Microsoft Defender for Endpoint suffit-il pour une PME ?

Pour une TPE-PME déjà sur Microsoft 365 Business Premium, Defender for Endpoint P1 (inclus) couvre 80 % des besoins : antimalware next-gen, EDR de base, attaque surface réduite, contrôle applicatif. Pour aller plus loin (threat hunting, sandboxing automatique, rollback ransomware natif), la P2 ou un produit dédié type CrowdStrike Falcon Go / SentinelOne sont préférables. Le critère décisif : avez-vous une équipe sécurité interne ? Sinon, partez sur une offre MDR (Managed Detection Response) plutôt qu'un EDR seul.

MFA partout est-ce vraiment réaliste en PME ?

Oui, en 2026 c'est même un pré-requis assuranciel. Microsoft Entra ID et Google Workspace permettent d'activer la MFA en quelques clics sur tous les comptes. Pour les SaaS tiers (Salesforce, HubSpot, Slack), l'activation est dans les paramètres de sécurité de chaque outil. Pour le VPN et le RDP, utilisez Duo, Microsoft Authenticator ou une clé FIDO2. Le surcoût est marginal (parfois zéro avec les licences déjà en place), la friction utilisateur est faible après formation, et le ROI est massif : 99 % des attaques par credential stuffing sont stoppées par MFA (Microsoft Digital Defense Report 2024).

L'assurance cyber vaut-elle son coût ?

Oui pour les PME qui traitent des données clients, manipulent de la propriété intellectuelle ou dépendent de leur SI pour produire. Une prime de 2 000 à 5 000 € par an couvre frais d'investigation, restauration, perte d'exploitation et responsabilité civile en cas d'incident — face à un coût moyen d'incident de 250 000 €. Attention : les assureurs exigent désormais MFA, EDR, sauvegardes hors ligne et formation. Sans ces pré-requis, vous serez refusé ou exclu en cas de sinistre.

Le plan de continuité (PCA/PRA) est-il obligatoire ?

Légalement, oui pour les Opérateurs de Services Essentiels (OSE) sous NIS2 transposée en France en avril 2025. Pour les autres PME, il n'est pas obligatoire mais devient un pré-requis assuranciel et contractuel (les grands donneurs d'ordre l'exigent dans les appels d'offres). Un PCA minimaliste documenté (RTO, RPO, procédure de restauration testée mensuellement, contacts d'urgence) suffit pour une PME standard.

La formation phishing des employés est-elle vraiment efficace ?

Oui, mesurable. Les campagnes simulées trimestrielles (KnowBe4, Mantra, Cymulate) font passer le taux de clics sur phishing de 30 % à moins de 5 % en douze mois en moyenne. Le secret : régularité, scénarios crédibles et adaptés au métier, et débriefing pédagogique (jamais punitif) après chaque campagne. Combinez avec le MOOC SecNumacadémie de l'ANSSI (gratuit, certifiant) pour la sensibilisation de fond.

Que faire dans les premières 24 heures après une attaque ?

Heure H : isolation réseau (couper Internet et SMB internes), activation cellule de crise, contact DFIR. H+2 : sauvegarde des logs et copie forensique, identification de la souche. H+4 : notification ANSSI si OIV/OSE et déclenchement assurance cyber. H+12 : début de la restauration depuis sauvegarde immuable sur un environnement isolé. H+72 : notification CNIL si fuite probable de données personnelles. Toutes ces actions doivent être pré-rédigées dans le runbook incident, pas improvisées.

Protection ransomware entreprise 2026 : stack complète et conformité

Le ransomware n'est plus une menace abstraite réservée aux grands groupes. En 2025, les TPE-PME françaises ont représenté 60 % des victimes de rançongiciels traités par cybermalveillance.gouv.fr, avec un coût moyen d'incident estimé à 250 000 € par Coveware sur le marché européen. Et 60 % des PME victimes d'une attaque majeure ne s'en relèvent pas dans les 18 mois (Hiscox Cyber Readiness Report 2024).

Ce guide s'adresse aux RSSI, DSI, dirigeants et responsables informatiques de TPE-PME françaises. Il décrit la stack défensive minimale considérée comme un standard de l'état de l'art en 2026, articule les exigences réglementaires (RGPD, NIS2, LPM 2024-2030), et propose une feuille de route pragmatique pour bâtir une défense en profondeur sans budget de grand compte.

Pourquoi les PME sont devenues la cible principale

Les groupes ransomware (LockBit, BlackCat/ALPHV, Play, 8Base, Akira) ont opéré un glissement stratégique depuis 2022. Les grands comptes, mieux équipés, paient moins et négocient plus. Les PME, sous-équipées en moyens humains de cybersécurité, paient plus vite et sans publicité. Le modèle d'affaires des opérateurs RaaS (Ransomware-as-a-Service) repose désormais sur le volume : centaines d'attaques opportunistes ciblant des PME mal protégées, plutôt que campagnes coûteuses contre des grands groupes.

Les vecteurs d'entrée dominants en 2025-2026 :

Comptes RDP exposés Internet sans MFA : encore 23 % des intrusions selon le rapport ANSSI Panorama de la menace 2024.
Phishing avec pièce jointe Office macro ou lien vers un faux portail Office 365 récoltant les credentials.
Exploitation de CVE non patchées sur VPN SSL (Fortinet, SonicWall, Citrix), serveurs Exchange, applicatifs métier ouverts sur Internet.
Compromission de la supply chain (MSP infecté, mise à jour empoisonnée).
Credentials volés revendus sur des marchés (Initial Access Brokers).

La défense en profondeur ne consiste pas à empêcher 100 % des intrusions — c'est statistiquement impossible. Elle consiste à multiplier les couches pour rendre l'attaque économiquement non rentable, et à garantir une récupération rapide quand elle réussit malgré tout.

La règle 3-2-1-1-0 : sauvegarde anti-ransomware

La règle classique 3-2-1 (trois copies, deux supports, une copie hors site) a montré ses limites face aux ransomwares modernes qui ciblent activement les sauvegardes connectées. Les sauvegardes Veeam, Synology et Datto ont été chiffrées dans plus de 70 % des incidents PME traités par les CSIRT régionaux en 2024. L'évolution standard est désormais la règle 3-2-1-1-0 :

Élément	Signification	Implémentation PME type
3 copies	Donnée originale + 2 sauvegardes	Production + sauvegarde primaire + sauvegarde secondaire
2 supports	Médias différents	Disque (NAS) + bande LTO ou cloud
1 offsite	Une copie hors du site	Cloud chiffré (AWS S3, Azure Blob, Wasabi) ou datacenter distant
1 offline / immuable	Une copie air-gappée ou WORM	LTO en coffre, ou Object Lock (S3, Azure, Backblaze B2)
0 erreur	Tests de restauration sans échec	Restauration mensuelle documentée, alertes sur erreur de vérification

Trois choix techniques pour la copie immuable :

Bande LTO en rotation hebdomadaire placée dans un coffre ignifuge hors site. Solution éprouvée, peu coûteuse à long terme (LTO-9 = 18 To natif, ~150 €/cartouche), mais lente en restauration.
Cloud avec verrou d'objet (S3 Object Lock en mode compliance, Azure Blob immutability policy, Wasabi Object Lock, Backblaze B2). Le verrou empêche toute suppression — y compris par un attaquant qui aurait volé les clés du compte cloud — pendant la durée définie (typiquement 30 à 90 jours).
NAS avec snapshots WORM : Synology Hyper Backup avec rétention immuable, QNAP HBS 3 avec SnapSync verrouillé. Pratique mais reste sur site, donc vulnérable en cas de sinistre physique.

Pour la sauvegarde primaire des postes et serveurs Windows, EaseUS Todo Backup Business gère nativement le chiffrement AES-256, la rotation de jeux, la vérification CRC après chaque cycle, et la copie multi-destinations (NAS + cloud + USB rotatif).

★ Éditeur fondé en 2004 · ✓ Garantie 30 jours · Version gratuite jusqu'à 2 Go

EaseUS Todo Backup Business pour PME→

Pour la documentation détaillée de la stratégie 3-2-1, voir notre guide Backup automatique Windows / Mac 2026.

EDR : le pilier de la détection moderne

L'antivirus classique basé signatures est mort face aux ransomwares. Les opérateurs RaaS recompilent leurs charges utiles plusieurs fois par jour, contournant systématiquement les signatures. La couche défensive de référence en 2026 est l'EDR (Endpoint Detection and Response) : agent léger qui surveille les comportements, télémétrie remontée vers une console cloud, capacités de rollback, hunting proactif.

Comparatif des solutions EDR pour TPE-PME

Solution	Cible	Prix indicatif	Rollback ransomware	Threat hunting	MDR option	Déploiement
CrowdStrike Falcon Go	TPE 5 à 50 postes	~8 €/poste/mois	Oui (limité)	Non en Go, oui en Pro	Falcon Complete	Très rapide, agent unique
SentinelOne Singularity Core	PME 10 à 500 postes	8-12 €/poste/mois	Oui (rollback natif)	Oui en Control	Vigilance Respond	Rapide, console intuitive
Microsoft Defender for Endpoint P1	Inclus M365 Business Premium	Inclus	Partiel	Limité	MDE Plan 2 ou tiers	Natif Intune / Entra ID
Microsoft Defender for Endpoint P2	PME exigeantes	~5 €/poste/mois additionnel	Oui	Advanced Hunting KQL	MDR partenaire	Natif Intune
Sophos Intercept X Advanced	TPE-PME francophone	7-10 €/poste/mois	Oui (CryptoGuard)	Oui en XDR	Sophos MTR	Cloud Sophos Central
Bitdefender GravityZone Business Security	TPE budget serré	4-6 €/poste/mois	Oui (Ransomware Mitigation)	Limité en Business	Premium / MDR	Cloud, simple

Critères de choix pratiques :

Équipe sécurité interne nulle ou réduite : privilégier une offre MDR (Managed Detection Response). Le SOC du fournisseur surveille 24/7, détecte et neutralise. Coût plus élevé (15-30 €/poste/mois selon prestataire), mais valeur incomparable pour une PME sans RSSI temps plein.
Déjà sur Microsoft 365 Business Premium : Defender for Endpoint P1 est inclus, autant l'activer correctement (politiques Intune, ASR rules, contrôle d'accès conditionnel) avant d'envisager un produit tiers.
Environnement hétérogène (Windows + Mac + Linux + serveurs) : SentinelOne et CrowdStrike couvrent l'ensemble avec un agent unifié. Defender couvre mal Linux et les serveurs non-AD.
Contrainte de souveraineté : Sophos (Royaume-Uni) et Bitdefender (Roumanie, UE) sont des choix défendables sur un plan de souveraineté hors écosystème US.

L'EDR ne remplace pas la sauvegarde immuable. Il diminue la probabilité d'une attaque réussie, accélère la détection, et permet le rollback ; il ne garantit jamais l'inviolabilité absolue.

MFA partout : le frein le plus rentable

La Multi-Factor Authentication est statistiquement la mesure la plus rentable de cybersécurité PME. Microsoft mesure que 99,2 % des attaques par credential stuffing sont bloquées par MFA, indépendamment de la qualité du mot de passe.

Couverture cible

Comptes Microsoft 365 / Google Workspace : MFA obligatoire pour 100 % des utilisateurs, sans exception. Conditional Access (Entra ID) ou 2-Step Verification enforce (Google).
VPN d'accès distant : MFA via Duo, Microsoft Authenticator, Cisco DUO, ou solution intégrée au pare-feu (Fortinet FortiToken, SonicWall TOTP).
RDP : ne jamais l'exposer Internet. Si accès distant obligatoire, le passer derrière un VPN avec MFA, ou utiliser une solution PAM type Cyberark, Senhasegura, BeyondTrust.
SaaS métier : Salesforce, HubSpot, Slack, Notion, GitHub, GitLab, Atlassian. Activer la MFA dans les paramètres de chaque outil. Pour les organisations matures, fédérer via SSO (Okta, Entra ID, Google) pour centraliser le contrôle.
Messagerie professionnelle webmail : MFA toujours active, jamais de tolérance.
Comptes admin et privilèges : exiger une clé FIDO2 physique (YubiKey 5 Series, Token2, Feitian). Le SMS est interdit (vulnérable au SIM swap), le TOTP en app est acceptable pour les non-admins, FIDO2 pour les admins.

Suppression définitive du SMS

Le SMS comme second facteur est obsolète depuis 2017 (NIST SP 800-63B). Vulnérable au SIM swap, à l'interception SS7, au phishing par proxy (Evilginx). En 2026, sa présence dans une stack PME est une non-conformité standard sécurité.

Le chemin de migration : déployer Microsoft Authenticator ou Google Authenticator sur tous les téléphones professionnels, importer les comptes, désactiver le SMS dans l'ordre messagerie pro, SaaS critiques, comptes utilisateurs courants, comptes admin (en dernier après tests).

Segmentation réseau : isoler pour limiter la propagation

Une fois entré, un ransomware se propage latéralement via SMB, RDP, WMI, PsExec, parfois en quelques minutes. La segmentation limite la surface contaminable.

Modèle minimaliste TPE-PME

VLAN postes utilisateurs : isolés des serveurs sauf flux nécessaires (RPC, SMB vers partages métier).
VLAN serveurs : isolé du VLAN postes, communications restreintes par règles de firewall internes.
VLAN IoT et imprimantes : strictement isolé. Ces équipements sont rarement patchés et constituent un point d'entrée fréquent.
VLAN invités : Wi-Fi visiteurs avec accès Internet uniquement, jamais vers les ressources internes.
VLAN admin / management : interfaces de management des switches, firewalls, hyperviseurs accessibles uniquement via bastion.

Firewall interne : un pfSense (open source, gratuit) ou Fortigate 40F / 60F (3 000 à 5 000 € matériel + maintenance) est suffisant pour la majorité des PME. Pour aller plus loin : microsegmentation Zero Trust (Illumio, Akamai Guardicore, Zscaler ZPA) qui définit des politiques au niveau application, plus difficile à mettre en œuvre mais incomparable en réduction de surface d'attaque.

Règles de base inviolables

RDP n'est jamais exposé directement Internet. Si accès distant nécessaire, c'est VPN + MFA + restriction IP source, ou ZTNA.
Les admins n'utilisent jamais leurs comptes admin pour naviguer le web ou ouvrir des mails. Comptes admin dédiés, postes de management isolés (PAW — Privileged Access Workstation).
Bastion / jump host pour toute administration serveur, avec enregistrement de session.
Inventaire à jour des actifs exposés Internet (Shodan, censys ; outils internes ANSSI MonAideCyber).

Pour le scénario spécifique d'attaque sur NAS et baies de stockage, voir notre guide dédié Ransomware NAS Synology / QNAP : prévention et récupération.

Formation phishing : la couche humaine

Aucune technologie ne remplace une équipe formée. Le phishing reste le vecteur d'entrée n°1 (60 % des incidents PME, rapport CESIN 2024). L'humain est à la fois la cible préférée des attaquants et la première ligne de défense.

Programme de sensibilisation efficace

Onboarding obligatoire : tout nouvel arrivant suit le MOOC SecNumacadémie de l'ANSSI (gratuit, 5 modules, certifiant) dans les 30 premiers jours.
Campagnes phishing simulées trimestrielles : KnowBe4, Mantra, Cymulate, Riot, GoPhish (open source). Scénarios variés et adaptés au métier (faux DHL, faux DAF, faux RH, faux M365 reset).
Débriefing pédagogique après chaque campagne : jamais punitif, jamais nominatif en public. Explication du leurre, signaux d'alerte, comment signaler.
Champions sécurité dans chaque service : 1 ou 2 personnes formées plus en profondeur, relais opérationnel des alertes.
Bouton "Signaler un phishing" dans le client mail (Outlook add-in PhishER ou équivalent), pour faciliter le signalement.

Indicateurs de pilotage

Indicateur	Cible 12 mois	Source
Taux de clic sur phishing simulé	< 5 %	Plateforme de simulation
Taux de saisie credentials sur leurre	< 1 %	Plateforme de simulation
Taux de signalement (reports)	> 30 %	Plateforme de simulation + helpdesk
Temps moyen de signalement	< 15 min après réception	Plateforme
Taux de completion onboarding sécu	100 % à 30 jours	LMS interne

Sur le terrain, ces indicateurs progressent vite : passage de 30 % de clics à moins de 5 % en douze mois est la trajectoire standard observée par les opérateurs de campagnes (KnowBe4 Phishing Industry Benchmarking Report 2024).

Plan de continuité (PCA / PRA) : préparer la reprise

Le PCA (Plan de Continuité d'Activité) et le PRA (Plan de Reprise d'Activité) définissent comment l'entreprise survit à un incident majeur. Pour un ransomware sur SI critique, c'est la différence entre une journée d'arrêt et une faillite à six mois.

Composants minimaux

Inventaire des processus critiques : facturation, paie, production, commande client. Classer par criticité (RTO court / RPO court / RTO long).
RTO (Recovery Time Objective) : durée maximale d'interruption acceptable par processus. Typiquement 4 à 24 heures pour les processus critiques en PME.
RPO (Recovery Point Objective) : perte de données maximale acceptable. Typiquement 1 heure à 24 heures selon le métier.
Runbook incident écrit : étapes pas-à-pas, qui fait quoi, dans quel ordre, avec quels outils. Imprimé en plusieurs exemplaires (le runbook stocké sur le SI chiffré ne sert à rien).
Équipe de crise désignée : dirigeant (décideur), DSI / RSSI (technique), DPO (RGPD), juriste, communicant (interne et externe). Numéros de téléphone personnels notés.
Environnement de restauration isolé : machines, réseau et stockage permettant de relancer les services sans risque de réinfection.

Tests : sans test, pas de plan

Un PRA non testé est un document fictif. Les tests minimaux :

Restauration ponctuelle mensuelle : prendre un fichier au hasard, le restaurer depuis la sauvegarde la plus récente, mesurer le temps. Documenter.
Restauration de serveur trimestrielle : restaurer un serveur complet sur environnement isolé, vérifier intégrité applicative.
Test de cellule de crise annuel : exercice tabletop (table ronde) puis simulation grandeur nature au moins une fois.

L'exercice Crise Cyber Hebdo organisé par l'ANSSI et plusieurs CSIRT régionaux est gratuit et adapté aux PME (1 demi-journée par an).

Cyber-assurance : couverture financière du risque résiduel

L'assurance cyber transfert le risque financier résiduel. Elle ne remplace pas les mesures techniques, et ne couvre pas les conséquences d'une absence de mesures de base.

Marché français 2025-2026

Assureur	Spécificité	Cible	Prime indicative PME
Stoïk	Scale-up FR, audit gratuit en souscription	TPE-PME 1 à 250 salariés	1 500 à 6 000 €/an
Hiscox	Référence historique, courtage	PME 10 à 500 salariés	2 500 à 8 000 €/an
AXA Cyber Secure	Grand réseau, intégration RCpro	PME tous secteurs	2 000 à 7 000 €/an
Generali Protection Cyber	Pack TPE	TPE 1 à 50 salariés	1 500 à 4 500 €/an
Allianz Cyber	Multinationale, gros volumes	PME / ETI	3 000 à 10 000 €/an

Garanties standard

Frais d'investigation et forensique : intervention DFIR (Orange Cyberdefense, Wavestone, Almond, Sysdream).
Frais de restauration : reconstitution du SI, restauration des données, achat de matériel de remplacement.
Perte d'exploitation : compensation de la marge perdue durant l'interruption.
Responsabilité civile cyber : indemnisation des tiers (clients, partenaires) en cas de fuite ou impact.
Frais de notification RGPD : courriers, hotline, agence de crise communication.
Rançon : optionnelle, débattue éthiquement, soumise à conditions strictes (vérification non-OFAC, autorisation autorités).

Pré-requis exigés en 2026

Les assureurs ont durci les conditions depuis 2022 face à l'explosion des sinistres. Refus ou exclusions fréquents si l'organisation ne dispose pas de :

MFA active sur tous les accès distants et messageries, vérifiée par questionnaire et parfois par audit externe.
EDR déployé sur 100 % des postes et serveurs.
Sauvegardes hors ligne ou immuables testées.
Procédure de gestion de patches documentée.
Formation phishing annuelle.

Sans ces pré-requis : prime majorée 30 à 100 %, ou refus pur et simple. Avec : prime conforme, et surtout indemnisation possible.

Conformité réglementaire France / UE 2026

RGPD : notification CNIL 72 heures

En cas de violation de données personnelles susceptible d'engendrer un risque pour les personnes concernées, l'entreprise doit notifier la CNIL dans les 72 heures suivant la prise de connaissance (Art. 33 RGPD). Si le risque est élevé, notification également aux personnes concernées (Art. 34).

Le formulaire CNIL prévoit : nature de la violation, catégories et nombre approximatif de personnes concernées, conséquences probables, mesures prises ou envisagées. Une procédure pré-rédigée doit exister dans le runbook incident — improviser un dossier de notification CNIL dans la panique post-incident est une mauvaise idée.

NIS2 : transposition française 2025

La directive NIS2 a été transposée en France par la loi du 30 avril 2025. Élargissement du périmètre : Entités Essentielles (EE) et Entités Importantes (EI) couvrent désormais énergie, transports, santé, banque, eau, infrastructure numérique, administration publique, espace, postes, déchets, alimentation, chimie, manufacture critique, fournisseurs numériques (cloud, datacenters, SOC, MSSP).

Obligations renforcées : mesures de cybersécurité documentées, gestion des incidents et notification 24h/72h, gestion de la supply chain, formation, plan de continuité. Sanctions jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les EE, 7 millions ou 1,4 % pour les EI. Le périmètre exact d'application reste à préciser par décret pour certains secteurs.

LPM 2024-2030

La Loi de Programmation Militaire renforce le statut des Opérateurs d'Importance Vitale (OIV) et des Opérateurs de Services Essentiels (OSE), avec contrôles ANSSI accrus, obligations de notification, et possibilité de contraintes techniques imposées (sondes, segmentation, audit).

DORA : secteur financier

Le règlement DORA (Digital Operational Resilience Act) est applicable depuis le 17 janvier 2025 pour les acteurs financiers (banques, assurances, fonds, fintech, prestataires de services TIC critiques). Exigences spécifiques : gestion des risques TIC, tests de résilience opérationnelle, gestion des prestataires TIC critiques, partage d'information.

Réponse à incident : préparer avant la crise

La meilleure stack défensive échouera tôt ou tard. La capacité de réponse différencie une crise gérée d'une crise subie.

Contacts à pré-établir

CSIRT régional ou CERT-FR national. Liste sur cybermalveillance.gouv.fr.
Prestataire DFIR : signer un contrat ou MOU avec un cabinet spécialisé (Orange Cyberdefense, Wavestone, Almond, Sysdream, Lexsi). Délai d'intervention contractualisé < 4 heures.
Avocat spécialisé cyber : référencer un cabinet capable d'accompagner notification CNIL, communication, plainte.
Communicant de crise : agence ou freelance capable de produire en quelques heures les communiqués clients, employés, presse.
Assureur cyber : référent désigné, procédure de déclaration, numéro d'astreinte.

Notification ANSSI

Si OIV / OSE : notification obligatoire sous 72h via portail dédié. Pour les autres entités, la notification est encouragée et permet l'accès à l'expertise du CERT-FR.

Communication pré-rédigée

Trois communiqués type à préparer en amont :

Communiqué clients : tonalité factuelle, transparence sur les données potentiellement impactées, mesures prises.
Communiqué employés : consignes opérationnelles (suspension messagerie, basculement sur outils backup), réassurance.
Communiqué presse : si l'incident devient public, déclaration courte, point de contact unique.

Outils gratuits ANSSI / CISA

Trois ressources gratuites peu connues mais d'excellente qualité :

MonAideCyber (ANSSI, lancé 2024) : audit gratuit d'environ 1 heure pour TPE-PME, conduit par un aidant certifié, débouchant sur un plan d'actions priorisé.
Cybermalveillance.gouv.fr Diagnostic : auto-évaluation en ligne, suivi par une mise en relation avec prestataires référencés en cas d'incident.
CISA Stop Ransomware (stopransomware.gov) : guides anglo-saxons consolidés, fiches techniques par souche, alertes en temps réel.
ANSSI Guide d'hygiène informatique (42 règles) : socle de bonnes pratiques toujours pertinent.
No More Ransom : déchiffreurs gratuits pour plus de 200 souches.

Pour une intervention concrète et pas-à-pas en cas d'attaque déjà en cours, voir notre guide Récupérer ses fichiers après un ransomware et Décrypter un ransomware sans payer. Pour la récupération via shadow copies Windows, voir Shadow Copies Windows : récupération de fichiers. Pour comparer les antivirus anti-ransomware, voir Meilleur antivirus anti-ransomware 2026.

Feuille de route 90 jours pour une PME

Pour une TPE-PME démarrant de zéro, une trajectoire pragmatique sur trois mois :

Phase	Période	Actions clés
Mois 1 — Audit et urgences	J0-J30	Audit MonAideCyber, MFA activée partout, EDR déployé sur 100 % postes, sauvegarde immuable en place
Mois 2 — Durcissement	J30-J60	Segmentation réseau, suppression RDP exposé, formation phishing initiale, premier test restauration
Mois 3 — Résilience	J60-J90	PCA / PRA documenté, exercice cellule de crise, souscription assurance cyber, runbook incident finalisé

Cette trajectoire est tenable avec un budget annuel de cybersécurité de l'ordre de 3 à 5 % du budget IT pour une PME standard (typiquement 15 000 à 80 000 € selon taille), prestation externe incluse. C'est l'investissement minimum pour passer un dossier d'assurance, signer avec un grand donneur d'ordre, et survivre statistiquement à la prochaine attaque.

Conclusion

La protection ransomware en PME en 2026 n'est plus une affaire d'outils miracles, mais d'hygiène industrielle : sauvegardes immuables 3-2-1-1-0, EDR moderne, MFA universelle, segmentation réseau, formation continue, plan de continuité testé, assurance adaptée. Aucun de ces éléments n'est nouveau, aucun ne nécessite des budgets de grand compte. Ce qui change la trajectoire d'une PME, c'est la constance de l'exécution : maintenir le niveau, tester régulièrement, mettre à jour la posture face à une menace qui évolue.

Si vous démarrez de zéro, commencez par un diagnostic gratuit pour cartographier vos lacunes, puis attaquez la feuille de route 90 jours. La probabilité d'attaque dans les 18 mois pour une PME française non protégée dépasse 40 % en 2026 (rapport Cybermalveillance 2024). La probabilité de survie d'une PME protégée dans le respect du standard décrit ici dépasse 95 %. L'écart se construit en quelques mois.

Ressources

ANSSI — Guide d'hygiène informatique 42 règles
Cybermalveillance.gouv.fr — Diagnostic et prestataires
MonAideCyber ANSSI — Audit gratuit PME
CISA Stop Ransomware
No More Ransom
CNIL — Notification violation de données
Notre guide récupération post-ransomware