check-list

Les 5 réflexes qui sauvent : le check-list cybersécurité à appliquer aujourd'hui

Johann

2 min read
Les 5 réflexes qui sauvent : le check-list cybersécurité à appliquer aujourd'hui

Vous n'avez pas de RSSI, pas de budget cybersécurité à cinq chiffres, mais vous avez la volonté de protéger votre entreprise. Voici les 5 actions prioritaires qui protègent contre la majorité des attaques courantes.

1. Activer la MFA — partout

Si vous ne deviez faire qu'une seule chose, ce serait celle-ci. L'authentification multifacteur (MFA) bloque 99,9 % des attaques par compromission de comptes (Microsoft).

Par où commencer :

  • Votre messagerie professionnelle (Google Workspace, Microsoft 365)
  • Votre hébergeur / registraire de nom de domaine
  • Votre comptabilité (compte bancaire en ligne, logiciel d'accounting)
  • Tout accès administrateur (serveur, CMS, plateforme cloud)

Outil recommandé : Utilisez une app Authenticator (Google, Microsoft, Authy) plutôt que les SMS — les SMS peuvent être interceptés (SIM swapping).

2. Mots de passe uniques + gestionnaire

Réutiliser le même mot de passe, c'est laisser la clé de tous vos locaux sous le même paillasson. Un seul site piraté, et l'attaquant teste vos identifiants partout.

Action :

  • Installer un gestionnaire de mots de passe (Bitwarden est gratuit et open source)
  • Générer un mot de passe unique et long (20+ caractères) pour chaque service
  • Ne mémorisez que le mot de passe maître

3. Mettre à jour — automatiquement

60 % des breaches exploitent des vulnérabilités pour lesquelles un correctif existait déjà. Les mises à jour, ce n'est pas un gadget — c'est le correctif des failles que les attaquants connaissent déjà.

Action :

  • Activer les mises à jour automatiques sur tous les postes
  • Programmer les mises à jour serveur le week-end
  • S'abonner aux alertes de sécurité des logiciels critiques

4. Sauvegarder selon la règle 3-2-1

Un ransomware chiffre vos données et vous demande une rançon. Si vous avez une sauvegarde propre, vous n'avez pas besoin de payer.

La règle 3-2-1 :

  • 3 copies de vos données
  • 2 supports différents (disque + cloud)
  • 1 copie hors site (et idéalement hors ligne)

Action : Vérifiez chaque trimestre que vos sauvegardes sont restaurables. Une sauvegarde qui ne se restaure pas, ce n'est pas une sauvegarde.

5. Sensibiliser ses équipes

95 % des incidents de cybersécurité impliquent une erreur humaine. La meilleure technologie du monde ne remplacera pas un collaborateur qui sait identifier un e-mail frauduleux.

Action :

  • Organiser un atelier d'une heure par trimestre
  • Utiliser des simulateurs de phishing gratuits (ex : GoPhish)
  • Afficher les réflexes clés dans l'espace de travail
  • Créer une procédure simple : « Quand un e-mail vous semble bizarre, ne cliquez pas, demandez »

Votre check-list à cocher

  • ☐ MFA activée sur tous les comptes critiques
  • ☐ Gestionnaire de mots de passe déployé
  • ☐ Mises à jour automatiques activées
  • ☐ Sauvegardes 3-2-1 en place et testées
  • ☐ Première session de sensibilisation programmée

Cinq actions. Cinq cases à cocher. Zéro jargon.

Read more