En 2025, 16 % des TPE‑PME françaises ont déclaré au moins un incident informatique au cours des douze derniers mois, d'après Cybermalveillance.gouv. Certains dirigeants constatent des postes verrouillés, des fichiers modifiés sans autorisation et des interruptions sur des serveurs partagés. Les mesures de protection varient, allant de l' antivirus installé aux sauvegardes régulières en passant par un pare‑feu actif, mais la majorité des entreprises admettent ne pas savoir si elles sont prêtes à réagir.

Si votre TPE-PME subit une cyberattaque, il est urgent d'agir dans les premières 24 heures - ©DC Studio / Shutterstock
Si votre TPE-PME subit une cyberattaque, il est urgent d'agir dans les premières 24 heures - ©DC Studio / Shutterstock
Proton Business SuiteProton Business Suite
8.7/10

Offre partenaire

Des solutions simples et chiffrées pour protéger votre entreprise

Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.

Essayer Proton Business Suite gratuitement !

Offre partenaire

En 2024, l’ANSSI a enregistré 4 386 événements de sécurité, soit 15 % de plus qu’en 2023, et près de quatre attaques sur dix visaient des PME. Les ransomwares ont affecté 24 % des entreprises interrogées en 2025, soit 34 % des incidents. Certaines structures ont perdu jusqu’à 45 % de leur chiffre d’affaires pendant l’incident, et en moyenne, il fallait 23 jours pour retrouver un fonctionnemment normal. Le temps moyen pour retrouver un fonctionnement normal a atteint 23 jours.

En tant que dirigeant ou DSI d'une TPE-PME, vous savez que vos services critiques peuvent se bloquer et que les données sensibles peuvent être consultées ou modifiées sans avertissement. Et quand une attaque survient, vous devez identifier rapidement quels systèmes sont touchés et quelles actions sont prioritaires. Or, la majorité d'entre vous admet ne pas connaître précisément comment réagir efficacement.

Ces statistiques ainsi posées, on comprend aisément qu'en cas de cyberattaque de vos systèmes, élaborer un plan d'action dans les premières vingt-quatre heures n'est plus une question de théorie mais de survie de votre organisation.

Quels services sont touchés et quelles données sont visées

Une cyberattaque peut toucher tous les services de votre organisation et pour chacun d'entre eux, les cybercriminels cherchent des données bien précises.

  • Serveurs de facturation : les transactions récentes et les données financières sont bloquées. Impossible de suivre les paiements ou de préparer des factures, et des informations sensibles peuvent être exploitées pour des détournements ou des demandes de rançon ;
  • Postes de travail : certains ordinateurs affichent des erreurs, verrouillent des fichiers ou se bloquent complètement. Les équipes ne peuvent plus avancer sur leurs tâches quotidiennes et la productivité chute rapidement ;
  • Messagerie interne : les courriels entrants ou sortants peuvent être retardés ou perdus. Les échanges d’informations stratégiques sont interrompus, compliquant la coordination entre les services ;
  • Accès à distance / VPN : les connexions échouent ou sont instables. Les collaborateurs en télétravail ne peuvent plus accéder aux outils essentiels, ce qui ralentit la continuité de l’activité ;
  • Systèmes logistiques et de production : les commandes et les stocks ne se mettent plus à jour. La gestion des flux et des approvisionnements reste bloquée, avec des conséquences directes sur les livraisons et la satisfaction client ;
  • Bases de données RH : plannings, dossiers de paie et informations sur les congés deviennent inaccessibles. La gestion des ressources humaines est ralentie, ce qui peut affecter l’organisation interne.

Conséquences et risques d’une cyberattaque pour votre PME

Au-delà de ce qui peut intéresser les cybercriminels, c'est aussi la réputation de votre entreprise qui est en jeu lorsqu'elle subit une intrusion.

Si vos systèmes critiques restent bloqués plusieurs heures, la production et la livraison peuvent être interrompues, et les commandes clients s’accumulent en attente. Les équipes se retrouvent alors avec des tâches en retard et des flux de travail paralysés.

Les données financières compromises entraînent des risques de détournement de fonds ou d’usage frauduleux. Même quelques fichiers sensibles exposés peuvent déclencher des pertes économiques immédiates et des complications administratives.

Lorsqu’un accès non autorisé touche les informations personnelles des clients ou des employés, la CNIL peut exiger une notification de violation de données sous 72 heures. Un tel incident peut remettre en question la réputation de l’entreprise et fragiliser la confiance des partenaires.

En cas d'indisponibilité de vos serveurs de messagerie interne ou des outils de communication, le temps alloué aux décisions se restreint, les projets en cours traînent et votre stratégie commerciale ou marketing patît de ces délais critiques.

À terme, ces incidents répétés ou prolongés peuvent entraîner une perte durable de chiffre d’affaires. Dans certains cas, des PME mettent fin à leur activité moins de deux ans après un ransomware, faute de moyens pour récupérer leurs systèmes et données.

Il est temps d'agir.

Dès qu'un serveur est bloqué, c'est le signe pour le SI qu'il faut consigner les incidents et exporter les journaux pour analyse - ©aileenchik / Shutterstock

Plan d’action des 24 premières heures après une cyberattaque

Dès que l’attaque est détectée, identifiez rapidement les systèmes touchés pour éviter toute propagation. Si un serveur de facturation refuse de répondre, commencez par isoler la machine et copiez immédiatement les journaux d’activité. Les données financières doivent rester intactes, même si le service reste bloqué quelques heures.

Lorsque les postes de travail affichent des erreurs ou deviennent instables, vérifiez les fichiers ouverts et les applications en cours. Un virus ou un cheval de Troie peut se cacher dans la messagerie interne, ralentissant les échanges et perturbant la planification. Pendant ce temps, notez toutes les anomalies observées : heure, type d’incident, utilisateur concerné.

Si les accès à distance sont affectés, vos équipes peuvent rencontrer des échecs de connexion aux VPN ou aux services cloud. Dans ce cas, consignez chaque tentative bloquée et informez immédiatement les utilisateurs concernés afin qu’ils ne perdent pas de temps à tenter de se reconnecter.

Pour les services critiques, comme les bases de données clients ou les dossiers partagés, bloquez tout accès non essentiel et sauvegardez les copies intouchées. Vous pouvez solliciter un prestataire labellisé ExpertCyber via Cybermalveillance.gouv.fr pour confirmer l’étendue de l’incident et sécuriser vos traces avant toute restauration. N'hésitez pas non plus à consulter le 17Cyber pour vous guider dans la procédure ou identifier avec vous de quelle cyberattaque vous êtes victime.

Lorsque des données personnelles sont concernées, engagez sans délai la notification CNIL et préparez le dépôt de plainte auprès des autorités compétentes. Ces démarches légales garantissent que votre entreprise respecte ses obligations réglementaires et protège ses clients.

Enfin, priorisez la reprise d’activité par ordre critique : commencez par les services essentiels à la production ou aux ventes, puis remettez en ligne les outils secondaires. Pendant la restauration, surveillez les journaux et les sauvegardes pour détecter toute présence résiduelle de malware.

En entreprise, comme pour les particuliers, c'est l'ensemble des systèmes vulnérables qui doivent être protégés contre les intrusions car chaque fichier est exploitable - ©YURII MASLAK / Shutterstock

Prévention et préparation pour éviter une cyberattaque

Maintenant que vous avez élaboré ce plan d'action rapide en cas d'intrusion, l'idéal est tout de même d'éviter de le mettre en œuvre. Et pour cela, rien de tel que la prévention.

  • Vérifiez régulièrement vos sauvegardes : les fichiers essentiels, comme les bases de données clients ou les dossiers de facturation, doivent être conservés sur des supports hors ligne et testés pour leur intégrité. Pendant ce temps, mettez à jour vos systèmes et vos applications, car chaque patch appliqué réduit la surface d’attaque disponible pour les cyberpirates ;
  • Pour les postes de travail, imposez des mots de passe robustes et configurez l’authentification à double facteur sur tous les accès sensibles. Les messageries et les services cloud, notamment ceux utilisés pour la communication interne, bénéficient de contrôles renforcés et d’une surveillance continue des connexions inhabituelles ;
  • Sensibilisez vos équipes : les employés doivent reconnaître les tentatives de phishing et savoir comment réagir face à un mail suspect ou un fichier joint douteux. Organisez des exercices réguliers de simulation d’incident pour que chacun sache quelles actions entreprendre dès les premières alertes ;
  • Gravez votre plan d'action dans le marbre : il doit détailler les contacts à prévenir, les étapes à suivre pour isoler un système compromis et les procédures de notification légale. Conservez ce document à portée de main, et révisez-le au moins une fois par an pour l’adapter aux évolutions techniques et réglementaires ;
  • Enfin, gardez des contacts fiables : avoir sous la main un prestataire labellisé ExpertCyber, les coordonnées de votre hébergeur et celles de la CNIL permet de gagner un temps précieux lorsque chaque minute compte après une intrusion.