Les 10 erreurs cyber les plus courantes en PME (et comment les éviter)

Les attaques visent d’abord les entreprises mal configurées, pas forcément les plus « intéressantes ». Voici le top 10 des erreurs que nous corrigeons le plus souvent, avec des solutions simples.

1. Pas d’authentification multifacteur → Activez la MFA partout (messagerie, VPN, M365, SI internes).
2. Mots de passe réutilisés → Gestionnaire + politique de longueur + rotation raisonnée.
3. Mises à jour en retard → Patch management centralisé (serveurs, postes, routeurs, NAS).
4. Expositions internet inutiles → Cartographiez et fermez (RDP, SSH, vieux ports).
5. Aucun filtrage mail → Filtrage avancé + DMARC/SPF/DKIM.
6. VPN mal segmenté → Accès au strict nécessaire (principe du moindre privilège).
7. Backups non testés → Tests de restauration trimestriels + sauvegarde hors ligne.
8. Pas de journalisation → Centralisez les logs (firewall, AD, 365) et donnez-leur une durée.
9. Formations absentes → Sensibilisation continue + simulations de phishing.
10. Pas de plan d’incident → Fiche réflexe, numéros clés, rôles, scénario ransomware.