"Les hackers s'attaquent aux grands groupes, pas à ma petite boîte." C'est faux. 43% des cyberattaques visent les PME. Et 60% des PME qui subissent une cyberattaque grave déposent le bilan dans les 6 mois.
Voici les 8 types d'attaques les plus fréquentes, comment elles fonctionnent, et surtout comment les contrer.
---
**Fréquence** : 90% des cyberattaques commencent par un email de phishing.
**Comment ça marche** : vous recevez un email qui semble venir de votre banque, des impôts, de Microsoft, d'un fournisseur. Il vous demande de cliquer sur un lien pour "vérifier votre compte" ou "télécharger une facture". Le lien mène vers un faux site identique au vrai. Vous entrez vos identifiants → ils sont volés.
Les attaques de spear-phishing sont encore plus vicieuses : l'email est personnalisé. Le hacker s'est renseigné sur votre entreprise, vos clients, vos fournisseurs. L'email mentionne un vrai projet, un vrai contact.
**Comment se protéger** :
- Ne JAMAIS cliquer sur un lien dans un email non sollicité - Vérifier l'URL avant de se connecter : https://www.votrebanque.fr et PAS https://votrebanque-securise.com - 2FA (authentification à deux facteurs) sur TOUS les comptes. Même avec votre mot de passe, le hacker ne peut pas se connecter sans le code - Former vos employés : montrez-leur des vrais exemples de phishing. 30 minutes par an suffisent - Signaler : transférez les emails suspects à signal-spam@cybermalveillance.gouv.fr
[🔗 Voir les offres Dashlane Business (gestion 2FA centralisée)](https://dashlane.com)
---
**Fréquence** : une PME française est victime d'un ransomware toutes les 11 secondes (source Asterès).
**Comment ça marche** : un employé ouvre une pièce jointe infectée (souvent un PDF "facture" ou un Word "contrat" avec macros). Le ransomware chiffre TOUS les fichiers accessibles : le PC, les dossiers partagés sur le réseau, les sauvegardes s'il les voit. Un message s'affiche : "Vos fichiers sont chiffrés. Payez 5000€ en Bitcoin pour les récupérer."
Souvent, vous payez et vous ne récupérez rien. Ou vous récupérez, mais vous êtes fiché comme "payeur" et vous serez ciblé à nouveau.
**Comment se protéger** :
- **Sauvegarde 3-2-1** : 3 copies, 2 supports, 1 hors ligne. Une sauvegarde sur un disque dur débranché est immunisée contre les ransomwares - **Antivirus pro avec anti-ransomware** : Bitdefender GravityZone ou Kaspersky Endpoint Security Cloud. Ils détectent le comportement de chiffrement et font un rollback automatique - **Pas de macros Office** non vérifiées. Bloquez-les par défaut (GPO ou paramètres de l'antivirus) - **Privilège minimum** : vos employés ne doivent PAS être administrateurs de leur poste. Un ransomware exécuté sans droits admin fait beaucoup moins de dégâts - **Segmentation réseau** : les PC n'ont pas accès aux sauvegardes. Les sauvegardes sont sur un VLAN ou un NAS séparé
[🔗 Voir Bitdefender GravityZone Business](https://bitdefender.com) [🔗 Voir Acronis Cyber Protect (sauvegarde + anti-ransomware)](https://acronis.com)
---
**Fréquence** : tout service exposé sur Internet (RDP, SSH, WordPress admin) est scanné en permanence.
**Comment ça marche** : un bot tente des milliers de combinaisons identifiant/mot de passe par seconde sur votre portail admin, votre accès bureau à distance (RDP), votre FTP. "admin/admin", "admin/password", "administrateur/123456"... Les bots ont des dictionnaires de millions de mots de passe.
Quand ça marche (et ça finit toujours par marcher avec des mots de passe faibles), le hacker a un accès complet à votre système.
**Comment se protéger** :
- **Mots de passe longs et aléatoires** : 16 caractères minimum, gérés par un gestionnaire de mots de passe - **Limitation des tentatives** : 5 essais, puis blocage 15 minutes. Wordfence le fait pour WordPress, Fail2ban pour SSH - **2FA obligatoire** sur tout accès externe - **Renommer ou masquer les URLs d'administration** : /wp-admin devient /mon-portail-xyz - **Fermer les ports inutiles** : si vous n'utilisez pas RDP, fermez le port 3389
[🔗 Voir Bitwarden Business (gestionnaire mots de passe open source à 3$/mois)](https://bitwarden.com)
---
**Fréquence** : 24 millions de malwares info-stealers détectés en 2024 (source Kaspersky).
**Comment ça marche** : un logiciel malveillant s'installe discrètement sur un PC (via une fausse mise à jour, un crack de logiciel, une clé USB trouvée). Il aspire tous les mots de passe enregistrés dans le navigateur, les cookies de session, les fichiers de portefeuille crypto, et les envoie au hacker. Vous ne remarquez rien.
Pire : le hacker utilise vos cookies de session pour se connecter à vos comptes SANS avoir besoin du mot de passe ni du 2FA. Il est authentifié comme si c'était vous.
**Comment se protéger** :
- Antivirus pro avec protection comportementale - Pas de logiciels crackés, pas de clés USB inconnues - Gestionnaire de mots de passe (pas de mots de passe stockés dans le navigateur) - Vider régulièrement les cookies ou utiliser des conteneurs par site (Firefox Multi-Account Containers) - Surveillance des processus inhabituels au démarrage
---
**Fréquence** : le FBI estime les pertes BEC à 50 milliards de dollars cumulés.
**Comment ça marche** : le hacker pirate l'email d'un dirigeant ou d'un fournisseur. Il surveille les conversations en silence. Puis, au moment opportun (une facture à payer, une commande à honorer), il envoie un email avec les bonnes références, le bon ton, les bonnes personnes en copie. "Payez cette facture sur ce nouveau RIB, l'ancien compte est en maintenance." Vous payez. L'argent part sur un compte offshore.
Variante : le hacker se fait passer pour le dirigeant. "Je suis en déplacement, peux-tu faire un virement urgent à ce fournisseur ?" L'employé obéit.
**Comment se protéger** :
- **Règle absolue** : tout changement de RIB doit être confirmé par un appel téléphonique à la personne connue (pas au numéro dans l'email de demande) - **Double validation des virements** : toute somme > X€ nécessite la validation d'une deuxième personne - **Limiter les informations publiques** : organigramme, noms des comptables, fournisseurs sur les réseaux sociaux - **Messagerie chiffrée** : Proton Mail ou Tutanota rendent plus difficile l'interception
[🔗 Voir Proton Mail Professionnel](https://proton.me)
---
**Fréquence** : 13 millions d'attaques DDoS en 2024. Toutes les entreprises en ligne sont concernées.
**Comment ça marche** : des milliers d'ordinateurs zombies (botnet) envoient simultanément des requêtes vers votre site web jusqu'à saturation du serveur. Votre site tombe. Clients frustrés, commandes perdues, SEO en chute.
Souvent, le DDoS est accompagné d'un chantage : "Payez 2000€ en Bitcoin et on arrête."
**Comment se protéger** :
- **Hébergeur avec protection DDoS incluse** (Cloudflare, OVH Anti-DDoS, o2switch) - **Cloudflare gratuit** pour un premier niveau de filtration - **Monitoring uptime** : UptimeRobot (gratuit) vous alerte si le site tombe - **Ne payez JAMAIS la rançon** : vous serez ciblé à nouveau
---
**Fréquence** : en croissance de 300% par an.
**Comment ça marche** : votre imprimante réseau, votre caméra de surveillance, votre thermostat connecté, votre NAS, votre box domotique. Ces appareils ont souvent des mots de passe par défaut ou des firmwares jamais mis à jour. Un hacker les scanne, les pirate, et les utilise comme porte d'entrée vers votre réseau principal.
L'imprimante réseau est le cheval de Troie préféré des pentesters. Personne ne la sécurise, et elle a accès au réseau.
**Comment se protéger** :
- Changez TOUS les mots de passe par défaut des objets connectés - Isolez les IoT sur un réseau WiFi séparé (VLAN) - Mettez à jour les firmwares - Désactivez les fonctionnalités inutilisées (UPnP, WPS, Telnet, SNMP, services cloud inutiles) - Choisissez des équipements professionnels (pas le NAS Lidl premier prix)
---
**Fréquence** : plus fréquente qu'on ne le pense. Sous-estimée car peu déclarée.
**Comment ça marche** :
- **Le faux technicien** : "Bonjour, je viens de la part de votre fournisseur télécom pour vérifier votre box." Il branche un boîtier entre votre réseau et la box. Tout le trafic passe par lui - **La clé USB abandonnée** : trouvée dans le parking, branchée "pour voir ce qu'il y a dessus". La clé émule un clavier et tape des commandes malveillantes (Rubber Ducky) ou exécute un malware - **Le tailgating** : quelqu'un se glisse derrière un employé pour entrer dans les locaux
**Comment se protéger** :
- **Procédure d'accueil** : tout visiteur est accompagné, badge visiteur obligatoire - **Vérification d'identité** des techniciens avant de les laisser accéder aux équipements réseau - **Règle absolue** : on ne branche AUCUNE clé USB qu'on n'a pas achetée soi-même - **Portes sécurisées** avec badge ou code, pas de portes ouvertes "pour aérer"
---
| Attaque | Vecteur principal | Solution clé | Coût de la protection | |---------|-------------------|-------------|----------------------| | Phishing | Email frauduleux | Formation + 2FA | 0€ à 5€/mois/util. | | Ransomware | Pièce jointe infectée | Sauvegarde + antivirus pro | 30€/poste/an | | Force brute | Mots de passe faibles | Gestionnaire MDP + 2FA | 3$/mois/util. | | Info-stealer | Logiciel malveillant | Antivirus pro + MDP manager | 30€/poste/an | | BEC | Email compromis | Double validation virements | Gratuit (process) | | DDoS | Saturation serveur | Cloudflare + hébergeur protégé | 0€ (Cloudflare gratuit) | | IoT | Appareils connectés | Isolation réseau + maj firmware | 0€ (configuration) | | Social Engineering | Contact physique | Procédures + formation | 0€ (process) |
---
1. **Aujourd'hui** : activez le 2FA sur votre messagerie, votre banque, votre comptable. C'est gratuit et ça bloque le phishing 2. **Cette semaine** : vérifiez vos sauvegardes. Faites un test de restauration. Installez un antivirus pro 3. **Ce mois** : formez vos employés (30 minutes). Montrez-leur un vrai email de phishing 4. **Ce trimestre** : faites un audit rapide de votre réseau (mots de passe par défaut, ports ouverts, appareils IoT)
La question n'est pas "est-ce que je vais être attaqué". C'est "quand". Soyez pret.
Pour aller plus loin : Sauvegarde automatique pour PME — Comparatif 2026 — en cas de cyberattaque, une sauvegarde recente fait la difference entre un incident et une catastrophe. Lisez aussi notre guide Former vos employes a la cybersecurite — la premiere ligne de defense, c'est votre equipe.
---
Consultez notre checklist RGPD pour petite entreprise et notre guide que faire en cas de piratage.
🚀 Vous gérez une TPE/PME ? Systeme.io centralise tunnels de vente, emails, formations et affiliations — plan gratuit à vie.
🔗 Essayer Systeme.io gratuitement →Décrivez votre besoin — un expert vous recontacte sous 24h avec une recommandation personnalisée et gratuite.
Gratuit · Sans engagement · Réponse sous 24h