Retour aux actualités
    Contenu éducatif

    Checklist cybersécurité PME : les 42 points essentiels (inspirée ANSSI)

    L'ANSSI publie plusieurs guides de bonnes pratiques cybersécurité, mais leur lecture exhaustive prend du temps. Cette checklist opérationnelle synthétise les 42 mesures prioritaires applicables par toute PME, classées par thème, avec un niveau de priorité clairement indiqué. Imprimez-la, cochez ce qui est fait, planifiez le reste.

    Méthodologie : Cette checklist s'inspire du Guide ANSSI "La cybersécurité pour les TPE/PME en 13 questions", du référentiel CIS Controls v8 (niveau 1) et des obligations NIS2. Elle ne remplace pas un audit professionnel mais permet d'identifier rapidement vos lacunes les plus critiques.

    Gouvernance et organisation

    Désigner un responsable cybersécurité (RSSI interne ou externalisé)
    Rédiger et valider une politique de sécurité des systèmes d'information (PSSI)
    Tenir un inventaire à jour de tous les actifs numériques (postes, serveurs, applications, données)
    Former les dirigeants aux enjeux et responsabilités cyber (obligatoire NIS2)
    Réaliser un audit cybersécurité ou un test d'intrusion au moins une fois par an
    Documenter les procédures de gestion des incidents
    Souscrire une cyber-assurance adaptée à votre activité

    Gestion des accès et des identités

    Activer l'authentification multi-facteurs (MFA) sur tous les comptes administrateurs
    Déployer le MFA sur la messagerie professionnelle (Microsoft 365, Google Workspace)
    Activer le MFA sur le VPN et tous les accès distants
    Appliquer le principe du moindre privilège : chaque utilisateur n'a accès qu'au strict nécessaire
    Supprimer immédiatement les comptes des collaborateurs qui quittent l'entreprise
    Bannir les mots de passe partagés : utiliser un gestionnaire de mots de passe d'entreprise
    Revoir régulièrement (au moins une fois par an) les droits d'accès de tous les utilisateurs
    Désactiver les comptes de service et comptes génériques inutilisés

    Protection des postes et serveurs

    Déployer un EDR (Endpoint Detection and Response) sur tous les postes et serveurs
    Mettre en place une gestion des correctifs automatisée : délai max 72h pour les correctifs critiques
    Désactiver les fonctionnalités inutilisées (bureau à distance RDP si non nécessaire, macros Office, etc.)
    Chiffrer les disques durs des postes nomades (BitLocker, FileVault)
    Segmenter le réseau : séparer au minimum le réseau serveur, le réseau utilisateur et le Wi-Fi invité
    Activer les logs Windows Event sur tous les postes et serveurs
    Bloquer l'exécution automatique des clés USB non autorisées
    Vérifier la configuration des pare-feux et ne laisser ouverts que les ports nécessaires

    Messagerie et protection web

    Activer DMARC, DKIM et SPF sur votre domaine de messagerie
    Déployer un filtre anti-spam et anti-phishing avancé (Defender for Office 365, Proofpoint, Mimecast)
    Activer la protection contre l'usurpation d'identité (anti-spoofing) sur votre messagerie
    Filtrer le DNS et la navigation web pour bloquer les domaines malveillants
    Former les utilisateurs à reconnaître les emails de phishing (simulation annuelle)
    Activer le chiffrement des emails pour les communications sensibles

    Sauvegarde et continuité

    Appliquer la règle 3-2-1 : 3 copies, 2 supports différents, 1 hors-site
    Utiliser des sauvegardes immuables (WORM) ou air-gappées résistantes aux ransomwares
    Tester la restauration des sauvegardes au moins une fois par trimestre
    Documenter les RTO (temps de reprise) et RPO (perte de données maximale) pour chaque système critique
    Rédiger un Plan de Reprise d'Activité (PRA) et le tester au moins une fois par an
    Conserver les sauvegardes pendant au moins 3 mois (délai minimum recommandé)

    Cloud et applications SaaS

    Inventorier tous les services cloud et SaaS utilisés (y compris le Shadow IT)
    Vérifier les paramètres de partage des fichiers cloud (Google Drive, SharePoint) : rien de public par défaut
    Activer la journalisation des accès dans tous les services cloud critiques
    Vérifier les clauses RGPD des contrats SaaS : où sont hébergées vos données ?
    Désactiver les intégrations OAuth non nécessaires sur vos comptes Google et Microsoft
    Utiliser un CASB ou équivalent si vous avez plus de 50 utilisateurs cloud

    Comment utiliser cette checklist ?

    Pour chaque point, attribuez un statut :

    ✅ Fait

    La mesure est implémentée et opérationnelle. Planifiez une vérification périodique.

    ⚠️ Partiel

    La mesure est partiellement en place. Identifiez ce qui manque et planifiez la complétion.

    ❌ À faire

    La mesure n'est pas en place. Priorisez selon la criticité et planifiez dans les 3 à 6 mois.

    Si vous avez plus de 15 points "❌ À faire", votre exposition au risque est élevée. Commencez par les mesures de gouvernance et de gestion des accès — elles sont les plus impactantes à court terme.

    Faites auditer votre checklist par nos experts

    Nos experts évaluent concrètement chaque point de votre checklist dans votre environnement réel et vous proposent un plan de remédiation priorisé. Audit de maturité en 1 journée.

    Obtenir un audit de maturité

    Abonnez-vous à notre newsletter cybersécurité

    Recevez nos actualités, guides pratiques, alertes de sécurité et invitations aux événements directement dans votre boîte mail.

    Consultez notre politique de confidentialité pour plus d'informations.