La cybersécurité comme une hygiène, pas comme une panique.
La cybersécurité de 2026 est réglementée. NIS2 est applicable depuis octobre 2024 avec un périmètre multiplié par 10, DORA est entrée en vigueur en janvier 2025 sur toute la chaîne financière, les assureurs exigent des preuves techniques concrètes (MFA FIDO2, EDR, backups air-gappées, pentest annuel), et les attaques par compromission de fournisseur explosent. On aide les PME à passer d'une sécurité implicite à une sécurité documentée — sans vous transformer en paranoïaques ni multiplier votre facture cloud par 3.
Ce que couvre ce guide
Les 6 piliers à maîtriser
Modèle de menace d'abord, outils ensuite
La première erreur est d'acheter des outils (EDR, SIEM, firewall nouvelle génération) avant de savoir ce qu'on protège et contre qui. Méthode : inventaire des actifs critiques, cartographie des flux de données, scénarios STRIDE ou MITRE ATT&CK appliqués à VOTRE contexte. Une fintech protège en priorité ses clés API et ses données clients ; un cabinet médical, son SI santé et ses sauvegardes. La stack sécurité découle du modèle de menace, pas l'inverse.
DevSecOps : sécurité dans le pipeline
Intégrer SAST (Semgrep, SonarQube), SCA (Snyk, Trivy), DAST (OWASP ZAP) et scan de secrets (GitGuardian) dans chaque pull request. SBOM généré à chaque build (exigence NIS2), signature Sigstore des artefacts, secrets via Vault ou Doppler — jamais dans Git. Objectif : shift left, les vulnérabilités coûtent 10× plus cher en prod qu'en dev.
Zero Trust & gestion des identités
Le périmètre réseau est mort. Modèle Zero Trust : authentification forte partout (MFA FIDO2 / passkeys, pas SMS), autorisation contextuelle (device, géolocalisation, risque), JIT access pour les actions sensibles, revue trimestrielle des accès. Stack 2026 : Entra ID, Okta, Google Workspace + outils PAM (CyberArk, Teleport) pour les comptes d'administration.
Conformité NIS2, DORA, RGPD
NIS2 (octobre 2024) impose une gouvernance du risque TIC au niveau direction, déclaration d'incident sous 24 h à l'ANSSI, formation dirigeants. DORA (janvier 2025) ajoute tests de résilience obligatoires et gestion du risque tiers sur toute la chaîne financière. RGPD demande cartographie des PII, AIPD, procédures de droits. On prépare vos livrables pour un audit externe ou un questionnaire sécurité client.
Durcissement cloud AWS / Azure / GCP
Configurations par défaut du cloud = insuffisantes. On applique CIS Benchmarks, IAM least-privilege, chiffrement KMS systématique, VPC segmentation, VPC flow logs centralisés, CSPM (Wiz, Prowler, Scout Suite). Les mauvaises configurations cloud restent l'une des toutes premières causes d'incident : S3 publics, bases ouvertes sur Internet, IAM wildcards, clés statiques long-life dans CI.
Humain : formation & phishing simulé
80-90 % des incidents commencent par un humain (phishing, ingénierie sociale). Formation 2026 : scénarios réels de deepfake vocal (fraude au président), phishing IA-généré sans fautes, fraude au virement, usurpation WhatsApp Business. Campagnes de phishing simulé mensuelles avec micro-learning ciblé sur les personnes exposées. Objectif : taux de clic divisé par 3 en 6 mois.
Comment nous procédons
Cartographie & modèle de menace
Inventaire des actifs critiques (données, identités, systèmes, dépendances tierces), cartographie des flux, qualification NIS2 / DORA / RGPD, matrice de risques. Livrable écrit signé direction.
Audit technique & pentest
Pentest boîte grise (avec compte utilisateur) sur app + API + infra cloud. Méthodologie OWASP WSTG + OWASP API Top 10. Rapport CVSS 4.0 avec preuves d'exploitation et priorisation.
Remédiation & durcissement
Correction des failles critiques et hautes en priorité, déploiement MFA FIDO2, segmentation réseau, WAF, rate limiting, rotation secrets, EDR sur les postes, SAST/DAST dans le CI.
Gouvernance & documentation
Politique de sécurité, charte utilisateur, procédures d'incident, registre NIS2, plan de continuité d'activité. Documents exploitables pour audit externe, cyber-assurance, questionnaire client.
Maintien en condition & vCISO
Scan vulnérabilités continu, revue d'accès trimestrielle, pentest annuel, exercice de crise simulée, suivi des indicateurs. Option RSSI à temps partagé (vCISO) pour les PME sans équipe sécurité dédiée.
Mythes vs réalité
Ce qu'on entend souvent, et ce qui se passe vraiment dans nos projets.
Mythe
« On est trop petits, personne ne nous attaquera. »
Réalité
Faux — les PME sont ciblées massivement PARCE QUE leurs défenses sont faibles. Selon les rapports CERT-FR et ANSSI, une majorité des rançongiciels frappent désormais les entreprises de moins de 250 salariés. Les attaquants automatisent : ils scannent Internet à la recherche de surfaces exposées (RDP ouverts, VPN non patchés, identifiants dans des fuites publiques), pas d'une cible choisie nominativement.
Mythe
« Notre antivirus suffit. »
Réalité
L'antivirus classique basé sur signatures ne détecte plus les attaques modernes (living-off-the-land, fileless malware, rançongiciels polymorphes). Le standard 2026 est l'EDR (CrowdStrike, SentinelOne, Microsoft Defender for Endpoint) qui analyse les comportements, pas les signatures. Sans EDR, aucun assureur cyber sérieux ne vous couvre correctement.
Mythe
« On a des backups, donc on est protégés contre les rançongiciels. »
Réalité
La plupart des rançongiciels modernes ciblent ET détruisent les backups accessibles sur le réseau AVANT de chiffrer la prod — pour vous forcer à payer. Stratégie qui marche : règle 3-2-1-1-0 avec AU MOINS une copie air-gappée (hors ligne, hors domaine) ET une restauration testée trimestriellement. Une sauvegarde qu'on n'a jamais restaurée = une sauvegarde qui n'existe pas.
Mythe
« Le chiffrement ralentit tout. »
Réalité
Sur du matériel de 2020+, le chiffrement AES-NI est hardware-accéléré : l'overhead est souvent négligeable sur du TLS 1.3, du disque BitLocker / FileVault / LUKS, ou du chiffrement applicatif AES-GCM. Les applications qui ralentissent avec du chiffrement utilisent mal le chiffrement (recrypt à chaque requête, pas de caching) — pas le chiffrement qui est lent.