Checklist · 9 min

Checklist cybersécurité PME : les 10 domaines à couvrir en Suisse

Une checklist cybersécurité concrète pour PME suisses, couvrant les 10 domaines essentiels : identité, e-mail, sauvegardes, phishing, IA, données, postes, fournisseurs, incident et documentation.

Réponse courte

En bref

Une checklist cybersécurité concrète pour PME suisses, couvrant les 10 domaines essentiels : identité, e-mail, sauvegardes, phishing, IA, données, postes, fournisseurs, incident et documentation.

La cybersécurité d’une PME ne se résume pas à un antivirus et un mot de passe solide. Elle se joue sur une dizaine de domaines complémentaires, où une seule faiblesse peut suffire à ouvrir la porte. La bonne nouvelle : pour l’essentiel, il s’agit de mesures accessibles, sans investissement démesuré.

Cette checklist couvre les dix domaines qui structurent la sécurité d’une PME suisse de 5 à 100 personnes. Elle est pensée pour être parcourue par la direction, pas seulement par un technicien, et pour transformer un sujet intimidant en une liste d’actions concrètes.

Parcourez chaque domaine, cochez ce qui est déjà en place, et repérez les manques. Cette lecture donne déjà une image honnête de votre niveau de sécurité et des priorités à traiter.

1. Identité et accès

Tout commence par le contrôle de qui accède à quoi. La double authentification généralisée est la mesure la plus rentable de toute la cybersécurité : elle rend un mot de passe volé quasi inutile.

  • MFA activé sur tous les comptes, en particulier ceux à privilèges.
  • Comptes administrateurs peu nombreux, dédiés et surveillés.
  • Accès retirés immédiatement au départ d’un collaborateur.
  • Principe du moindre privilège : chacun n’a que les accès nécessaires.

2. Messagerie et 3. Sauvegardes

La messagerie est le premier point de contact avec les attaquants ; la sauvegarde est votre dernier filet de sécurité. Ces deux domaines méritent une attention particulière.

Une messagerie bien configurée bloque une grande part des menaces en amont ; une sauvegarde testée garantit que vous pouvez repartir après un incident.

  • Messagerie : authentification du domaine (SPF, DKIM, DMARC) et protections anti-phishing actives.
  • Messagerie : contrôle des règles de transfert et des partages externes.
  • Sauvegardes : règle 3-2-1 avec une copie immuable ou hors ligne.
  • Sauvegardes : tests de restauration réguliers, Microsoft 365 inclus.

4. Phishing et 5. Usages de l’IA

Deux risques très différents, mais qui reposent tous deux sur le facteur humain. Le phishing exploite la confiance ; l’IA mal encadrée expose vos données sensibles sans que personne n’ait de mauvaise intention.

Dans les deux cas, la combinaison de règles claires et de formation fait la différence.

  • Phishing : procédure de vérification à double canal pour paiements et changements d’IBAN.
  • Phishing : formation et simulations régulières, sans logique de sanction.
  • IA : politique d’usage définissant outils autorisés et données interdites.
  • IA : validation humaine des productions et référent identifié.

6. Données et 7. Postes de travail

Vous ne protégez bien que ce que vous connaissez. Savoir où sont vos données sensibles et sécuriser les appareils qui y accèdent sont deux fondations indispensables.

Le chiffrement des postes et des mises à jour régulières coupent une grande partie des risques courants, à faible coût.

  • Données : localisation des données sensibles connue et partages externes maîtrisés.
  • Données : traitements documentés au regard de la LPD (à titre informatif, sans valeur de conseil juridique).
  • Postes : chiffrement des disques et verrouillage automatique.
  • Postes : mises à jour et antivirus à jour sur tous les appareils.

8. Fournisseurs, 9. Incident et 10. Documentation

Votre sécurité dépend aussi de vos prestataires, de votre capacité à réagir vite, et de votre aptitude à retrouver la bonne information au bon moment. Ces trois domaines, souvent négligés, font la différence en situation de crise.

Une organisation qui sait qui prévenir, où trouver ses procédures et comment ses fournisseurs traitent ses données traverse un incident bien mieux qu’une autre.

  • Fournisseurs : niveau de sécurité et de confidentialité des prestataires clés évalué.
  • Incident : procédure de réponse (phishing, ransomware) écrite et accessible hors ligne.
  • Incident : contacts clés connus (direction, informatique, banque, autorités).
  • Documentation : inventaire des comptes, outils, accès et sauvegardes tenu à jour.

Utiliser cette checklist comme point de départ

Cette liste vous donne une première photographie, honnête et rapide, de votre niveau de sécurité. Chaque case non cochée est une piste de progrès, à prioriser selon son impact.

Pour aller plus loin et objectiver votre situation avec des preuves plutôt que du déclaratif, un diagnostic ou un audit permet de vérifier chaque domaine et de bâtir un plan d’action réaliste, adapté à votre taille et à votre budget.