43 % des cyberattaques visent les PME et TPE — pas les grandes entreprises. Pourquoi ? Parce qu'elles sont moins protégées. Pour une TPE belge en 2026, 8 réflexes simples bloquent 95 % des attaques. Aucun besoin de RSSI à temps plein.
1. MFA partout
Email pro, banque, comptabilité, hébergeur, registrar de domaine, CRM. La MFA bloque 99,9 % des attaques par credential stuffing. Activation : 5 minutes par compte. Un mot de passe volé sans MFA = compromission. Avec MFA = inoffensif.
2. Gestionnaire de mots de passe
Bitwarden (gratuit), 1Password (3 €/u/mois), KeePassXC (gratuit, on-prem). Plus jamais de "Password123!" partout. Chaque service a un mot de passe unique de 20+ caractères. Vous n'en mémorisez qu'un seul (le master).
3. Mises à jour automatiques activées
Windows, macOS, navigateurs, antivirus, smartphone, applications pro. 80 % des attaques exploitent des failles déjà patchées depuis 6+ mois. Active = patché. Désactivé = vulnérable.
4. Sauvegardes 3-2-1 testées
3 copies, 2 supports, 1 hors site. Et surtout : restaurer mensuellement pour vérifier que ça marche. Une sauvegarde non testée n'est pas une sauvegarde — beaucoup de PME découvrent ça après une attaque.
5. Anti-phishing : la formation
90 % des attaques commencent par un email de phishing. Formez votre équipe : 1h une fois par an + envoi de faux phishings simulés (KnowBe4, Hoxhunt). Pour une TPE : 50-100 €/u/an, ROI majeur.
6. Sécuriser le wifi pro
Mot de passe WPA3, réseau invité séparé, désactivation WPS, mot de passe admin du routeur changé (pas "admin/admin"). Si possible, un VPN d'entreprise (Tailscale, gratuit pour 100 users).
7. Cloisonner les comptes admin
Le compte que vous utilisez tous les jours pour bosser ne doit pas être admin de votre PC, ni de votre site, ni de votre comptabilité. Comptes séparés = un compte compromis = pas accès à tout.
8. Plan de réaction écrit
2 pages : qui contacter en cas d'incident (DSI, hébergeur, banque, APD), quelle procédure, quelle communication. Rédigé une fois, à la main, pas dans un Word qui sera chiffré par le ransomware. Affiché en local, sur papier ou backup PDF chiffré.