Checklist cybersécurité dirigeant : 12 points à vérifier avant l'incident

La cybersécurité doit pouvoir se piloter sans jargon

Pour beaucoup de dirigeants de PME, la cybersécurité reste difficile à arbitrer. Les prestataires parlent de firewall, d'EDR, de MFA, de DNS ou de sauvegardes immuables. La direction pense surtout à la continuité d'activité, aux clients à livrer, aux virements à sécuriser, à l'assurance cyber et aux obligations RGPD en cas de fuite.

Le risque est de reporter les décisions jusqu'au jour de l'incident : messagerie compromise, faux RIB, ransomware, serveur inaccessible, données clients exposées. À ce moment-là, les questions deviennent très concrètes : combien de temps serons-nous arrêtés ? Les sauvegardes fonctionnent-elles ? Qui prévient les clients ? L'assureur prendra-t-il en charge ?

Cette checklist ne remplace pas un audit complet, mais elle aide un dirigeant, un DAF ou un responsable IT à identifier les faiblesses qui coûtent cher. L'objectif est simple : réduire les portes d'entrée, limiter l'impact et disposer de preuves en cas de crise.

1. Les comptes administrateurs sont-ils connus et protégés ?

Un compte administrateur peut créer des utilisateurs, modifier des droits, désactiver des protections ou changer des règles de sécurité. S'il est compromis, l'attaque peut changer d'échelle en quelques minutes.

Listez tous les administrateurs : Microsoft 365, Google Workspace, hébergement web, CRM, sauvegarde, VPN, outils métiers, postes, serveurs et prestataires. Chaque compte doit être nominatif autant que possible, protégé par MFA, utilisé uniquement quand c'est nécessaire et supprimé dès qu'il n'est plus justifié. Les comptes génériques comme "admin" ou "prestataire" doivent être examinés en priorité.

2. La double authentification couvre-t-elle les comptes critiques ?

Le MFA ne doit pas être réservé aux profils techniques. Les comptes de direction, finance, RH, commercial, support et administration manipulent des informations sensibles : factures, contrats, paie, coordonnées clients, demandes de virement ou dossiers confidentiels.

Vérifiez que le MFA est réellement imposé, et pas seulement disponible dans l'abonnement. Les exceptions doivent être rares, documentées et limitées dans le temps. Une seule boîte email stratégique sans MFA peut suffire à lancer une fraude au président ou une fuite de données.

3. Les sauvegardes ont-elles été restaurées récemment ?

Une sauvegarde qui existe mais qui ne se restaure pas ne protège pas l'activité. Face à un ransomware, la question n'est pas seulement "avons-nous une copie ?" mais "pouvons-nous redémarrer vite avec des données fiables ?".

Demandez la date du dernier test de restauration, le périmètre couvert, le temps nécessaire pour récupérer les fichiers essentiels et la protection contre la suppression par un attaquant. Les sauvegardes doivent inclure les données locales, les outils cloud critiques et les configurations importantes.

4. Les emails de l'entreprise sont-ils difficiles à usurper ?

Le phishing reste une porte d'entrée majeure. Un attaquant peut imiter un dirigeant, un fournisseur ou un partenaire pour demander un virement, envoyer une fausse facture ou pousser un salarié à saisir son mot de passe.

SPF, DKIM et DMARC réduisent l'usurpation du domaine email. Ils ne bloquent pas tous les messages frauduleux, mais ils compliquent les attaques qui utilisent l'identité de l'entreprise. Une PME doit savoir si ces enregistrements existent, s'ils sont correctement configurés et si le niveau DMARC est suffisamment protecteur.

5. Les accès visibles depuis Internet sont-ils maîtrisés ?

Les attaquants commencent souvent par ce qui est public : noms de domaine, sous-domaines, ports ouverts, anciennes applications, interfaces d'administration, VPN, outils de télémaintenance ou certificats expirés.

Un inventaire externe permet de répondre à une question simple : que voit-on de l'entreprise depuis Internet ? Un service exposé par erreur peut devenir une porte d'entrée, même si personne en interne ne s'en souvient. Cette surface d'exposition doit être revue après un changement de prestataire, une migration cloud ou l'ouverture d'un accès distant.

6. Les prestataires ont-ils encore les accès nécessaires ?

Les PME s'appuient sur des prestataires : informatique, web, paie, maintenance, infogérance, logiciel métier, marketing, hébergement. C'est normal, mais chaque accès externe augmente le risque si les droits ne sont pas suivis.

Vérifiez qui possède un compte, sur quel outil, avec quel niveau de privilège et pour quelle durée. Les comptes d'anciens prestataires, les accès partagés et les mots de passe transmis par email doivent être supprimés ou remplacés par des accès individuels, traçables et protégés.

7. Les mises à jour critiques sont-elles traitées vite ?

Toutes les mises à jour ne se valent pas. Certaines corrigent des failles activement exploitées sur des VPN, pare-feu, serveurs mail, CMS, plugins ou outils de télémaintenance. Quand ces éléments sont exposés à Internet, le délai de correction devient un sujet de continuité d'activité.

La direction doit demander un processus clair : qui reçoit les alertes, qui décide, quel délai pour les actifs critiques, comment vérifie-t-on que le correctif est appliqué, et que fait-on si une mise à jour risque de perturber la production ?

8. Les données sensibles sont-elles identifiées ?

On protège mieux ce que l'on connaît. Une PME doit savoir où se trouvent ses données sensibles : données clients, informations RH, contrats, secrets commerciaux, données financières, pièces d'identité, accès bancaires, exports CRM, sauvegardes et archives.

Cet inventaire sert aussi à préparer la réponse RGPD. En cas de fuite, il faudra comprendre rapidement quelles données sont concernées, combien de personnes peuvent être impactées et si une notification à la CNIL ou aux personnes est nécessaire.

9. Le scénario d'arrêt d'activité a-t-il été discuté ?

Un incident cyber n'est pas seulement informatique. Si la messagerie, l'ERP, la téléphonie, le site e-commerce ou les fichiers partagés deviennent indisponibles, qui décide ? Comment contacte-t-on les équipes ? Quels processus peuvent continuer en mode dégradé ?

Listez les contacts clés, les outils essentiels, les priorités de redémarrage, les numéros hors messagerie, les prestataires à appeler et les décisions qui nécessitent la direction. Un plan simple vaut mieux qu'un document théorique jamais testé.

10. L'assurance cyber correspond-elle à la réalité technique ?

Les contrats d'assurance cyber contiennent souvent des conditions : MFA, sauvegardes, antivirus ou EDR, mises à jour, procédures, déclaration rapide, exclusions. Le problème apparaît lorsque le questionnaire a été rempli trop vite ou que la situation a changé depuis la souscription.

Relisez les exigences avec l'équipe IT ou le prestataire. Si le contrat indique que le MFA est généralisé, il faut pouvoir le prouver. Si les sauvegardes doivent être testées, conservez les traces. En cas d'incident, l'écart entre la déclaration et la réalité peut compliquer l'indemnisation.

11. Les signaux faibles sont-ils surveillés ?

Une attaque ne se voit pas toujours immédiatement. Connexions depuis un pays inhabituel, transfert massif de fichiers, création d'un compte inconnu, règle de redirection email, désactivation d'une protection ou échecs répétés de connexion peuvent annoncer une compromission.

La PME n'a pas forcément besoin d'un centre de supervision complexe, mais elle doit savoir quels journaux existent, qui les regarde, pendant combien de temps ils sont conservés et comment une alerte est escaladée.

12. Un audit externe a-t-il vérifié ce qui est visible ?

La dernière question est volontairement simple : une personne extérieure a-t-elle vérifié ce que votre entreprise expose publiquement ? L'audit externe permet de détecter des risques que les équipes internes ne voient plus : domaine mal configuré, sous-domaine oublié, service ouvert, certificat expiré, politique email insuffisante ou fuite d'information technique.

Ce regard extérieur ne nécessite pas forcément d'accès interne pour produire de la valeur. Il donne une première photographie des priorités et permet de décider quoi corriger en premier.

Conclusion

La cybersécurité d'une PME ne se résume pas à acheter un outil. Elle consiste à réduire les scénarios qui peuvent arrêter l'activité, provoquer une fraude, exposer des données ou fragiliser la confiance des clients. En posant ces 12 questions, un dirigeant obtient une vision claire des comptes critiques, des données sensibles, des accès visibles et des preuves disponibles.

EuroPrompt propose un audit cybersécurité externe gratuit pour aider les PME et ETI à identifier leurs risques visibles depuis Internet, leurs configurations à corriger et leurs priorités de sécurisation. Si vous voulez transformer cette checklist en plan d'action concret, demandez votre audit gratuit EuroPrompt.