il existe une vingtaine de contrôles simples qui, ensemble, couvrent l’essentiel du risque.

Cette checklist est pensée pour être parcourue en moins de 30 minutes avec votre DSI ou votre prestataire IT. Elle regroupe 20 contrôles essentiels, organisés en 7 domaines, et se termine par une grille d’auto-évaluation de votre niveau de maturité. Un outil concret pour arbitrer, prioriser, et passer à l’action. Pour évaluer si cet effort plaide pour une externalisation IT, complétez avec notre analyse des 7 signaux d’un besoin d’infogérance.

Domaine 1 : Accès et identités (3 contrôles)

La majorité des intrusions passent par un compte utilisateur compromis. Ce domaine est la première ligne de défense — et le meilleur rapport effet/coût.

• #1 — MFA activé sur tous les comptes sensibles. Messagerie professionnelle, VPN, outils d’administration, accès bancaires, applications finance / RH / ERP. Aucune exception pour les dirigeants.
• #2 — Gestionnaire de mots de passe déployé à l’échelle de l’entreprise. Pour interdire la réutilisation, générer des mots de passe forts et partager des accès en équipe sans les écrire dans un tableur.
• #3 — Procédure d’offboarding écrite et appliquée. À chaque départ (démission, fin de mission, licenciement), tous les accès sont révoqués sous 24 h avec une checklist qui tracerait les omissions.

Domaine 2 : Protection des postes de travail (3 contrôles)

Le poste de l’utilisateur est le point d’entrée n°1 des ransomwares et des intrusions. Trois contrôles pour durcir ce périmètre.

• #4 — EDR déployé sur 100 % des postes et serveurs. Pas juste un antivirus classique : une solution de détection comportementale, avec console centralisée et capacité d’isolation automatique en cas d’alerte.
• #5 — Patch management automatisé. Mises à jour OS (Windows, macOS) et applications (navigateurs, suites bureautiques, lecteurs PDF) déployées sous 7 à 15 jours après publication, sans intervention utilisateur.
• #6 — Chiffrement des disques sur tous les postes portables. BitLocker pour Windows, FileVault pour macOS. Un portable volé dans un train ne doit jamais être une fuite de données.

Domaine 3 : Réseau et périmètre (3 contrôles)

Le « périmètre réseau » n’existe plus vraiment à l’heure du cloud et du télétravail, mais il reste des bonnes pratiques indispensables.

• #7 — Pare-feu nouvelle génération (NGFW) en place et supervisé. Avec inspection applicative, filtrage web, IDS/IPS. Le routeur du fournisseur d’accès ne suffit pas en environnement professionnel.
• #8 — VPN professionnel avec MFA pour tous les accès distants. Aucun accès au SI interne depuis l’extérieur sans chiffrement et double authentification. Les exceptions doivent être documentées et limitées dans le temps.
• #9 — Wi-Fi invité isolé du réseau de production. Visiteurs, prestataires ponctuels, IoT (caméras, imprimantes connectées, TV de salle de réunion) doivent être sur un VLAN séparé qui ne peut pas atteindre vos serveurs.

Domaine 4 : Sauvegardes et continuité d’activité (3 contrôles)

C’est le filet de sécurité qui garantit que l’attaque n’emporte pas votre entreprise. À soigner en priorité absolue.

• #10 — Sauvegardes automatisées selon la règle 3-2-1 (minimum). 3 copies, 2 supports différents, 1 externalisée. En 2026, ajoutez une copie immuable (non modifiable pendant 30 jours) pour résister aux ransomwares qui ciblent les sauvegardes.
• #11 — Test de restauration réalisé au moins 2 fois par an. Une sauvegarde jamais testée n’est qu’une intention. Programmez un exercice de restauration semestriel, documenté et chronométré.
• #12 — Plan de continuité (PCA) et de reprise (PRA) documenté. Avec des objectifs chiffrés (RTO, RPO) par service métier. Le plan tient en quelques pages mais il existe — et il est exercé au moins une fois par an.

Grille d’auto-évaluation de maturité

Avant de lire la suite, positionnez-vous honnêtement sur la grille ci-dessous : elle vous aidera à prioriser les contrôles manquants en fin de checklist.

Positionnez votre entreprise sur chaque ligne. L’objectif n’est pas d’atteindre « Expert » partout, mais d’éliminer les zones « Débutant » sur les risques les plus exposés.

Domaine 5 : Supervision et gestion d’incident (2 contrôles)

Voir ce qui se passe, réagir vite : deux contrôles souvent oubliés en PME et pourtant décisifs pour contenir une attaque.

• #13 — Journalisation centralisée des événements de sécurité. Logs de pare-feu, de serveurs, d’EDR, de messagerie agrégés en un point unique — manuellement consultable ou via un SIEM/SOC managé.
• #14 — Procédure de gestion d’incident écrite. Qui alerter, dans quel ordre, avec quels numéros, dans quels délais. Testée au moins une fois par an en exercice à blanc.

Domaine 6 : Humain et culture (3 contrôles)

80 % des attaques réussies exploitent une action humaine. La sensibilisation n’est pas un « plus » — c’est un contrôle de sécurité à part entière.

• #15 — Sensibilisation annuelle de tous les collaborateurs. Phishing, ingénierie sociale, gestion des mots de passe, usage des appareils personnels. Formation courte (30 à 60 min), tracée, répétée chaque année — y compris pour la direction.
• #16 — Campagne de phishing simulé au moins 2 fois par an. Pour mesurer objectivement le taux de clic et de signalement. L’objectif n’est pas de piéger les utilisateurs, mais de former sur les cas concrets rencontrés.
• #17 — Procédure de double contrôle pour tout paiement sensible. Tout virement hors liste blanche passe par une validation à deux (appel téléphonique obligatoire au bénéficiaire, pas par e-mail). Parade la plus efficace contre la « fraude au président ».

Domaine 7 : Conformité et gouvernance (3 contrôles)

Au-delà de la sécurité pure, les obligations réglementaires structurent votre démarche et protègent juridiquement l’entreprise.

• #18 — Registre RGPD des traitements à jour. Avec mentions d’information déployées, processus de réponse aux demandes d’exercice des droits (accès, rectification, effacement) et procédure de notification d’incident à la CNIL sous 72 h.
• #19 — Auto-évaluation d’éligibilité NIS 2 réalisée. La directive touche environ 15 000 entités en France : vérifiez si vous êtes concerné et, le cas échéant, alignez-vous sur les exigences de gouvernance — notre équipe cybersécurité peut vous accompagner sur cet audit, de gestion des risques et de notification.
• #20 — Audit externe ou pentest dans les 24 derniers mois. Un œil extérieur qui teste réellement votre posture. Recommandé annuellement, et impératif après tout changement structurel (migration cloud, nouvelle application critique, ouverture de site).

Comment utiliser cette checklist : la méthode en 4 étapes

La checklist n’est utile que si elle débouche sur un plan d’action concret. Voici comment la transformer en feuille de route opérationnelle :

1. Parcourez les 20 contrôles avec votre DSI ou prestataire IT. Comptez 30 à 45 minutes en binôme. Répondez honnêtement par Oui, Partiel ou Non — l’auto-complaisance est votre pire ennemie.
2. Positionnez-vous sur la grille de maturité. Sur chaque domaine (accès, postes, sauvegardes, humain), identifiez votre niveau actuel et l’étape suivante accessible à court terme.
3. Priorisez par impact × effort. Attaquez d’abord les Non à fort impact et faible coût de mise en œuvre : MFA, sauvegarde immuable, sensibilisation. Les chantiers structurels (PRA, NIS 2, XDR) viennent ensuite.
4. Construisez un plan d’action trimestriel. 3 à 5 contrôles à valider par trimestre, avec un propriétaire désigné et une date cible. Refaites un point complet tous les 6 mois, ou après tout événement majeur (attaque, nouvelle application, acquisition).

Si vous souhaitez un regard extérieur pour cadrer ce plan, l’équipe Matrys Tech propose un diagnostic gratuit basé précisément sur cette checklist. Et pour chiffrer l’investissement correspondant, consultez notre article dédié aux prix de l’infogérance en PME.

Questions fréquentes