Sécurité numérique : mots de passe, phishing et protection des données

Les obligations et bonnes pratiques en sécurité numérique pour les TPE. Comment se protéger efficacement sans expertise technique.

📅 28 December 2025
légal organisation Google

Un email de votre "banque" qui demande vos identifiants. Un fichier client volé par un hacker. Un ransomware qui bloque votre ordinateur...

Ces histoires arrivent tous les jours. Et pas qu'aux grandes entreprises.

Les TPE sont des cibles privilégiées : moins protégées, souvent sans service informatique. Un jackpot pour les cybercriminels.

Voyons comment vous protéger concrètement.

Pourquoi les TPE sont ciblées

Les hackers ne visent pas que les banques et les multinationales. Ils ratissent large.

Une TPE, c'est :
- Des mots de passe souvent faibles
- Pas de formation des employés
- Des données clients exploitables
- Une rançon potentielle (même petite, multipliée par des milliers de victimes...)

Vous n'êtes pas "trop petit pour intéresser les hackers". Vous êtes une cible facile.

Les 3 menaces principales

1. Le phishing (hameçonnage)

Email ou SMS qui imite une entreprise connue pour voler vos identifiants. 90% des cyberattaques commencent par là.

2. Le ransomware

Logiciel qui chiffre vos fichiers et demande une rançon pour les récupérer. Une PME sur 5 touchée finit par fermer.

3. La fuite de données

Accès non autorisé à vos fichiers clients. Conséquences : perte de confiance, sanctions RGPD, exploitation des données.

Ce qu'il ne faut plus faire

  • Utiliser "123456", "password" ou votre date de naissance
  • Utiliser le même mot de passe partout
  • Écrire ses mots de passe sur un post-it
  • Les partager par email

Ce qu'il faut faire

Règle 1 : Un mot de passe unique par service
Si un site se fait pirater, seul ce compte est compromis.

Règle 2 : Des mots de passe longs
12 caractères minimum. Mélangez majuscules, minuscules, chiffres, symboles.

Règle 3 : Un gestionnaire de mots de passe
Bitwarden (gratuit), 1Password, Dashlane... Ils génèrent et stockent vos mots de passe. Vous n'avez qu'un seul mot de passe maître à retenir.

Installation en 15 minutes

  1. Téléchargez Bitwarden (gratuit)
  2. Créez un compte avec un mot de passe maître fort
  3. Installez l'extension navigateur
  4. Laissez Bitwarden générer et sauvegarder vos mots de passe

C'est fait. Vous venez d'éliminer 80% du risque.

La double authentification (2FA)

Même avec un bon mot de passe, si quelqu'un le découvre, il accède à votre compte.

La double authentification ajoute une couche : après le mot de passe, un code envoyé sur votre téléphone.

Où l'activer en priorité :
- Email (c'est la porte d'entrée vers tout le reste)
- Banque
- Réseaux sociaux
- Outils métier (CRM, facturation...)

Comment : Dans les paramètres de sécurité de chaque service. Recherchez "authentification à deux facteurs" ou "2FA".

⚠️

Les signaux d'alerte

  • Urgence artificielle : "Votre compte sera bloqué dans 24h !"
  • Demande d'identifiants : Aucune entreprise sérieuse ne demande votre mot de passe par email
  • Fautes d'orthographe : Les vrais emails sont relus
  • Adresse email suspecte : service@banque-secure-connexion.xyz au lieu de @labanquepostale.fr
  • Lien bizarre : Survolez avant de cliquer, vérifiez l'URL

La règle d'or : En cas de doute, n'utilisez JAMAIS le lien de l'email. Allez directement sur le site via votre navigateur.

Les sauvegardes : votre assurance vie

Si un ransomware chiffre vos données, que faites-vous ?

Option 1 : Payer la rançon (sans garantie de récupération)
Option 2 : Restaurer votre sauvegarde

La règle 3-2-1 :
- 3 copies de vos données
- 2 supports différents (disque dur + cloud par exemple)
- 1 copie hors site (cloud ou disque stocké ailleurs)

Solution simple pour TPE

  1. Sauvegarde automatique cloud : Google Drive, Dropbox, OneDrive. Vos fichiers de travail se synchronisent automatiquement.

  2. Sauvegarde hebdomadaire complète : Un disque dur externe branché une fois par semaine.

  3. Test de restauration : Une fois par trimestre, vérifiez que vous pouvez récupérer un fichier.

Les obligations légales

Le RGPD vous oblige à :
- Protéger les données personnelles de vos clients
- Signaler toute fuite à la CNIL sous 72h
- Pouvoir prouver que vous avez pris des mesures de sécurité

En cas de négligence grave et de fuite, votre responsabilité est engagée.

La check-list de sécurité minimale

Immédiat (cette semaine) :
- [ ] Installer un gestionnaire de mots de passe
- [ ] Activer la 2FA sur votre email
- [ ] Vérifier que vos logiciels sont à jour

Court terme (ce mois) :
- [ ] Former les collaborateurs au phishing
- [ ] Mettre en place une sauvegarde automatique
- [ ] Activer la 2FA sur tous les services sensibles

Régulier :
- [ ] Mise à jour des logiciels dès disponible
- [ ] Test de restauration trimestriel
- [ ] Revue des accès (qui a accès à quoi ?)

Ce qu'il faut retenir

  • Les TPE sont des cibles privilégiées (faciles, nombreuses)
  • Mots de passe : uniques, longs, gérés par un outil (Bitwarden)
  • Double authentification : à activer partout, en priorité sur l'email
  • Phishing : ne jamais cliquer sur un lien suspect, aller directement sur le site
  • Sauvegardes : règle 3-2-1, tester la restauration
  • La sécurité est une obligation légale (RGPD)

Quel est l'état de votre sécurité aujourd'hui ? Si vous utilisez le même mot de passe partout, c'est votre priorité numéro un.