Réponse courte
Une PME belge peut sécuriser 90% de sa surface d'attaque avec moins de 500 € d'investissement initial et des outils souvent gratuits. Les 7 actions prioritaires : activer l'authentification multifacteur partout, mettre en place des sauvegardes automatiques testées, imposer un gestionnaire de mots de passe, automatiser les mises à jour, configurer un pare-feu de base, former l'équipe au phishing, et rédiger un plan d'incident d'une page. Aucune de ces mesures ne demande un expert en cybersécurité.
Le contexte belge en chiffres
Selon le Baromètre BDO 2024, 48% des entreprises belges ont déjà été victimes de cybercriminalité. Plus alarmant : selon une enquête DH/SPF Economie (mars 2026), plus de la moitié des indépendants et petites entreprises n'ont encore pris aucune mesure contre les cybermenaces. Le coût direct moyen d'une cyberattaque réussie en France est estimé à 25 600 euros hors rançon (source : Astérès/CRIP, 2023). Les ransomwares restent la menace numéro un, suivis du phishing ciblé (spearphishing).
La directive NIS2 en Belgique. La loi NIS2 belge du 26 avril 2024 est en vigueur depuis le 18 octobre 2024. Les entreprises de 50+ employés ou 10M+ de CA opérant dans un secteur critique devaient s'enregistrer auprès du CCB avant le 18 mars 2025. Au 18 avril 2026, les entités essentielles doivent pouvoir démontrer qu'elles implémentent effectivement des mesures de gestion des risques cybersécurité. Même si votre PME n'est pas directement concernée, vos clients ou donneurs d'ordre le sont peut-être - et ils exigeront des garanties de cybersécurité de leurs fournisseurs.
Le problème n'est pas que les PME sont visées spécifiquement. C'est qu'elles sont des cibles faciles : peu de protection, peu de formation, et souvent aucun plan de réponse. Les attaquants scannent en masse et exploitent ce qui n'est pas protégé.
La bonne nouvelle : les mesures les plus efficaces sont aussi les moins chères.
Action 1 : Activer le MFA partout
Coût : 0 € | Temps : 1-2 heures | Impact : critique
L'authentification multifacteur (MFA) bloque 99,9% des attaques par compromission de compte selon Microsoft. C'est la mesure la plus efficace qui existe, et elle est gratuite sur quasiment tous les services.
Où l'activer en priorité
- Email professionnel (Microsoft 365, Google Workspace) - c'est la porte d'entrée principale
- Outils bancaires (Isabel, Belfius Direct Net, KBC Business)
- Outils cloud (stockage, CRM, comptabilité en ligne)
- Accès serveur (SSH, VPN, panneaux d'administration)
Comment faire
Utilisez une application d'authentification (Microsoft Authenticator, Google Authenticator, ou Authy) plutôt que les SMS. Les SMS sont vulnérables au SIM swapping. La configuration prend 2 minutes par service.
Pour une PME de 10 personnes, comptez 1 à 2 heures pour tout activer et former l'équipe.
Action 2 : Sauvegardes automatiques et testées
Coût : 30 - 100 €/mois | Temps : 2-3 heures de setup | Impact : critique
Une sauvegarde qui n'a jamais été testée n'est pas une sauvegarde. La règle de base : 3-2-1. Trois copies de vos données, sur deux supports différents, dont une hors site.
Solutions concrètes
| Solution | Coût mensuel | Type |
|---|---|---|
| Backblaze B2 + script automatique | 5 - 20 €/mois | Cloud (données chiffrées) |
| Synology NAS + Hyper Backup | 0 €/mois (après achat NAS ~400 €) | Local + cloud |
| Veeam Backup (gratuit pour 10 postes) | 0 € | Local / cloud |
| Azure Backup ou AWS Backup | 20 - 80 €/mois selon volume | Cloud |
Point critique : testez la restauration au moins une fois par trimestre. Programmez un rappel dans votre calendrier. Une sauvegarde corrompue ou incomplète, vous ne le découvrirez que le jour où vous en aurez besoin.
Action 3 : Gestionnaire de mots de passe
Coût : 0 - 50 €/mois | Temps : 1-2 heures | Impact : élevé
Les mots de passe réutilisés ou faibles sont la deuxième cause d'intrusion après le phishing. Un gestionnaire de mots de passe élimine ce risque.
| Outil | Coût (équipe 10 pers.) | Points forts |
|---|---|---|
| Bitwarden (Teams) | 4 €/mois/utilisateur | Open source, hébergement EU possible |
| 1Password (Business) | 8 €/mois/utilisateur | UX excellente, intégrations |
| KeePassXC | Gratuit | Local, pas de cloud, contrôle total |
Bitwarden est le meilleur compromis pour une PME belge : prix bas, code open source, possibilité d'auto-hébergement en Europe pour la conformité RGPD. Imposez un mot de passe maître d'au moins 16 caractères et formez l'équipe en 30 minutes. Sur les exigences d'hébergement européen, notre article sur l'hebergement d'application en Europe conforme RGPD détaille les options concrètes.
Action 4 : Automatiser les mises à jour
Coût : 0 € | Temps : 30 minutes | Impact : élevé
L'exploitation de vulnérabilités représente désormais 20% des vecteurs initiaux d'intrusion, en hausse de 34% par rapport à l'année précédente (source : Verizon DBIR 2025). Pour les appareils réseau critiques (VPN, pare-feu), seulement 54% des vulnérabilités sont corrigées avec un délai médian de 32 jours. Les mises à jour automatiques réduisent drastiquement ce risque sans effort humain.
Ce qu'il faut activer
- Systèmes d'exploitation : Windows Update automatique, macOS mises à jour automatiques
- Navigateurs : Chrome, Firefox, Edge se mettent à jour automatiquement par défaut - ne désactivez pas cette fonction
- Logiciels critiques : antivirus, VPN, outils de bureau
- CMS et frameworks : WordPress, plugins, dépendances npm/pip - mettez en place Dependabot ou Renovate si vous avez un site custom
Pour les serveurs, utilisez les mises à jour automatiques de sécurité (unattended-upgrades sur Debian/Ubuntu, dnf-automatic sur RHEL).
Action 5 : Pare-feu et segmentation réseau
Coût : 0 - 200 € | Temps : 1-2 heures | Impact : moyen
La plupart des routeurs professionnels intègrent un pare-feu. Vérifiez qu'il est activé et correctement configuré. Si vous utilisez une box internet standard (Proximus, VOO), elle offre un niveau de protection minimal - suffisant pour un bureau de 5 personnes, insuffisant au-delà.
Le minimum vital
- Activez le pare-feu du routeur (souvent désactivé par défaut)
- Séparez le réseau Wi-Fi invité du réseau interne
- Bloquez les ports inutiles en entrée
- Si vous avez un serveur sur site : isolez-le sur un VLAN séparé
Pour une PME de 10 à 30 personnes, un pare-feu dédié type pfSense (gratuit, open source) sur un mini-PC à 150 - 200 € offre un niveau de protection professionnel. La configuration initiale prend 2 heures pour quelqu'un de technique.
Action 6 : Formation phishing
Coût : 0 - 100 € | Temps : 2 heures | Impact : élevé
Le phishing reste le vecteur d'attaque numéro un. En 2025, Safeonweb a reçu près de 10 millions de signalements, identifiant plus de 176 000 URLs malveillantes. La formation ne doit pas être un PowerPoint annuel que tout le monde oublie. Elle doit être courte, pratique et répétée.
Approche concrète
- Session initiale de 30 minutes : montrez des exemples réels de phishing (le CCB publie des alertes régulières sur safeonweb.be)
- Règle simple à retenir : en cas de doute, ne cliquez pas - transférez l'email à un référent interne
- Test trimestriel : envoyez un faux phishing à votre équipe avec un outil gratuit comme GoPhish (open source). Pas pour punir, mais pour mesurer et améliorer
- Signalez : transférez les emails suspects à suspect@safeonweb.be - le service du CCB analyse et bloque les URL malveillantes
Ressources gratuites du CCB
- safeonweb.be - alertes phishing en temps réel
- CERT.be - signalement d'incidents et guides techniques
- Cybersecurity Coalition - guides sectoriels pour PME
- Application Safeonweb - alertes push sur les menaces actives en Belgique
Action 7 : Plan d'incident d'une page
Coût : 0 € | Temps : 1 heure | Impact : critique en cas d'incident
Quand une attaque survient, la panique est le pire ennemi. Un plan d'incident simple - une seule page - permet à n'importe qui dans l'équipe de réagir correctement.
Contenu du plan
| Section | Contenu |
|---|---|
| Qui contacter | N° du responsable IT, prestataire, CERT.be (+32 2 501 05 60) |
| Première action | Déconnecter la machine du réseau (câble ET Wi-Fi) |
| Ne pas faire | Ne pas payer de rançon, ne pas éteindre le PC (préserver les preuves) |
| Communication | Qui informe les clients, qui informe la direction |
| Notification légale | Obligation RGPD : notification à l'APD dans les 72h si données personnelles compromises |
Imprimez ce plan. Affichez-le dans le bureau. Le jour où il servira, personne n'aura le temps de chercher un PDF dans un dossier partagé. Pour comprendre vos obligations légales en détail, notre guide sur RGPD et IA pour les PME belges couvre les exigences de notification et de conformité.
Récapitulatif : budget total
| Action | Coût unique | Coût récurrent |
|---|---|---|
| MFA | 0 € | 0 € |
| Sauvegardes (cloud) | 0 € | 30 - 100 €/mois |
| Gestionnaire de mots de passe | 0 € | 0 - 50 €/mois |
| Mises à jour automatiques | 0 € | 0 € |
| Pare-feu (pfSense + mini-PC) | 0 - 200 € | 0 € |
| Formation phishing | 0 - 100 € | 0 € |
| Plan d'incident | 0 € | 0 € |
| Total | 0 - 300 € | 30 - 150 €/mois |
Avec moins de 500 € la première année, vous couvrez les 7 actions essentielles. C'est 50 fois moins que le coût moyen d'une cyberattaque.
Besoin d'aide ?
Ces 7 actions sont à la portée de toute PME. Mais si vous voulez un regard extérieur pour valider votre configuration ou automatiser certaines mesures (sauvegardes, monitoring, alertes), je propose un audit gratuit de 30 minutes pour faire le point. Pour les PME qui veulent aller plus loin avec des applications metier securisees intégrant la sécurité dès la conception, c'est aussi quelque chose qu'on peut évaluer ensemble.
Prendre rendez-vous - on regarde ensemble ce qui est en place et ce qui manque. Zéro jargon, zéro engagement.
Sources
- Baromètre BDO 2024 - 48% des entreprises belges victimes de cybercriminalité
- SPF Economie - La cybersécurité au sein des PME belges
- Astérès/CRIP 2023 - Coût des cyberattaques réussies
- Loi NIS2 belge - CCB Safeonweb
- NIS2 : deadline 18 avril 2026 pour les entités essentielles - CCB
- Microsoft - MFA bloque 99,9% des attaques de compte
- Verizon DBIR 2025 - Data Breach Investigations Report
- Safeonweb - Près de 10 millions de signalements phishing en 2025
- CERT.be - Signalement d'incidents
- Safeonweb.be - Alertes phishing
- Cybersecurity Coalition Belgium
