> NOUS REJOINDRE

Blog

Quand les PME résistent aux cyberattaques : leçons de terrain sur l’EDR, la sauvegarde sécurisée et le patch management

Uncategorized

Quand les PME résistent aux cyberattaques : leçons de terrain sur l’EDR, la sauvegarde sécurisée et le patch management

9 views

Blog Image 1781680609225 91mgn428

Sommaire

Un vendredi soir, 18h30. Les équipes de Fondouest, PME normande du secteur des travaux publics, rentrent chez elles. Le lundi matin, en arrivant au bureau, c'est la catastrophe : tous les fichiers sont chiffrés, les systèmes paralysés. Un ransomware a frappé pendant le week-end.

Ce scénario n'est pas une fiction. C'est le témoignage réel de cette entreprise, publié sur le portail officiel France Num. Et c'est celui que vivent chaque semaine des dizaines de PME françaises.

En 2026, 54 % des cyberattaques recensées en France visent les petites et moyennes entreprises ou les collectivités. Pire encore : 60 % des PME victimes d'une cyberattaque majeure déposent le bilan dans les 18 mois qui suivent l'incident.

Pourtant, certaines entreprises s'en sortent. Elles rebondissent, reprennent leur activité en quelques jours, et repartent plus solides qu'avant. Qu'ont-elles fait différemment ? Elles avaient mis en place les trois piliers fondamentaux de la cybersécurité : l'EDR, la sauvegarde sécurisée et le patch management. Voici leurs histoires — et les leçons concrètes à en tirer pour votre entreprise.

Table des matières

Le cas fondouest : comment une sauvegarde a sauvé une PME du désastre {#le-cas-fondouest}

Une attaque réelle, une issue positive grâce à la préparation

La PME normande Fondouest, active dans les travaux publics, a subi une cyberattaque de type ransomware. Résultat immédiat : paralysie totale du système informatique, fichiers chiffrés, activité à l'arrêt.

Mais voici ce qui a changé tout : ce qui a rendu possible le redémarrage de l'activité, c'est l'existence d'une stratégie de sauvegarde régulière des données, qui a permis à l'entreprise de ne pas être totalement prise au dépourvu.

La directrice administrative et financière, Carole Alves Saldanha, l'a résumé avec une franchise désarmante :

"On a eu beaucoup de chance : les dommages ont été limités car nos sauvegardes étaient faites très régulièrement et elles n'ont pas été corrompues !"

Grâce à ces sauvegardes fréquentes, les équipes informatiques ont pu récupérer les données essentielles et relancer l'activité en moins d'une semaine. Ce témoignage illustre une vérité simple : la préparation, pas la chance, détermine l'issue d'une cyberattaque.

L'EDR en action : le vigile numérique qui fait la différence {#ledr-en-action}

Qu'est-ce qu'un EDR ? l'analogie du vigile de nuit

Imaginez que votre entreprise possède un local commercial. Un antivirus classique, c'est la serrure sur la porte d'entrée : elle empêche les intrus d'entrer par le chemin habituel. Mais que se passe-t-il si quelqu'un entre par une fenêtre ouverte, ou se glisse à l'intérieur pendant les heures d'ouverture ?

L'EDR (Endpoint Detection and Response), c'est le vigile de nuit qui surveille chaque recoin du bâtiment, 24h/24. Il observe les comportements, détecte ce qui est anormal — même si ça ressemble à quelqu'un de légitime — et peut immédiatement isoler la menace.

Un EDR bien configuré surveille chaque processus, chaque comportement suspect déclenche une alerte, et le poste compromis peut être isolé du réseau en quelques secondes.

Le cas du cabinet comptable de 28 personnes

Un prestataire informatique a récemment partagé un cas édifiant : un client a été attaqué — 28 employés, cabinet comptable — et quand on a creusé, les pirates étaient dans le réseau pendant 3 semaines avant de faire quoi que ce soit. La double extorsion (chiffrement des données + menace de publication) est désormais la norme.

Un antivirus classique n'aurait rien vu. Un EDR, lui, aurait détecté les comportements anormaux dès les premiers jours : connexions inhabituelles, accès à des fichiers en masse, tentatives de désactivation des outils de sécurité.

Antivirus classique vs EDR : la différence qui change tout

Critère Antivirus classique EDR
Mode de détection Signatures connues (liste noire) Analyse comportementale en temps réel
Réaction à une menace inconnue ❌ Aveugle ✅ Détecte les comportements suspects
Isolation du poste infecté ❌ Non ✅ Automatique en secondes
Visibilité sur les mouvements latéraux ❌ Non ✅ Complète
Adapté aux PME en 2026 Insuffisant ✅ Indispensable

En 2026, les leaders du marché sont CrowdStrike Falcon, SentinelOne Singularity et Microsoft Defender for Endpoint. Des solutions adaptées aux PME existent à partir de quelques euros par poste et par mois, souvent proposées par des prestataires informatiques locaux sous forme d'abonnement managé.

💡 Bon à savoir — CISA et l'EDR : La CISA (l'agence américaine de cybersécurité) a annoncé en juin 2026 avoir "complété tous ses efforts pour aider les agences à déployer les capacités EDR", confirmant que l'EDR est désormais le standard incontournable de la protection des terminaux, y compris pour les organisations de taille modeste.

✅ Conseil actionnable : Demandez à votre prestataire informatique si vos postes de travail sont couverts par un EDR. Si la réponse est "nous avons un antivirus", ce n'est pas suffisant en 2026. Demandez une démonstration ou un audit de couverture.

La règle 3-2-1 : la stratégie qui a permis à fondouest de tout récupérer {#la-regle-3-2-1}

Blog Image 1781680608860 X2ve4e4a

Pourquoi "j'ai une sauvegarde" ne suffit plus

Beaucoup de dirigeants de PME pensent être protégés parce qu'ils ont une sauvegarde automatique. C'est une erreur dangereuse. Les ransomwares modernes sont conçus pour chercher et chiffrer vos sauvegardes en premier.

Imaginez : vous faites une photocopie de vos contrats importants et vous la rangez dans le même tiroir que les originaux. Si quelqu'un brûle le tiroir, vous perdez tout. La logique est identique en informatique.

La règle 3-2-1 expliquée simplement

La règle 3-2-1 est le standard mondial de la sauvegarde sécurisée. Voici comment la mémoriser :

  • 3 copies de vos données (l'original + 2 copies)
  • 2 supports de stockage différents (ex : serveur local + cloud)
  • 1 copie hors site ou hors ligne (non accessible depuis votre réseau)

C'est précisément ce qu'avait fait Fondouest. Leur sauvegarde n'a pas été corrompue parce qu'une copie était isolée du réseau principal. Le ransomware n'a pas pu l'atteindre.

Sauvegarde locale, cloud ou hors-ligne : que choisir ?

Type de sauvegarde Avantages Limites Recommandé pour
Locale (NAS, serveur) Rapide à restaurer Vulnérable au ransomware si connectée Complément uniquement
Cloud (Acronis, Veeam…) Accessible partout, automatique Dépend d'internet TPE/PME de 1 à 50 salariés
Hors-ligne (disque dur déconnecté) Inatteignable par un ransomware Restauration plus longue Toutes tailles, en complément

Fréquence recommandée selon votre taille

  • TPE (1-10 salariés) : sauvegarde quotidienne automatique dans le cloud + 1 copie hors-ligne hebdomadaire
  • PME (10-100 salariés) : sauvegarde toutes les 4 heures + cloud + copie hors-ligne quotidienne
  • PME avec données critiques (cabinet comptable, médical, juridique) : sauvegarde en temps quasi réel

⚠️ À retenir : Une sauvegarde non testée n'est pas une sauvegarde. La moitié des entreprises qui pensent avoir une sauvegarde fonctionnelle découvrent le contraire le jour où elles en ont besoin. Programmez un test de restauration tous les trimestres.

✅ Conseil actionnable : Cette semaine, demandez à votre prestataire de tester la restauration d'un fichier depuis votre sauvegarde. Pas de vérifier qu'elle tourne — de réellement restaurer un fichier. Si ce n'est pas possible rapidement, votre sauvegarde est peut-être inutilisable.

Patch management : la faille non corrigée qui coûte tout {#patch-management}

L'analogie de la porte du bureau laissée ouverte

Vous fermez votre entreprise le soir, vous vérifiez la porte d'entrée, les fenêtres, le coffre-fort. Mais imaginez qu'une serrure secondaire soit cassée depuis 3 mois — tout le monde le sait, mais personne n'a pris le temps de la faire réparer. C'est exactement ce que représente un logiciel non mis à jour dans votre système informatique.

Une vulnérabilité logicielle, c'est un défaut dans un programme (Windows, votre logiciel de comptabilité, votre navigateur) qui permet à un pirate d'entrer dans votre système. Le patch management (gestion des correctifs), c'est le fait de réparer ces failles dès que le fabricant publie un correctif.

Des failles réelles, des conséquences réelles

En 2025, l'une des pires vulnérabilités a été le problème d'exécution de code à distance appelé React2Shell (CVE-2025-55182), une faille critique de sévérité 10.0 permettant à des attaquants de compromettre des serveurs avec une seule requête malveillante. Des milliers d'entreprises utilisant des applications web courantes étaient exposées — et beaucoup ne l'ont su qu'après avoir été attaquées.

65 % des cas d'intervention après incident non liés aux emails de compromission proviennent de l'abus des services d'accès à distance, alors que des correctifs étaient disponibles pour les dix CVE les plus exploitées. Traduction : les pirates exploitent des failles pour lesquelles le correctif existait déjà. Les victimes n'avaient simplement pas appliqué la mise à jour.

Plus alarmant encore : plus de 17 % des actifs informatiques restent hors du périmètre des solutions de gestion des vulnérabilités, ce qui signifie que ces systèmes ne sont jamais scannés pour détecter les CVE activement exploitées.

La fenêtre de danger se réduit à quelques minutes

En 2026, la menace s'est accélérée. Avec l'essor de l'IA et la génération automatisée d'exploits, le délai entre la publication d'un correctif et son exploitation est passé de plusieurs jours à quelques minutes. Autrement dit : dès qu'une faille est connue publiquement, des outils automatisés cherchent les entreprises qui ne l'ont pas encore corrigée.

Comment organiser les mises à jour sans perturber l'activité

La bonne nouvelle : le patch management peut être entièrement automatisé. Voici comment procéder sans bloquer votre activité :

  1. Inventaire : listez tous vos logiciels et systèmes (Windows, Office, logiciels métier, routeurs, etc.)
  2. Priorisation : les correctifs de sécurité critiques en priorité absolue (sous 72h), les autres en maintenance planifiée
  3. Automatisation : configurez Windows Update, activez les mises à jour automatiques sur tous les postes
  4. Fenêtre de maintenance : planifiez les redémarrages la nuit ou le week-end pour ne pas interrompre le travail
  5. Vérification : votre prestataire doit vous fournir un rapport mensuel des mises à jour appliquées

💡 Bon à savoir : La CISA a publié en juin 2026 la directive BOD 26-04, qui impose de prioriser les mises à jour de sécurité en fonction du risque réel, confirmant que toutes les mises à jour ne se valent pas — les failles activement exploitées doivent être corrigées en priorité absolue.

✅ Conseil actionnable : Ouvrez votre ordinateur et tapez "Windows Update" dans la barre de recherche. Si des mises à jour sont en attente depuis plus de 30 jours, vous avez une porte ouverte. Appliquez-les ce soir.

Les 3 piliers ensemble : ce que font les PME qui résistent {#les-3-piliers-ensemble}

Blog Image 1781680610353 Veydkagt

La défense en profondeur : ne jamais compter sur un seul rempart

Les entreprises qui survivent aux cyberattaques ont toutes un point commun : elles ne misent pas tout sur un seul outil. Elles pratiquent ce que les experts appellent la défense en profondeur — plusieurs couches de protection qui se complètent.

Voici comment les trois piliers fonctionnent ensemble :

Pilier Rôle Ce qu'il fait concrètement Sans lui
Patch Management Ferme les portes Élimine les failles avant qu'elles soient exploitées Les pirates entrent facilement
EDR Surveille et alerte Détecte les intrusions en temps réel, isole les postes L'attaque se propage sans être vue
Sauvegarde sécurisée Filet de sécurité Permet de tout restaurer si l'attaque réussit malgré tout Perte totale des données, arrêt définitif possible

Un scénario réaliste : comment les 3 piliers auraient protégé le cabinet comptable

Reprenons le cas du cabinet de 28 personnes mentionné plus tôt. Les pirates sont restés 3 semaines dans le réseau avant de frapper. Voici ce qui se serait passé avec les 3 piliers en place :

  • Patch management : la faille initiale (probablement un accès RDP non patché) aurait été fermée. Les pirates n'auraient pas pu entrer.
  • EDR : si malgré tout ils avaient réussi à entrer, les mouvements latéraux (exploration du réseau, accès aux fichiers sensibles) auraient déclenché des alertes dès les premiers jours, pas 3 semaines plus tard.
  • Sauvegarde sécurisée : si l'attaque avait quand même abouti, une copie hors-ligne aurait permis de restaurer les données en 24-48h plutôt que de payer une rançon ou de tout perdre.

⚠️ À retenir : Ces trois outils ne sont pas des alternatives entre lesquelles choisir. Ce sont trois couches complémentaires. Enlever l'une d'elles, c'est comme retirer une couche de votre gilet pare-balles.

Ce que cela coûte réellement

Le budget cybersécurité couvre l'ensemble des dispositifs techniques nécessaires : antivirus et EDR pour 1 000 à 5 000 euros par an, formation des employés pour 2 000 à 10 000 euros, sauvegardes sécurisées pour 3 000 à 15 000 euros.

En 2025, le coût moyen d'une cyberattaque pour une PME française s'élevait à 35 000 € — et d'autres estimations le placent bien au-delà. Le coût moyen d'un incident varie de 25 000 € à plus de 500 000 € selon le type d'attaque et la durée d'interruption, sans compter 10 000 € à 50 000 € par jour d'interruption pour une PME.

L'équation est simple : investir quelques milliers d'euros par an en prévention, ou risquer des centaines de milliers en réparation.

Questions fréquentes (FAQ) {#FAQ}

Qu'est-ce qu'un EDR et en quoi est-il différent d'un antivirus ?

Un antivirus classique détecte les virus connus grâce à une liste noire de signatures. Un EDR (Endpoint Detection and Response) va beaucoup plus loin : il analyse en temps réel le comportement de chaque programme sur vos postes de travail. Si un logiciel commence à chiffrer des fichiers en masse ou à se connecter à un serveur inconnu à 3h du matin, l'EDR le détecte et isole immédiatement le poste — même si ce virus n'a jamais été vu auparavant. C'est la différence entre une serrure et un vigile.

Mon entreprise est petite, suis-je vraiment une cible pour les hackers ?

Oui, et c'est précisément parce que vous êtes petite que vous êtes une cible privilégiée. Les cybercriminels utilisent des outils automatisés qui scannent des millions de sites et d'entreprises à la recherche de failles faciles. Une PME avec un logiciel non mis à jour ou sans EDR sera ciblée bien avant une grande entreprise dotée d'une équipe de sécurité dédiée. En 2026, plus de la moitié des cyberattaques en France visent des PME et collectivités.

La règle 3-2-1 est-elle difficile à mettre en place pour une PME ?

Non. La règle 3-2-1 (3 copies, 2 supports différents, 1 hors-ligne) peut être mise en place en quelques heures avec l'aide d'un prestataire informatique. Des solutions cloud comme Acronis ou Veeam automatisent la grande majorité du processus. Le point le plus souvent négligé est la copie hors-ligne : un simple disque dur externe déconnecté du réseau, mis à jour chaque semaine et stocké hors des locaux (chez un responsable, dans un coffre), suffit pour les TPE.

Comment savoir si mes logiciels sont à jour ?

Sur Windows, allez dans Paramètres > Windows Update. Pour vos autres logiciels (Adobe, Office, logiciels métier), activez les mises à jour automatiques dans chaque application. Votre prestataire informatique peut également mettre en place un outil de patch management qui centralise toutes les mises à jour et vous fournit un rapport régulier. Si vous ne savez pas si vos systèmes sont à jour, c'est qu'ils ne le sont probablement pas.

Que faire si mon entreprise est déjà victime d'une cyberattaque ?

Agissez immédiatement : (1) Débranchez les postes infectés du réseau (câble et Wi-Fi) pour stopper la propagation. (2) Ne payez pas la rançon — cela n'est pas une garantie de récupérer vos données. (3) Appelez votre prestataire informatique et déposez plainte auprès de la police ou de la gendarmerie. (4) Contactez l'ANSSI via cybermalveillance.gouv.fr pour obtenir de l'aide. (5) Lancez la restauration depuis vos sauvegardes hors-ligne.

Chiffres clés {#chiffres-cles}

📊 54 % des cyberattaques visent les PME et collectivités – Cyberattaques ciblant les PME en France

📊 35 000 € à 466 000 € selon la gravité – Coût moyen d'une cyberattaque pour une PME française

📊 1 actif sur 5 non couvert par le patch management – Actifs informatiques sans couverture de sécurité

📊 54 % des cyberattaques en France ciblent les PME et collectivités (Source : Connect3S / Adista, 2026)

💡 60 % des PME victimes d'une cyberattaque majeure déposent le bilan dans les 18 mois (Source : ANSSI / données consolidées 2025-2026)

🔓 65 % des incidents de sécurité exploitent des failles pour lesquelles un correctif existait déjà (Source : Techzine Global, juin 2026)

💶 35 000 € : coût moyen d'une cyberattaque pour une PME française, hors rançon (Source : GNTH Audit & Conseil, 2026)

Conclusion : votre entreprise peut s'en sortir — si elle se prépare

L'histoire de Fondouest n'est pas un miracle. C'est le résultat d'une préparation méthodique : des sauvegardes régulières, bien organisées, testées et isolées du réseau principal. Sans cette préparation, l'issue aurait pu être la fermeture définitive.

Les trois leçons à retenir de ces cas réels :

  1. L'EDR détecte ce que l'antivirus ne voit pas — et peut stopper une attaque en quelques secondes avant qu'elle ne se propage à tout votre réseau.
  2. La sauvegarde sécurisée est votre dernière ligne de défense — mais seulement si elle respecte la règle 3-2-1 et si vous la testez régulièrement.
  3. Le patch management ferme les portes ouvertes — la majorité des attaques exploitent des failles connues pour lesquelles un correctif existe déjà.

Ces trois piliers ne sont pas réservés aux grandes entreprises. Ils sont accessibles à toute PME, pour quelques milliers d'euros par an — soit une fraction infime du coût d'une cyberattaque.

La question n'est pas "est-ce que mon entreprise sera attaquée ?" mais "sera-t-elle prête le jour où ça arrivera ?"

🛡️ Passez à l'action dès aujourd'hui : Contactez un expert en cybersécurité pour évaluer votre niveau de protection actuel. Un audit de base prend moins d'une journée et peut identifier les failles critiques avant qu'un pirate ne le fasse à votre place. Ne laissez pas une porte ouverte décider du destin de votre entreprise.

""On a eu beaucoup de chance : les dommages ont été limités car nos sauvegardes étaient faites très régulièrement et elles n'ont pas été corrompues !""
— Carole Alves Saldanha, DAF de Fondouest

Search

Recent Posts

Popular tags

antivirus audit Authenticode badges browser hijacker CEH ChatGPT Claude AI Claude Code controle d'acces cookies stealer cyber-attaque Cybersécurité EDR Google Ads hooks intelligence artificielle IOC Kali Linux maintenance-informatique malvertising Microsoft Copilot MITRE ATT&CK Mullvad network namespace NFC NIS2 NSIS patch management pentest phishing PME prompt engineering ransomware RFID sauvegarde Sauvegarde sécurisée securite-informatique sensibilisation TPE PME tutoriel télétravail VPN Wi-Fi WireGuard
Copyright © 2022. All rights reserved.