Formation Numérique · Module 6 · Guide pratique
Le module en vedette — préparation au contrôle qualité

Cybersécurité de base pour PME — quel est le minimum vital?

L'article 10 exige des « mesures raisonnables » sans les détailler. ISO 27001, CIS Controls v8 IG1, OWASP et le CCCS le précisent : un socle minimum existe, vérifiable de l'extérieur, et c'est ce qu'un audit B2B examine en premier.

Analyser mon infrastructure numérique Planifier l'accompagnement →

L'article 10 de la Loi 25 ne dit pas comment se protéger — il dit que les mesures doivent être « raisonnables, compte tenu de la sensibilité, finalité, quantité, répartition et support ». Les standards techniques fournissent ce contenu : ISO 27001:2022 Annex A (13 contrôles cybersec), CIS Controls v8 IG1 (15 contrôles avec 56 sauvegardes), OWASP Top 10:2021, et le CCCS canadien (13 mesures pour PME). C'est le socle vérifiable que tout audit B2B sérieux examine.

Applicable à tout environnement. Les principes (authentification email, sécurité web, mises à jour, formation, sauvegardes) sont universels.

Définition

La cybersécurité de base est l'ensemble des mesures techniques et organisationnelles minimales attendues d'une PME pour démontrer une diligence raisonnable au sens de l'article 10. Elle se vérifie publiquement (DNS, headers HTTP, ports exposés) et internement (politiques, formation, configuration).

Authentification email — SPF, DKIM, DMARC

L'usurpation d'identité par courriel (phishing, fraude au président) est la première cause d'incident PME. Trois enregistrements DNS contrent la majorité des attaques :

  • SPF (Sender Policy Framework) — TXT DNS listant les serveurs autorisés à envoyer pour votre domaine. Empêche l'usurpation basique. Exemple : v=spf1 include:_spf.google.com ~all
  • DKIM (DomainKeys Identified Mail) — clé cryptographique publique en DNS. Le serveur d'envoi signe chaque courriel — empêche l'altération en transit et prouve l'origine.
  • DMARC — politique combinant SPF + DKIM. Indique aux récepteurs quoi faire en cas d'échec : none (rapport seulement), quarantine (spam), reject (rejet). Toujours mettre rua=mailto: pour rapports agrégés.

Progression recommandée : p=none (observation) → p=quarantine; pct=10p=quarantinep=reject.

Outils gratuits de vérification : MXToolbox, dmarcian.com.

Sécurité web — headers HTTP

  • HSTS (Strict-Transport-Security) — force HTTPS, empêche downgrade. max-age=63072000; includeSubDomains; preload
  • CSP (Content-Security-Policy) — contrôle les sources autorisées de scripts/styles/images. Le plus puissant des headers, élimine XSS. Mode report-only d'abord, puis enforcement.
  • X-Frame-Options — empêche le clickjacking. DENY ou SAMEORIGIN
  • X-Content-Type-Options: nosniff — empêche le MIME sniffing
  • Referrer-Policy — contrôle la fuite d'URL via Referer
  • Permissions-Policy — contrôle l'accès aux APIs sensibles (caméra, micro, géo)

Outils gratuits : securityheaders.com, Mozilla Observatory, hardenize.com.

Les 13 mesures essentielles du CCCS (ITSAP.10.035)

  1. Plan d'intervention en cas d'incident — processus écrit + contacts
  2. Application des correctifs et mises à jour automatiques (logiciels et matériel)
  3. Authentification robuste — MFA / A2F
  4. Sauvegarde et chiffrement des données — règle 3-2-1, tests
  5. Logiciels de sécurité — pare-feu, antivirus, anti-maliciels, filtres DNS
  6. Formation des employés — adaptée aux protocoles internes
  7. Services infonuagiques et externalisés — mesures fournisseurs, localisation
  8. Supports amovibles — chiffrement, inventaire, nettoyage
  9. Configuration sécurisée des dispositifs — paramètres par défaut modifiés
  10. Sécurité des appareils mobiles — politique BYOD/COPE
  11. Contrôle et autorisation d'accès — moindre privilège, comptes admin séparés
  12. Sécurisation des sites Web — HTTPS, certificats à jour, chiffrement
  13. Défense du périmètre réseau — pare-feu, surveillance, VPN télétravail

Formation anti-phishing — la couche humaine

  • Sessions courtes (15-30 min), trimestrielles ou semestrielles
  • Simulations de phishing régulières (mensuelles ou trimestrielles)
  • Mesure du taux de clic et de signalement → courbe d'apprentissage
  • Premier passage typique : 30-40 % de clics ; après programme continu : <5-10 %
  • Outils : Microsoft Attack Simulation Training (M365 E5), KnowBe4, Hornetsecurity, Phished, Mailinblack

Ce que ça veut dire concrètement

  • Sans SPF/DKIM/DMARC, votre domaine peut être usurpé pour des fraudes au président.
  • Sans headers de sécurité, votre site web est exposé aux XSS et clickjacking.
  • Sans formation anti-phishing, votre maillon humain reste le point d'entrée principal.

Ce que ça signifie concrètement pour un dirigeant

  • 68 % des cyberattaques visent les PME — votre taille n'est pas une protection, c'est une cible.
  • Les TPE-PME représentent 77 % des cyberattaques et 40 % des rançongiciels traités par les autorités.
  • Coût moyen d'une compromission de boîte mail pour une PME : ~45 000 €. Cyberattaque complète : ~466 000 €.

La cybersécurité de base n'est pas optionnelle — c'est l'article 10.

🎯 Diagnostic rapide

  • SPF, DKIM et DMARC sont-ils tous configurés sur votre domaine principal (testés sur MXToolbox)?
  • Votre site web a-t-il un score Mozilla Observatory ≥ B (HSTS, CSP, X-Frame présents)?
  • Vos employés ont-ils suivi une formation anti-phishing dans les 12 derniers mois avec simulation?

Si non à une seule, votre cybersec de base n'est pas démontrable face à un audit B2B.

Quatre erreurs fréquentes

  • « On est trop petits pour être visés. » Faux. Les PME sont la cible principale, précisément parce qu'elles sont moins protégées.
  • « L'antivirus suffit. » Faux. L'antivirus est la mesure la plus connue et la moins efficace seule. Sans MFA, mises à jour, formation et sauvegardes, il ne tient pas.
  • « On verra ça quand on aura un incident. » Trop tard. Les coûts post-incident sont 10 à 100 fois supérieurs aux coûts de prévention.
  • « SPF/DKIM/DMARC, c'est trop technique pour nous. » Faux. C'est 3 enregistrements DNS, faisables par votre fournisseur de courriel ou un consultant en quelques heures.

La cybersécurité de base n'est pas optionnelle — c'est l'article 10.

Sans cybersec de base / Avec cybersec de base

✗ Sans cybersec

  • SPF/DKIM/DMARC absents
  • Headers HTTP non configurés
  • Mises à jour irrégulières
  • Aucune formation anti-phishing
  • Antivirus seulement

✓ Avec cybersec de base

  • SPF/DKIM/DMARC configurés (DMARC ≥ quarantine)
  • Headers HTTP présents (score Observatory ≥ B)
  • Mises à jour automatiques
  • Formation anti-phishing trimestrielle
  • Stack défensive complète + 13 mesures CCCS

Ce que la Loi 25 et les standards impliquent

  • Loi 25 art. 10 — mesures de sécurité raisonnables (CAI 2026 précise : identifiants robustes, chiffrement, mises à jour, blocage USB, etc.)
  • ISO 27001:2022 — A.5.7, A.5.23, A.5.24, A.5.31, A.5.36, A.6.3, A.7.2, A.8.7, A.8.8, A.8.16, A.8.20, A.8.21, A.8.23 (13 contrôles cybersec)
  • CIS Controls v8 IG1 — 15 contrôles applicables, 56 sauvegardes
  • OWASP Top 10:2021 — pertinent pour code custom
  • CCCS — ITSAP.10.035 — 13 mesures pour PME canadiennes

Concrètement pour une PME :

  • SPF/DKIM/DMARC = quelques heures de configuration, protection durable
  • Headers HTTP = 1-2 heures avec un développeur web
  • Formation anti-phishing = ~50 $/employé/an, ROI massif

Le coût vient de l'absence de socle — pas de la sécurité elle-même.

En résumé

  • SPF + DKIM + DMARC sur le domaine
  • Headers HTTP : HSTS + CSP + X-Frame minimum
  • Mises à jour automatiques + MFA + sauvegardes 3-2-1
  • Formation anti-phishing trimestrielle avec simulations
  • 13 mesures CCCS comme cadre de référence

Aucun module de la Formation Gouvernance PRP ne couvre la cybersec technique. C'est un module 100 % numérique. Les standards utilisés ici (ISO 27001, CIS Controls v8 IG1, OWASP, CCCS) servent aussi de référence pour le Contrôle qualité numérique — ce module en est la préparation directe.

Pour aller plus loin

Voir les exigences légales et standards →

Test rapide — votre socle cybersec tient-il?

Analyser mon infrastructure numérique →

Vérifier votre cybersec de base

Analyser mon infrastructure numérique Planifier l'accompagnement

← Retour au plan de la formation Numérique