Bon , faut que je raconte un truc. En février 2024, Marie (cliente, ASBL culturelle à Wavre) m'appelle un mardi matin, panique au bout du fil. Son site WordPress affichait des trucs bizarres en russe, sa boite mail Gmail pro était vidée, et sa comptable lui avait viré 2400 € la veille sur un IBAN portugais qu'elle pensait etre le mien. Du coup voilà, j'ai passé deux jours à éteindre l'incendie. Et franchement, tout ca aurait pu etre évité avec trois clics de plus dans Google Workspace.
Je vois ça souvent. Les TPE belges se croient trop petites pour intéresser qui que ce soit. C'est faux. Les attaques sont automatisées, elles tapent au hasard, et c'est précisément les boîtes sans moyens IT qui se font faucher. Bref, voici les 8 trucs que je recommande à mes clients, dans l'ordre où je les mets en place quand on commence à bosser ensemble.
1. Le MFA, partout, même sur la pizza
Premier truc, et de loin le plus important : la double authentification. Sur la mailbox pro, la banque, l'hébergeur, le registrar du domaine, le CRM si vous en avez un. Honnêtement, c'est 5 min par compte à activer et ça bloque la quasi totalité des attaques par mot de passe volé. Le cas de Marie ? Pas de MFA sur son Gmail. Le pirate a utilisé un mot de passe qui trainait dans une vieille fuite Linkedin de 2012. Avec un code SMS ou une app type Authy, il serait passé à la cliente suivante.
2. Un gestionnaire de mots de passe (vraiment)
J'installe Bitwarden chez tous mes clients, c'est gratuit et c'est largement assez. Sinon 1Password si vous avez 3€ par utilisateur à mettre tous les mois, c'est plus joli mais bon. L'idée c'est d'arrêter le post-it sous le clavier et le mot de passe Sophie2019! recyclé sur 40 sites. Vous retenez UN mot de passe (le master), le reste est généré tout seul. J'sais que ca parait chiant les premiers jours , mais en deux semaines vous y pensez plus.
3. Les mises à jour, on les laisse se faire
Windows, macOS, navigateurs, le smartphone, le plugin WordPress. La majorité des attaques exploitent des failles que les éditeurs ont patchées des mois avant. J'ai un client à Nivelles qui a perdu son site en juin 2023 à cause d'un plugin Elementor pas mis à jour depuis 14 mois. 14 mois. C'est du gâchis. Cochez "mises à jour automatiques" et oubliez.
4. Les sauvegardes, et SURTOUT les tester
Règle 3-2-1 : 3 copies, 2 supports différents, 1 copie hors site. C'est la base. Mais le truc que personne fait : essayer de restaurer pour de vrai, une fois par mois. Une sauvegarde jamais testée c'est pas une sauvegarde, c'est un fichier que vous croyez utile. J'ai vu deux clients en 2025 qui avaient des backups depuis des années et qui ont découvert au pire moment que les fichiers étaient corrompus. Testez. Vraiment.
5. Le phishing, ça se forme
9 attaques sur 10 commencent par un mail. C'est pas un firewall qui va sauver votre équipe, c'est l'œil du collègue qui se dit "tiens, c'est bizarre cette demande de virement urgent du patron à 22h". Une heure de formation par an, plus quelques faux mails de phishing envoyés en interne (KnowBe4 ou Hoxhunt font ça pour pas cher), et le taux de clic chute de 30 % à 3 %. Demandez-moi, j'connais des formateurs sympas en Wallonie.
6. Le wifi du bureau, c'est pas anodin
Mot de passe WPA3 (pas WPA2 si possible), un réseau invité séparé pour les visiteurs et les téléphones perso, le WPS désactivé (c'est un trou de sécu), et surtout : changez le mot de passe admin du routeur. J'arrive encore en 2026 chez des boîtes où c'est admin/admin. Pour le télétravail, Tailscale est gratuit jusqu'à 100 users et ça fait un VPN propre en 10 min de config.
7. Séparer les comptes admin du quotidien
Votre compte de tous les jours, celui avec lequel vous lisez vos mails et regardez Youtube le midi, ne doit pas être admin de votre PC. Ni admin de votre site WordPress. Ni le compte master de votre comptabilité. C'est juste du bon sens : si ce compte se fait pirater (et statistiquement, ça arrivera), au moins il a accès à pas grand chose. Créez un compte admin séparé que vous sortez seulement quand vous installez un truc.
8. Un plan d'urgence sur papier
Genre, deux pages A4. Pas un beau PDF de 40 slides. Sur ces deux pages : qui appeler en premier (moi ou votre prestataire IT), le numéro de l'hébergeur, le contact à la banque pour bloquer, l'APD pour la déclaration RGPD si données perso, et la procédure de communication client. Imprimez le truc. Accrochez-le. Parce que le jour J, votre Word est chiffré par le ransomware et vous avez l'air bien con.
Voilà. C'est pas glamour, c'est pas bardé d'IA et de buzzwords. Mais 95 % des attaques que je vois passer chez mes clients auraient été stoppées par les 3 ou 4 premiers points. Si vous êtes une TPE en Brabant wallon ou ailleurs en Belgique francophone et que vous avez pas envie de vous taper ça tout seul, écrivez-moi, on regarde ensemble en une heure ce qui manque.