Comment 3 PME ont évité la catastrophe grâce à l’EDR, la sauvegarde sécurisée et le patch management
Comment 3 PME ont évité la catastrophe grâce à l’EDR, la sauvegarde sécurisée et le patch management
Cas concrets, leçons apprises et guide d'action pour les chefs d'entreprise en 2026
Un vendredi soir, à 22h. Les bureaux sont vides. Personne ne surveille les écrans. C'est précisément à ce moment-là qu'une PME de négoce parisienne de 45 salariés a vu ses 12 millions d'euros de chiffre d'affaires annuel menacés en quelques minutes. Le ransomware s'était infiltré, cartographié le réseau, identifié les sauvegardes locales, et se préparait à tout chiffrer.
Ce scénario n'est pas une fiction. Les PME et TPE représentent 48 % des victimes de ransomwares en France, et entre 50 et 60 % des PME ayant été victimes de cyberattaques mettent la clé sous la porte dans les dix-huit mois qui suivent. En 2026, la question n'est plus de savoir si votre entreprise sera ciblée, mais quand — et surtout, si vous serez prêt.
Ce guide vous présente trois histoires vraies — une PME qui a survécu grâce à son EDR, une autre qui a pu tout restaurer en quelques heures grâce à une sauvegarde bien pensée, et une troisième qui a fermé ses "portes numériques ouvertes" juste à temps. À travers ces cas concrets, vous comprendrez les trois piliers essentiels de votre cybersécurité : l'EDR, la sauvegarde sécurisée et le patch management.
Table des matières
- Cas 1 — L'EDR qui a stoppé une attaque en cours
- Cas 2 — La sauvegarde qui a sauvé l'entreprise
- Cas 3 — Les patchs non appliqués, une porte grande ouverte
- Les 3 piliers ensemble : une stratégie cohérente
- Questions Fréquentes
- Chiffres Clés
Cas 1 — l'EDR qui a stoppé une attaque en cours
La nuit où tout aurait pu s'effondrer
Imaginez un vigile de nuit dans votre entreprise. Pas un agent qui vérifie les visages à l'entrée, mais un système qui observe chaque geste, chaque mouvement, chaque comportement inhabituel sur tous vos ordinateurs — 24h/24, 7j/7. C'est exactement ce qu'est un EDR (Endpoint Detection and Response, ou en français : Détection et Réponse sur les Terminaux).
Un cabinet d'expertise comptable de 18 personnes, basé en région lyonnaise, en a fait l'expérience concrète début 2026. Un employé avait cliqué sur une pièce jointe en apparence anodine. En quelques secondes, un logiciel malveillant tentait de s'installer et de prendre le contrôle du poste. L'antivirus classique n'a rien vu — la menace ne correspondait à aucune "signature" connue dans sa base de données. Mais l'EDR, lui, a immédiatement détecté un comportement anormal : un processus tentait d'accéder à des fichiers sensibles de manière inhabituelle. En moins de 3 minutes, le poste infecté a été automatiquement isolé du réseau, stoppant la propagation nette.
"Sans l'EDR, on aurait probablement perdu l'accès à tous nos dossiers clients. On n'y a même pas pensé sur le moment — l'alerte est arrivée sur notre téléphone, et le prestataire avait déjà tout bloqué."
— Directeur associé du cabinet, témoignage recueilli par un intégrateur cybersécurité
Antivirus classique vs EDR : quelle différence concrète ?
| Critère | Antivirus classique | EDR |
|---|---|---|
| Mode de détection | Comparaison à une liste de virus connus | Analyse comportementale en temps réel |
| Menaces inconnues (zero-day) | ❌ Invisible | ✅ Détecté |
| Réponse automatique | ❌ Alerte uniquement | ✅ Isolation, blocage, remédiation |
| Visibilité sur le réseau | ❌ Limitée au poste | ✅ Vue globale de tous les terminaux |
| Adapté aux ransomwares modernes | ❌ Insuffisant | ✅ Conçu pour ça |
Contrairement à l'antivirus classique qui fonctionne par détection de signatures, l'EDR utilise l'analyse comportementale et l'intelligence artificielle pour bloquer les menaces inconnues — attaques sans fichier, ransomwares, failles zero-day.
La menace IA qui change tout en 2026
Ce qui rend l'EDR encore plus indispensable aujourd'hui ? Des chercheurs de Sophos ont découvert qu'un acteur malveillant utilisait un toolkit de ransomware construit avec l'aide de l'IA, automatisant la découverte de l'Active Directory et contournant les solutions EDR. En clair : les attaquants utilisent désormais l'intelligence artificielle pour tester leurs outils contre les EDR avant de frapper. Ce malware a été testé dans des environnements virtuels contre les EDR de Sophos, CrowdStrike et Microsoft.
Face à cette escalade, un EDR de qualité n'est plus un luxe — c'est votre première ligne de défense réelle.
✅ conseil actionnable : comment choisir votre EDR en PME
- Optez pour une solution managée (MDR) : un prestataire surveille les alertes à votre place, 24h/24. Vous n'avez pas besoin d'un expert en interne.
- Vérifiez la couverture : l'EDR doit protéger les PC, Mac, serveurs ET les appareils mobiles.
- Exigez un tableau de bord simple : vous devez pouvoir comprendre les alertes sans être informaticien.
- Budget indicatif : comptez entre 5 et 15 € par poste et par mois pour une solution managée adaptée à une PME.
Cas 2 — la sauvegarde qui a sauvé l'entreprise
Le piège de la fausse sécurité
En septembre 2025, une PME française de 45 salariés spécialisée dans le négoce B2B a été victime d'un ransomware qui a paralysé son activité pendant 12 jours. L'attaque avait eu lieu un vendredi soir à 22h. Les cybercriminels n'avaient pas agi à l'aveugle : ils avaient pris le temps de cartographier le réseau, d'identifier les sauvegardes locales, et de préparer le déploiement du ransomware.
C'est le point crucial que beaucoup de dirigeants ignorent : avoir une sauvegarde ne suffit plus. Les ransomwares modernes cherchent et chiffrent aussi les sauvegardes connectées au réseau. Si votre disque de sauvegarde externe est branché en permanence à votre serveur, il sera chiffré en même temps que le reste.
Dans le cas de cette PME, une partie des sauvegardes locales avait été compromise. Mais l'entreprise avait eu la bonne idée de mettre en place, quelques mois plus tôt, une copie cloud isolée. Résultat : elle a pu reprendre son activité. Grâce à son assurance cyber souscrite via My Trust Partner, elle a été intégralement indemnisée et a pu reprendre son activité.
La règle du 3-2-1 : votre bouée de sauvetage
La règle du 3-2-1 est le standard international de la sauvegarde efficace. Elle est simple à retenir :
📦 3 copies de vos données
💾 sur 2 supports différents
☁️ dont 1 copie hors-site (cloud ou site distant)
La règle de sauvegarde 3-2-1 est importante car il suffit généralement de faire au moins trois copies des données pour réussir à restaurer les données perdues, volées ou compromises. Ajouter une copie hors site — dans le cloud public ou dans un air-gap virtuel — c'est s'assurer que les entreprises puissent accéder à leurs données même si toutes les copies sur site sont détruites.
En 2026, les experts recommandent même d'aller plus loin avec la règle 3-2-1-1-0 : s'ajoute 1 copie hors-ligne (air-gap), indispensable contre les ransomwares, et 0 erreur constatée lors des tests de restauration.
À quelle fréquence sauvegarder ?
| Taille de l'entreprise | Fréquence recommandée | Type de sauvegarde |
|---|---|---|
| TPE (1-9 salariés) | Quotidienne | Cloud automatique + copie locale |
| PME (10-49 salariés) | Quotidienne + hebdomadaire | Cloud + NAS + copie hors-ligne |
| PME (50-249 salariés) | Continue (toutes les heures) | Solution dédiée + réplication cloud |
💡 Bon à savoir : sans sauvegarde fonctionnelle, la facture moyenne d'un incident ransomware dépasse 250 000 euros pour une PME française, sans compter les 6 à 12 semaines de productivité perdue.
✅ conseil actionnable : testez votre restauration maintenant
La pire découverte à faire, c'est de s'apercevoir que vos sauvegardes sont corrompues après une attaque. Planifiez dès cette semaine un test de restauration : choisissez un fichier ou un dossier, supprimez-le, et vérifiez que vous pouvez le récupérer depuis votre sauvegarde. Si vous n'y arrivez pas, appelez votre prestataire informatique immédiatement.
Cas 3 — les patchs non appliqués : une porte grande ouverte
L'histoire qui se répète depuis 2017
Imaginez que vous partez en vacances et que vous laissez la porte arrière de votre bureau déverrouillée — pas parce que vous l'avez oubliée, mais parce que vous avez reçu la clé pour la fermer et que vous ne l'avez pas encore utilisée. C'est exactement ce que représente un patch non appliqué dans votre système informatique.
En mai 2017, le ransomware WannaCry a paralysé plus de 200 000 ordinateurs dans 150 pays. Microsoft avait publié un correctif pour la faille EternalBlue le 14 mars 2017, soit un mois avant que les Shadow Brokers ne la divulguent, mais de nombreux ordinateurs n'avaient pas appliqué ce patch au moment de l'attaque WannaCry. Des hôpitaux, des usines, des PME ont été paralysés pendant des jours — non pas à cause d'une attaque sophistiquée, mais à cause d'une mise à jour ignorée.
Cette leçon reste d'actualité en 2026. Une PME de transport routier de 30 véhicules, basée dans le Nord de la France, a failli en faire les frais début 2026. Un audit de cybersécurité réalisé avant une souscription d'assurance cyber a révélé que 40 % de ses postes tournaient encore sous des versions de Windows et de logiciels métiers non mis à jour depuis plus de 8 mois. Parmi ces failles : deux vulnérabilités critiques déjà activement exploitées par des groupes de ransomware. La mise en place d'un plan de patch management en urgence lui a évité une attaque imminente.
Pourquoi les mises à jour sont-elles si souvent négligées ?
Les raisons sont humaines et compréhensibles :
- "Ça marche bien comme ça" — on ne touche pas à ce qui fonctionne
- Peur de casser quelque chose — une mise à jour peut parfois créer des incompatibilités
- Manque de temps — redémarrer les postes perturbe le travail
- Oubli — sans processus automatisé, les mises à jour s'accumulent
Pourtant, le risque est documenté. Selon le rapport Adaptiva State of Patch Management 2026, bien que 44 % des organisations déclarent avoir des workflows de patching partiellement automatisés, plus de 60 % s'appuient encore sur des processus manuels à un moment ou un autre. Des processus manuels qui laissent des fenêtres de vulnérabilité ouvertes pendant des semaines.
⚠️ À retenir : Une vulnérabilité connue sans patch appliqué est une invitation ouverte pour les cybercriminels. Les attaquants scannent internet en permanence à la recherche de ces failles — et ils les trouvent souvent avant vous.
✅ conseil actionnable : auditez vos logiciels non mis à jour
Voici une checklist rapide à faire dès aujourd'hui :
- Listez tous vos logiciels : Windows, Office, logiciel de comptabilité, CRM, etc.
- Vérifiez les dates de dernière mise à jour : tout ce qui dépasse 30 jours mérite votre attention
- Activez les mises à jour automatiques sur tous les postes Windows et Mac
- Parlez à votre prestataire IT d'une solution de patch management automatisée — elle peut déployer les correctifs la nuit, sans perturber votre activité
- Planifiez un créneau mensuel de redémarrage des postes pour appliquer les mises à jour en attente
Les 3 piliers ensemble : une stratégie cohérente
La défense en profondeur expliquée simplement
Un seul bouclier ne suffit pas. La vraie protection, c'est comme une maison bien sécurisée : vous avez une alarme (l'EDR), un coffre-fort pour vos objets précieux (la sauvegarde), et des serrures solides sur toutes les portes (le patch management). Si l'un manque, les deux autres ne peuvent pas compenser totalement.
Voici comment ces trois piliers se complètent dans la réalité :
| Pilier | Rôle | Ce qu'il ne couvre pas seul |
|---|---|---|
| EDR | Détecte et bloque les attaques en temps réel | Ne récupère pas les données déjà chiffrées |
| Sauvegarde sécurisée | Permet de tout restaurer après une attaque | Ne bloque pas l'attaque initiale |
| Patch Management | Ferme les failles avant qu'elles soient exploitées | Ne détecte pas les attaques via d'autres vecteurs |
Ensemble, ils forment une stratégie de défense en profondeur : le patch management réduit les points d'entrée, l'EDR détecte et stoppe ce qui passe quand même, et la sauvegarde garantit la reprise d'activité si une attaque réussit malgré tout.
💡 Bon à savoir : Cette approche à trois niveaux est exactement ce que préconise l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) dans ses recommandations pour les PME françaises. Elle est également exigée par de nombreux contrats d'assurance cyber pour être éligible à une indemnisation.
Ce que montrent les cas concrets
Les trois entreprises évoquées dans cet article ont un point commun : elles avaient au moins l'un des trois piliers en place. Celles qui avaient les trois, ou qui les ont mis en place rapidement, s'en sont sorties. Celles qui n'en avaient aucun ont souvent payé le prix fort — en rançon, en perte d'activité, ou en fermeture définitive.
Le coût moyen d'une cyberattaque pour une PME française oscille entre 59 000 et 466 000 euros, un écart qui s'explique par la taille de l'entreprise, la nature de l'attaque et la durée d'interruption d'activité. Investir dans ces trois piliers coûte une fraction de ce montant.
Conclusion : passez à l'action avant qu'il ne soit trop tard
Les histoires de cette PME de négoce sauvée par sa sauvegarde cloud, du cabinet comptable protégé par son EDR, ou de l'entreprise de transport qui a bouché ses failles à temps ne sont pas des exceptions. Ce sont des modèles à suivre — et surtout, des scénarios accessibles à toute PME, quelle que soit sa taille ou son secteur.
Les 3 points à retenir absolument :
- Un EDR remplace avantageusement un antivirus classique — il détecte les menaces modernes que les antivirus ne voient pas, et réagit automatiquement.
- Une sauvegarde non testée et non isolée n'est pas une sauvegarde — appliquez la règle 3-2-1 et testez votre restauration régulièrement.
- Chaque mise à jour non appliquée est une porte ouverte — automatisez vos patchs et planifiez un audit de vos logiciels.
La bonne nouvelle ? Vous n'avez pas besoin d'une équipe IT interne pour mettre en place ces trois piliers. Des prestataires spécialisés en cybersécurité PME peuvent déployer, gérer et surveiller ces solutions à votre place, pour un budget mensuel raisonnable.
👉 Ne laissez pas le hasard décider du sort de votre entreprise. Contactez un expert en cybersécurité pour réaliser un audit de votre niveau de protection actuel — la plupart proposent un premier bilan gratuit ou à faible coût.
📊 60 % dans les 6 mois – PME victimes de ransomware déposant le bilan
Questions fréquentes (FAQ)
Qu'est-ce qu'un EDR et en quoi est-il différent d'un antivirus ?
Un antivirus classique fonctionne comme un contrôle d'identité : il compare chaque fichier à une liste de "suspects connus". S'il ne reconnaît pas la menace, il la laisse passer. Un EDR (Endpoint Detection and Response) observe plutôt le comportement de chaque programme sur votre ordinateur. Si un logiciel commence à chiffrer des fichiers à grande vitesse ou tente d'accéder à des zones sensibles du système, l'EDR le détecte et l'isole — même si personne n'a encore vu cette menace auparavant. C'est la différence entre un gardien qui vérifie les papiers d'identité et un gardien qui surveille les comportements suspects.
Ma PME est-elle vraiment une cible pour les cybercriminels ?
Oui, et c'est souvent parce que les PME sont perçues comme des cibles faciles. Elles ont moins de ressources pour se protéger, moins de personnel dédié à la sécurité, et pourtant elles détiennent des données précieuses (données clients, informations bancaires, secrets commerciaux). Les cybercriminels utilisent des outils automatisés qui scannent des milliers d'entreprises en même temps à la recherche de failles — la taille de votre entreprise ne vous protège pas.
Combien coûte la mise en place de ces trois piliers pour une PME de 20 personnes ?
À titre indicatif :
- EDR managé : 5 à 15 € par poste/mois, soit 100 à 300 €/mois pour 20 postes
- Sauvegarde cloud sécurisée : 50 à 200 €/mois selon le volume de données
- Patch management automatisé : souvent inclus dans un contrat de maintenance IT, ou 2 à 5 €/poste/mois
Soit un budget global de 200 à 700 €/mois pour 20 postes — à comparer aux 59 000 à 466 000 € de coût moyen d'une cyberattaque.
Que faire si mon entreprise n'a pas de responsable informatique en interne ?
C'est la situation de la majorité des PME françaises, et ce n'est pas un problème. Des prestataires IT et des MSSP (Managed Security Service Providers) proposent des offres clé en main qui incluent le déploiement, la surveillance et la maintenance de ces trois piliers. Vous bénéficiez d'une protection de niveau professionnel sans avoir à recruter un expert en interne. Cherchez un prestataire labellisé ExpertCyber (label ANSSI) pour garantir un niveau de compétence reconnu.
Mes données sont dans le cloud (Microsoft 365, Google workspace) — suis-je protégé ?
Pas automatiquement. Les solutions cloud comme Microsoft 365 ou Google Workspace offrent une haute disponibilité, mais leur politique de sauvegarde est limitée dans le temps (généralement 30 à 90 jours) et ne couvre pas tous les scénarios (suppression accidentelle, ransomware, erreur humaine). Il est fortement recommandé de mettre en place une sauvegarde tierce dédiée pour ces environnements cloud, en complément de votre sauvegarde locale.
Chiffres clés
📊 60 % des PME victimes d'une cyberattaque majeure déposent le bilan dans les 6 mois (Source : ANSSI / La Tribune, 2026)
💡 250 000 € : coût moyen d'un incident ransomware pour une PME française, hors perte de productivité (Source : Altezia / INSPEERE, 2026)
🔒 60 % des organisations s'appuient encore sur des processus manuels pour leurs mises à jour logicielles (Source : Adaptiva State of Patch Management Report, 2026)
⚠️ 48 % des victimes de ransomwares en France sont des PME, TPE et ETI (Source : ANSSI, 2025-2026)
📊 59 000 € à 466 000 € – Coût moyen cyberattaque PME France
📊 48 % – Part des PME/TPE dans les victimes ransomware France
"Les PME sont ciblées précisément parce qu'elles ont moins de ressources pour se protéger et pour résister à une demande de rançon"
— INSPEERE
Actions de formation
